Home > 전체기사
[주말판] 비밀번호 없는 시대, 얼마나 가까이에 있을까
  |  입력 : 2019-06-01 13:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2022년까지 비밀번호의 60~90%가 대체될 것...기업들 연구에 박차
FIDO2라는 표준이 무료로 풀린 것이 큰 역할...지금 인증 시장은 각축장


[보안뉴스 문가용 기자] 비밀번호는 정말로 없어지고 있는 걸까? 비밀번호 없는 세상은 얼마나 가까워져 있을까? 최근 몇 년 동안 마이크로소프트와 구글, 애플 등 영향력 높은 기업들이 비밀번호를 없애는 움직임을 선도해왔는데, 그 성과는 어느 정도나 될까?

[이미지 = iclickart]


보안 업계에서 비밀번호는 낡고 구시대적인 보안 장치로 인지되고 있다. 각종 침해 사고의 주요 원인으로 비밀번호를 꼽는 전문가들도 다수다. 버라이즌(Verizon)이 최근 발표한 ‘데이터 침해 수사 보고서(DBIR)’에 따르면 침해 사고의 80%가 ‘훔친 비밀번호나 약한 비밀번호’를 통해 이뤄졌다고 한다. 그래서 FIDO라는 표준이 출범하기도 하고, 비밀번호 없이 인증하는 여러 가지 방법들이 등장하고 있다.

가트너의 분석가인 안트 알란(Ant Allan)은 최근 비밀번호 없는 인증 기술에 대한 보고서를 발표하며 “2022년 안에 전 세계의 대형 기업들 중 60%와 중소기업 90%가 비밀번호 없는 인증 기법을 도입할 것”이라고 예언했다. 비밀번호 없는 인증 기법의 2018년 도입 비율은 5%에 불과했다. 22년으로 가는 길목에 있는 지금, 우리가 가지고 있는 비(非) 비밀번호 인증법고 현황에 대해 업체별로 정리해보았다. 그 가운데 비밀번호를 없애기 위한 중요한 개념들이 어디까지 나왔는지도 짚었다.

마이크로소프트
마이크로소프트의 아이덴티티 부문 부회장인 알렉스 시몬즈(Alex Simons)는 “업계 전체와 생태계 전부가 비밀번호를 떠나보내야 한다고 믿고 있다”고 말한다. “인증은 보다 간단해지고, 보다 강력해져야 합니다. 비밀번호는 둘 중 어떤 것도 충족시키지 못합니다.”

이런 MS가 제일 처음 비밀번호를 대체시키기 위해 내놓은 건 윈도우 헬로(Windows Hello)라는 것이다. 사용자가 생체 정보나 PIN을 사용해 PC의 잠금장치를 해제하고 앱들과 클라우드 자원에 접근할 수 있게 해주는 기능이다. 그 다음 마이크로소프트가 내놓은 건 ‘마이크로소프트 오센티케이터(Microsoft Authenticator)’ 앱이다. 맥, 크롬북, 안드로이드, iOS 등 여러 플랫폼에서 사용이 가능하며, 각종 계정에 비밀번호 없이 접속하도록 해준다.

마지막으로 MS는 FIDO2라는 표준에 대한 지원을 시작했다. FIDO 얼라이언스(FIDO Alliance)의 CMO인 앤드류 쉬키아(Andrew Shikiar)는 “FIDO2는 장비와 웹사이트 구분 없이 실행될 수 있는 열린 표준”이라고 설명한다. 즉, 보다 강력하고, 활용이 쉬우며, 플랫폼 구분 없이 작용하는 인증 기법을 전방위적으로 도입시키겠다는 움직임을 MS가 보인 것이다.

FIDO2는 간단히 말해 웹오슨(WebAuthn)과 CTAP(클라이언트 대 인증기 프로토콜)라는 두 가지 표준을 하나로 합친 것이다. 웹오슨은 브라우저 기반의 API로, 웹 애플리케이션들이 사용자를 인증할 때 비밀번호가 아니라 공공 키 기반의 암호화 기술을 사용하도록 한다. 웹오슨에는 여러 가지 인증 기술이 탑재되어 있는데, 윈도우 헬로, FIDO 보안 키 등이 여기에 포함된다. CTAP는 원격의 오센티케이터 장치들과 웹 브라우저가 서로 ‘이야기를 나눌 수 있도록’ 중간에 다리를 놔주는 역할을 담당한다.

