솔루션

“비밀번호, 가장 취약한 보안” 제로트러스트 시대 ‘생체인증’ 도입 가속화

최민지 기자

라온시큐어 김형관 컨설팅 팀장
라온시큐어 김형관 컨설팅 팀장

[디지털데일리 최민지기자] ‘비밀번호(패스워드, Passsword)’는 더 이상 안전하지 않다. 비밀번호를 이용한 인증 방식의 보안 취약성 우려가 커진 가운데, ‘패스워드리스’ 기술이 각광받고 있다. 최근 아무것도 신뢰하지 않는 ‘제로트러스트’가 떠오르면서, 비밀번호가 필요 없는 패스워드리스 개편 속도는 빨라지는 양상이다.

패스워드 인증체계는 관리와 이용의 어려움이 있다. 주기적으로 비밀번호를 변경해야 하고, 이를 보호하기 위한 지속적인 관리도 필요하다. 비밀번호를 공유하거나 훔쳐보는 일도 다반사다. 사용자 계정정보를 노린 다양한 해킹 위험이 존재하기에, 해킹사고로 대규모 개인정보‧비밀번호 유출 위험도 높다.

이와 관련 라온시큐어 김형관 컨설팅 팀장은 “패스워드 체계는 보안에 있어 가장 취약한 부분이고, 이를 보완하고자 다양한 인증체계들이 생성됐다”며 “이를 어떻게 조합해 운영하는가, 이것이 각 보안‧시스템 운영 담당자들의 가장 큰 이슈”라고 설명했다.

제로트러스트 영역에서 사용자 인증에 대한 식별은 가장 중요한 요소 중 하나다. SK쉴더스 상반기 보안 트렌드에 따르면 기업 내 중요정보 유출‧탈취 피해는 해킹 등 네트워크 외부 침입(17.1%)보다 내부 직원에 의한 유출(45.7%) 비중이 더 크게 조사됐다. 사용자 인증과 권한 중심 통제 정책으로 변화가 증가된 배경이다.

제로트러스트에서도 핵심은 ‘인증 후 접속’이다. 사용자 검증 후 권한 검증을 진행하고, 이후 시스템에 접속하거나 애플리케이션에 접근할 수 있게끔 한다. 데이터 영역에 대한 시스템 영역에 대한 보호를 위해서다. 매번 인증 때마다 비밀번호를 사용한다면, 안전성도 ᄄᅠᆯ어지고 사용자도 불편함이 가중될 수밖에 없다.

이에 대응해 금융권에서는 생체인증 중심으로 사용자 본인확인과 식별을 강화하고 있다. 지난 2022년 11월 은행연합회에서 발표한 국내 은행 내부통제 혁신방안에서는 개인소유 기기 기반 인증이나 생체인식 인증 방식으로 고도화할 것을 요청했다.

지난해 1월 저축은행중앙회도 생체인증시스템 도입을 명시했고, 여신금융협회는 지난해 11월 여전업권 내부통제 개선방안 중 하나로 아이디‧패스워드 방식 외 별도 추가 인증 절차를 의무적으로 시행해 사용자 시스템 접통제를 강화하겠다고 밝혔다. 공공 쪽에서도 파이도(FIDO) 기반 생체인증, 인증서OTP 등 추가 보안솔루션을 적용하는 추세다.

김형관 팀장은 “지난해에는 생체인증 중 안면인증 수단을 선호했는데, 업무시간에 본인을 촬영하는 프라이버시 부담을 느끼는 직원들이 늘어, 올해에는 지문‧지정맥 등 수단으로 적극 검토되는 분위기”라며 “보조인증 수단도 추가로 확보를 하고 있다”고 전했다.

이어 “인증 통합 플랫폼을 구축해 각각의 인증 수단에 대한 연동 부분을 표준화하고, 각 정책을 용이하게 관리할 수 있는 체계가 필요하다”며 “라온시큐어는 생체인증 및 파이도 기반 다중요소인증(MFA) 지원 인증통합플랫폼 원패스를 통해 다양한 신규 인증 수단과 외부 생체 인증 솔루션에 대한 안정적 연동을 지원한다. 대구은행, 국민건강보험, 한국수력원자력 등 공공‧금융권 다양한 도입사례를 확보해 안정성을 인정받았다”고 덧붙였다.

최민지 기자
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널