“OTP 분할로 더 안전한 비밀번호 관리”
상태바
“OTP 분할로 더 안전한 비밀번호 관리”
  • 김선애 기자
  • 승인 2017.06.25 10:29
  • 댓글 0
이 기사를 공유합니다

신우TNS ‘실버레인 라이브서트’, 키로깅 통한 OTP 탈취 공격도 막을 수 있어…편의성·보안성 강화

호스팅 기업 스마일서브가 발표한 인터넷나야나 랜섬웨어 공격 분석 보고서에서는 서버 접근 비밀번호가 유출됐을 가능성을 제기했다. 150여대에 이르는 서버의 비밀번호를 기억할 수 없기 때문에 엑셀파일로 정리해 암호화 저장하는데, 이 파일을 공격자가 입수했을 것이라는 추정이다.

비밀번호는 웹서비스를 위해 필요한 가장 기본적인 인증 정보이지만, 유출되기 쉽다. 유추하기 쉬운 문자·숫자 조합을 사용하거나, 키로깅을 통해 사용자가 입력하는 비밀번호를 탈취할 수 있다. 많은 사용자들이 핸드폰에 웹서비스 ID와 비밀번호를 저장해 탈취하기 더 쉽게 만들고 있다.

비밀번호의 보안 취약점 문제는 일회용비밀번호(OTP)로 해결할 수 있다. 전용 토큰을 사용하거나, 스마트폰과 PC의 웹·앱을 통해서도 제공될 수 있다. OTP를 더 안전하게 사용하는 방법으로, OTP에서 발생하는 번호를 둘로 쪼개 전달한다는 아이디어도 나왔다. 신우TNS가 개발한 ‘실버레인 라이브서트(Silverrain Live Cert)’는 사용자가 비밀번호를 기억할 필요 없이 휴대폰을 통해 간편하게 인증을 할 수 있다.

▲신우TNS ‘실버레인 라이브서트’ 인증 프로세스

실버레인 라이브서트의 본인인증 프로세스는, 웹서비스 로그인 창에 ID를 입력하면 OTP가 생성되고, 이 중 반 쪽(OTP 1-1)이 자동로그인 인증서버에 전달된다. 인증서버가 이를 가입자 핸드폰으로 보내면 핸드폰은 나머지 반쪽의 비밀번호(OTP 1-2)를 생성해 인증서버로 보낸다. 인증서버는 완성된 OTP를 OTP 서버에 전달하면, OTP 서버는 완성된 비밀번호를 확인하고 새로운 OTP를 생성시켜 인증서버로 보낸다. 인증서버는 검증결과를 확인한 후 웹서비스에 검증결과와 OTP를 전달하고, 웹서비스는 사용자 로그인 허용, 감사로그를 남긴다.

박범준 신우TNS 대표는 “라이브서트 기술의 핵심은 비밀번호를 쪼갠다는 것이다. OTP의 반 쪽은 사용자가, 반 쪽은 웹서비스가 갖고 있어, OTP 입력값을 실시간으로 가로채 부정 로그인을 하는 공격도 막을 수 있다”며 “사용자는 핸드폰에 출력되는 반쪽의 비밀번호만 입력하면 되므로 간편하게 인증 보안을 강화할 수 있다”고 말했다.

라이브서트는 6월 말 출시 예정이며, 금융기관, 인터넷 쇼핑몰 등을 타깃으로 영업을 전개할 계획이다. 핸드폰만 소지하면 강력한 일회용 비밀번호를 발급받고 본인확인을 할 수 있어 공인인증서 의무사용 환경이 아니라면 공인인증서도 대체할 수 있다.

박 대표는 “장기적으로 라이브서트를 SaaS로 제공해 클라우드를 통한 SSO 사업으로 발전시키는 것이 목표”라며 “OKTA, PING과 같은 클라우드 인증 서비스로 성장시키겠다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.