구글
구에미 킴(Guemmy Kim) 그룹 제품 관리자에 의하면 “구글은 이중인증 도입을 현재 최우선 과제로 삼고 있다”고 한다. 즉 비밀번호 하나에만 의존하는 문화부터 바꾸려는 계획을 가지고 있는 것이다. 킴은 “사이버 공격자들에게 있어서 가장 인기가 높은 침투 기술이 피싱인 것은 비밀번호 하나로만 수많은 계정들이 보호되고 있기 때문”이라며, “비밀번호 외의 보호 장치만 확산시킬 수 있다면 판도가 바뀔 것”이라고 설명한다.

또한 킴은 FIDO 표준에 기반을 둔 이중인증과 비밀번호 없는 인증 기법이 사용자들을 보다 안전하게 지켜줌은 물론, 보안의 편리함까지도 알릴 수 있을 것이라고 덧붙이기도 했다. 최근 구글은 “안드로이드 7 이상을 탑재한 스마트폰들에 보안 키 기능이 자동 탑재되도록 할 것”이라는 발표를 하기도 했다.

“보안이 좀 더 쉽고 편리하며, 따라서 사용자들이 선뜻 선택할 수 있도록 하기 위해서 구글은 모든 제품들에 FIDO와 같은 표준들이 지원될 수 있도록 할 것입니다. 사용자들이 보안을 가지고 놀 수 있게 되면, 우리는 보다 높은 수준의 보안력을 다 같이 갖추게 될 것입니다.” 킴의 설명이다.

“FIDO2가 등장하면서 여태까지 오랜 난제였던 피싱을 이길 수 있게 되었습니다. FIDO2 자체가 피싱에 종말을 고할 수도 있지만, 그렇지 않더라도 피싱 없는 세상이 무엇인지 우리는 중대한 힌트를 얻게 된 것이죠. 이미 안드로이드와 크롬은 FIDO2를 지원하고 있습니다. 구글의 다음 목표는 FIDO2와 웹오슨을 구글 로그인에 구축하는 것입니다.”

하이퍼(HYPR)
하이퍼의 CEO인 조지 아베티소프(George Avetisov)는 꽤나 오랜 시간 한 가지 미션에 집중해온 인물이다. 비밀번호를 사람들이 귓속말로 자꾸만 공유하는 행위를 어떻게 근절시킬 수 있을까, 하는 것이었다. 비밀번호를 대놓고 떠드는 사람은 없지만, 친한 사람, 필요한 사람끼리는 비밀번호가 공공연하게 공유되고 있었다. “공유할 수 없는 무언가가 비밀번호를 대신해야 합니다. 비밀 키가 저장된 장비, 지문, 안면 등이 바로 그것입니다.”

그래서 하이퍼는 사용자들이 이렇게 공유하기 힘든 방법 중 한 가지를 선택해 스스로 인증 장치를 구축할 수 있도록 하는 서비스를 제공하고 있다. “사람들이 가장 싫어하는 건 ‘강제되는 것’입니다. 예를 들어 호주에서 진행된 한 연구에 의하면 유럽과 미국 사람들보다 호주 사람들은 홍채 인식에 더 거부감을 표하더군요. 이런 지역적 차이도 고려할 수 있어야 하고요. 비밀번호를 정말로 대체하고 싶다면, 여러 가지 방법을 개발해 소비자들이 선택할 수 있도록 해줘야 합니다.”

시큐어오스(SecureAuth)
시큐어오스 역시 “고객들이 비밀번호로부터 점점 멀어지게 한다는 목표로 노력하고 있는 단체”라고 수석 보안 아키텍트인 스티븐 콕스(Stephen Cox)가 말한다. “현재 기업들이 비밀번호 없는 시스템으로 가고 싶어도 못 가는 건, 비밀번호를 기반으로 하고 있던 오래된 애플리케이션들을 유지해야 하기 때문이죠. 앱들을 한꺼번에 바꾼다는 건 비용과 생산성 측면에서 커다란 리스크라 망설여지는 게 사실입니다.”

