이스톰, 입력할 필요도 외울 필요도 없는 ‘오토패스워드’로 주목

오토패스워드, FIDO 인증 획득 비롯해 최고 수준의 보안인증 기술 집약

[보안뉴스 정영희 기자] 보안성과 사용성을 겸비한 인증 솔루션을 개발해 주목을 받고 있는 이스톰(대표 우종현)이 비밀번호 상호인증 OTP 기술인 AutoPassword™로 본격적인 국내외 시장 공략에 나선다.

[이미지=이스톰]

‘오토패스워드(AutoPassword™)’는 온라인 서비스에 사용자가 아이디만 입력하면 사용자를 대신하여 비밀번호를 입력해주고, 사용자에게 올바른 비밀번호인지 스마트폰 앱을 통해 확인만 받으면 되는 비밀번호 대체 기술이다. 오토패스워드는 일회용 패스워드(OTP)가 매번 새롭게 생성되어 도용될 수 없으며, 한 걸음 더 나아가 사용자가 귀찮게 비밀번호를 외우거나 입력할 필요마저도 없앤 기술이다.

아이디와 패스워드 입력방식의 인증은 컴퓨터가 세상에 나온 이후 50년 이상 당연하게 사용되어 왔다. 그러나, 2017년 미국의 NIST(국립표준기술연구소)에서 패스워드와 같이 기억을 기반으로 하는 지식기반 인증은 이제 종료되어야 한다고 권고했다.

해당 권고안에서 NIST는 주기적인 비밀번호 변경이나 특수문자를 반드시 포함하는 복잡한 비밀번호 사용 등을 요구하지 말라고 권고했다. 비밀번호를 만들고 기억하기 어려워지는 사람들의 고충으로 인해 사용자들이 기억하기 쉬운 동일한 비밀번호를 지속적으로 생성하게 되어 오히려 보안에 악영향을 미치기 때문이라고 밝혔다.

User Password부터 다중요소인증(MFA)이나 2FA(Two Factor Authentication)를 비롯해 최근 활성화되고 있는 생체인증까지 기존의 인증 기술은 서비스 제공자 입장에서 접속한 단말기와 사용자가 맞다고 인증하는 것이지, 사용자 입장에서 내가 접속한 서비스가 맞는지 확인할 수 있는 것이 아니다. 즉, 현재 접속한 온라인 서비스가 정당한 서비스(사이트 또는 앱 등)인지를 사용자는 확인할 수 없다.

AutoPassword는 사용자가 서비스에 접속하면 서비스가 올바른 서비스 제공자인지를 사용자가 확인할 수 있게 일회용 비밀번호를 표시하고, 사용자는 서비스가 표시한 일회용 비밀번호가 올바른지 스마트폰에서 확인하여 두 값이 일치하면 승인을 하는 방식으로, 사용자가 서비스를 승인하는 순간, 서비스 역시 사용자를 확인할 수 있도록 오토패스워드 모바일 앱에서 PKI로 암호화된 사용자 OTP값을 서비스로 전송하여 서비스도 동시에 사용자를 확인한다.

이스톰의 우종현 대표는 “오토패스워드를 사용하면 암호를 입력할 필요가 없으니 기억할 필요도 없고 따라서 주기적으로 변경할 필요도 없게 되며, 사용자 입장에서는 단지 아이디만 기억하면 서비스를 안전하고 편리하게 이용할 수 있게 된다”고 밝혔다.

오토패스워드(AutoPassword)는 국제 인증 기술 표준인 FIDO 인증을 획득한 것을 비롯해 사용자의 IP 주소를 파악해 본인 여부를 확인하는 지역 기반 인증 기술, 그리고 모바일 앱이 가짜인지 확인하는 앱 위변조 탐지기술 등 최고 수준의 보안 인증 기술이 집약되어 있다.

한편, 이스톰은 5월 31일부터 6월 1일까지 이틀간 서울 코엑스 그랜드볼룸에서 개최되는 국내 최대 규모의 개인정보보호 컨퍼런스인 ‘2018 개인정보보호 페어(PIS FAIR 2018)에 참가해 오토패스워드 기술을 선보일 예정이다. 이와 함께 우종현 대표는 반대로 생각한 ‘사용자 비밀번호 관리방법’과 ‘랜섬웨어 예방 방법’이란 제목으로 5월 31일 강연도 예정돼 있다.
[정영희 기자(boan6@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)