세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
비밀번호 사용량, 이중인증에 비해 아직도 압도적이다
  |  입력 : 2017-10-30 10:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이중 인증 및 다중 인증, 도입에 어려움 있어
자체 인증 기능 갖춘 모바일 기기 활용한 인증 시스템이 효과적


[보안뉴스 문가용 기자] 비밀번호 대신 이중 인증을 사용하라는 권장사항이 전파된 시간이 꽤 지났음에도 여전히 비밀번호가 압도적으로 사용되고 있다는 사실이 재벌린 스트래티지 앤 리서치(Javelin Strategy & Research)를 통해 조사됐다. IT와 관련된 결정권자들 400명을 대상으로 실시한 조사에서 비밀번호가 여전히 사용되고 있는 경우가 100%인 것이 드러난 것.

[이미지 = iclickart]


이번 조사를 의뢰한 건 FIDO 얼라이언스(FIDO Alliance)로, “이번 조사를 통해 기업들의 절반 정도가 고객 정보의 보호를 위해서는 다중 인증 시스템을 도입했으나 자사의 직원들을 위해서는 35%만이 다중 인증을 실시하고 있었다”고 발표했다. 한편 공개 키 암호화(public key cryptography)를 인증 방법의 한 가지로 도입한 경우는 고객 정보나 직원 정보나 5%에 불과했다.

재벌린의 수석 부회장인 알 파스쿠알(Al Pascual)은 “역시나 예상대로의 결과이지만 실망감을 금할 수는 없다”고 말한다. 산업별로 보면 공개 키 암호화 기술을 도입한 곳은 IT 분야가 9%, 도소매 및 숙박 서비스 산업이 3%에 그쳤다. 파스쿠알은 “아직 의료 및 금융 산업에서도 비밀번호를 사용한 단일 인증 시스템을 보유한 곳이 많다”며 “대부분 다중 인증 시스템을 도입할 예산이 없는 조직들”이었다고 설명했다.

무엇이 문제인가?
아직도 많은 기업들이 비밀번호 하나에만 의존하고 있다는 건 지적재산과 금융 데이터 등이 매우 위태로운 상태에 놓여있다는 뜻이 된다고 파스쿠알은 해석한다. “일단 비밀번호 자체를 강력하게 사용하는 습관을 가지고 있지도 않다는 게 가장 큰 문제죠. 이메일 비밀번호나 회사 로그인 비밀번호나 똑같이 사용하는 경우가 많고, 이를 해커들도 잘 알고 있습니다.”

올해 초 퓨 리서치 센터(Pew Research Center) 역시 비밀번호에 관한 보고서를 제출했는데, 당시 응답자의 39%가 같거나 비슷한 비밀번호를 여러 계정에 중복해 사용 중에 있다고 답했다. “그런데 이 비밀번호가 자꾸만 유출되고 있는 게 현실입니다. 드롭박스에서는 6천 8백만 개 비밀번호가, 큐피드 미디어(Cupid Media)에선 4천 2백만 개 비밀번호가 최근에 유출되기도 하는 등 소비자의 비밀번호는 이미 다량으로 알려져 있는 상태입니다.”

게다가 비밀번호만이 문제가 아니다. 이중 인증을 사용하는 경우에도 ‘비교적 약하다’고 평가된 요소들이 동원되고 있다는 사실도 이번 조사를 통해 밝혀졌다. “문자 메시지를 통해 또 다른 인증번호를 보내는 방식(SMS OTP)나 사전에 설정된 질문에 올바른 답을 제시하는 방식의 지식 기반 인증이 이중 인증 방식 중 가장 많이 도입된 상태였습니다. 전자는 31%, 후자는 25%였습니다.”

“비밀번호, 정적인 질문, SMS OTP는 ‘데이터의 무결성’을 판단하는 데에 더 적합한 방식입니다. 기기를 사용하는 사람이 누구인지 인증하는 것에는 한계가 있죠.” 보안 업체 뉴데이터 시큐리티(NuData Security)의 마케팅 책임자인 리사 베어겐(Lisa Baergen)의 설명이다.

그렇다면 이렇게 인증 시스템이 허술한 틈새로 사이버 범죄자들은 어떤 것을 주로 노릴까? “금융 데이터가 46%로 1위를 차지했습니다. 그 다음은 44%를 차지한 지적재산입니다.” 그럼에도 다중 인증 시스템을 도입하려는 기업들의 ‘의도’는 그리 공격적이지 않다. “새로운 인증 시스템을 마련한다고 했을 때, 36%가 구축 단계에서의 위험이 부담스럽다고 답을 했고, 또 다른 36%는 산업 보안 표준을 어기게 될까봐 무섭다고 답했습니다. ‘안 되는 이유’가 기업들 마음 속에 크게 자리잡고 있는 것이죠.”

하지만 파스쿠알은 “그런 부담감이 이해간다”는 입장이다. “이미 여러 기업들이 사업 플랫폼 위에 수많은 프로그램들을 도입해놓은 상태입니다. 각기 다른 업체에서 만든 다른 솔루션들을 통합적으로 운영하는 것은 매우 어려운 일로, 여기에 새로운 시스템을 얹겠다는 것은 부담감을 가중시키는 일일 수밖에 없습니다.” ‘너무 많은 솔루션들 간의 호환성’은 현대 보안 관제 센터의 문제점이기도 하다.

FIDO 얼라이언스는 현재 공공 키 암호화를 활용한 ‘강력한 인증 시스템’을 표준화시키기 위한 사업을 벌이고 있다. 민감한 데이터를 보호함은 물론 비밀번호를 서서히 데이터 보호 시스템에서부터 축출하기 위함이다. FIDO 얼라이언스의 이사인 마이클 매그라스(Michael Magrath)는 “FIDO 나름의 표준을 정립해가고 있다”며 “행동 패턴 인증이나 안면 인식 등 사용하기에도 편하고 기능성도 강력한 것을 추구한다”고 말한다.

FIDO 얼라이언스는 재벌린 보고서를 통해 “지문 인식 기능이나 음성 인식 기능을 갖춘 모바일 기기를 활용하는 등 ‘소유물에 기반을 둔 인증 과정’을 권장한다”고 권장했다. 파스쿠알은 “이런 저런 인증 기술들이 발전하고 있어 수개월 내에 비밀번호 인증 대신 더 강력한 인증 시스템을 갖춘 조직들이 늘어날 것이라고 예상한다”고 희망을 내비쳤다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)