그러면서 콕스는 “시큐어오스의 현 주안점은, 오래되었고 순식간에 대체하기 힘든 애플리케이션들의 전면에 일종의 ‘파사드’를 만들어주는 것”이라고 말한다. 즉 앱 자체를 대체하는 게 아니라, 새로운 인증 장치만을 하나 더 추가시키는 것이죠. “또한 앱 사용자를 인증하기 위해 뒤에서 리스크를 기반으로 한 인증도 실시하고 있습니다.” 리스크 기반 인증이란, 시스템이 침해되었을 때의 예상 결과를 기반으로 다양한 난이도의 인증 절차를 도입하는 걸 말한다.

듀오 시큐리티(Duo Security)
듀오 시큐리티의 제품 관리자인 스티븐 원(Steven Won)은 비밀번호 없는 인증을 중요한 이슈로 만든 것에는 크게 세 가지가 있다고 말한다. “먼저는 애플의 에스시리즈(S-Series)와 같은 하드웨어 칩이 등장하면서, 비밀번호 없이도 디지털 키 등을 방어하는 게 가능하다는 것이 증명됐죠. 그 다음은 생체 인증이 갑자기 대중화된 겁니다. 애플과 구글의 핸드셋들이 큰 역할을 했습니다. 마지막은 웹오슨과 CTAP와 같은 기술을 탑재한 무료 표준이 만들어진 것입니다. 이 무료 표준 때문에 저희 회사와 같은 곳에서 사용자들을 위한 다양한 기술을 개발할 수 있게 됐습니다.”

원은 “웹오슨이 있어 비밀 키가 사용자의 장비에서 절대 나갈 수 없도록 하는 비대칭 암호화의 구현이 쉬워졌다”며 “이런 환경을 조성하면 키가 공유되는 일이 일어나라 수 없다”고 설명한다.

듀오 시큐리티는 보안 전문가들이 웹오슨에 대해 심도 있게 학습할 수 있는 웹사이트를 두 개 개설했다. 하나(https://webauthn.guide/)는 웹 인증과 비밀번호 없는 인증에 대한 개괄적인 내용이 주로 담긴 곳이고, 다른 하나(https://webauthn.io/)는 개발자들이 웹오슨을 구현하고, 실험하고, 공유할 수 있도록 하는 장이다. 두 번째 웹사이트에서는 오픈소스 라이브러리들도 활발히 소개 및 공유되고 있다고 한다.

유비코(Yubico)
유비코의 CSO는 제러드 청(Jerrod Chong)이라는 인물로, 역시 FIDO2와 같은 표준이 무료로 등장한 덕분에 비밀번호 없는 웹 인증 기술 개발이 가속될 수 있다고 말한다. 그러면서 “비밀번호가 없는 인증이 이론 상 간편하고 강력한 인증을 제공하는 것은 사실이지만, 사용자들이 새로운 장비나 친구의 장비에서 로그인을 하려고 할 때는 의외로 불편함을 초래하기도 한다”고 말한다.

“사람들은 스마트폰, PC, 태블릿을 생각보다 자주 바꿉니다. 헌 것에 질려서 그렇기도 하지만, 잃어버리거나 도난당하는 경우도 많습니다. 그런 경우 비밀번호가 아닌 인증 기법은 유연하지 못한 모습을 보일 때가 많습니다. 그래서 유비코는 유비키(Yubikey)라는 서비스를 제공하기 시작했습니다. 여러 장비 사이를 편안하면서도 안전하게 오갈 수 있도록 한 것이죠.”

핑 아이덴티티(Ping Identity)
보안 업체 핑 아이덴티티의 CISO인 롭 렉(Robb Reck)은 “앞으로 인증 기술은 리스크를 기반으로 하며, 지속적이어야 한다”는 입장이다. 편리하고 안전한 인증의 속뜻이 바로 이 두 가지라는 것이다. 핑 아이덴티티는 소비자들의 휴대전화나 랩톱에 있는 센서들을 사용해 지속적으로 인증하고, 이를 바탕으로 계산된 현재 시점의 신뢰 수준을 기준으로 자원에 접속하도록 해준다. 지속적인 인증이 중단되어 신뢰가 사라지게 되면 인증이 필요한 거래를 진행할 수 없게 된다.

“최종 사용자의 경험을 향상시키기 위해서는 제일 먼저 장비마다 동일한 경험이 유지되도록 해야 합니다. 현재 엄청난 비율의 기존 사업 행위들이 스마트폰으로 옮겨 간 상태입니다. 특히 소비자들을 직접 대하는 B2C 기업은 스마트폰을 생각하지 않고는 사업을 할 수 없을 정도입니다. 스마트폰 기종에 영향을 거의 받지 않는 서비스를 생각해야 하는 시점입니다. 보안과 인증도 마찬가지입니다.”

핑 아이덴티티는 ‘푸시 알림’과 ‘큐알 코드’, 1회용 비밀번호로 비밀번호를 대체하는 방법을 연구 중에 있다. 물론 상세한 내용을 밝히기는 어렵지만, 강력함과 편리함을 소비자들에게 제공할 수 있을 것이라고 기대하고 있다. “비밀번호를 매번 바꾸고 외워야 하는 것보다 훨씬 쉬울 것은 분명합니다. 다중인증을 기반으로 하고 있으니 당연히 비밀번호보다 강력할 것이고요.”

시크릿 더블 옥토퍼스(Secret Double Octopus)
마케팅 부회장인 아밋 라하브(Amit Rahav)는 “지난 5년 동안 일반 대중들은 지문과 안면 인식 기술에 친숙해져왔다”며 “개인 장비를 사용하는 데에 있어 생체 인증은 이제 대중화된 것이 맞지만, 아직 작업 공간, 업무 공간에서는 그렇지 않다”고 지적한다. 시크릿 더블 옥토퍼스는 현재 이 부분을 파고들어, 작업 공간 내에서 사용되는 시스템과 오래된 앱들을 개인 스마트폰과 FIDO 기반 장비로 인증할 수 있도록 해준다.

“비밀번호를 없애려고 연구를 하다 보니 오히려 더 강력하고 편리한 방법들이 나오고 있다는 게 신기하고 재미있습니다. 일단 비밀번호를 외우고 관리해야 한다는 것에서부터 자유롭게 되고, 그러면서도 더 강력한 방법으로 보호받게 되는 것이죠. 아직 비밀번호만큼 대세로 자리 잡을 기술이 정해지지는 않았고, 따라서 인증 시장이 갖가지 기술의 각축장으로 변하고 있는데, 지금처럼 인증에 대한 고민이 열정적으로 이뤄진 적이 없는 것 같습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

이노뎁
VMS

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

쿠도커뮤니케이션
스마트 관제 솔루션

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

한국씨텍
PTZ CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

링크플로우
이동형 CCTV 솔루션

엔토스정보통신
DVR / NVR / CCTV

트루엔
IP 카메라

다민정보산업
기업형 스토리지

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

디비시스
CCTV토탈솔루션

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

옵티언스
IR 투광기

옵텍스코리아
실내 실외 센서

구네보코리아
보안게이트

엑사비스
사이보 보안 CCTV

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

수퍼락
출입통제 시스템

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

파이브지티
얼굴인식 시스템

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

다원테크
CCTV / POLE / 브라켓

티에스아이솔루션
출입 통제 솔루션

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

금성보안
CCTV / 출입통제 / NVR

지와이네트웍스
CCTV 영상분석

이후커뮤니케이션
CCTV / DVR

지에스티엔지니어링
게이트 / 스피드게이트

넷플로우
IP인터폰 / 방송시스템

아이유플러스
레이더 / 카메라

DK솔루션
메트릭스 / 망전송시스템

두레옵트로닉스
카메라 렌즈

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

KPN
안티버그 카메라

싸이닉스
스피드 돔 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

창우
폴대

유진시스템코리아
팬틸트 / 하우징

브이유텍
플랫폼 기반 통합 NVR

글로넥스
카드리더 / 데드볼트

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향