사용자 계정을 보호하기 위해 사용되는 패스워드가 무용지물이 되고 있다. 사용은 어렵지만 해킹은 쉬운 패스워드로 인해 사용자 계정이 더욱 취약한 상태이다.
계정정보 유출 사고가 이어지면서 웹서비스 기업들은 복잡한 문자와 숫자의 조합으로 이뤄진 비밀번호 사용을 강제하고 있으며 일정 기간을 주기로 변경할 것을 권장하고 있다. 그러나 공격자들은 웹서비스의 취약점을 이용해 사용자 정보를 훔쳐가거나 기존에 유출된 개인정보를 이용해 웹서비스에 무단으로 접속, 개인정보를 추가로 훔쳐간다. 이 과정에서 패스워드는 개인정보를 보호하는데 아무런 역할을 하지 못한다.
FIDO 등 차세대 인증 플랫폼들은 패스워드의 보안 취약점을 지적하며 ‘비밀번호 없는 시대’를 열고 있다. 생체인식, QR코드, SMS, NFC 등 다양한 방법이 패스워드를 대체하고 있다. 지난달 미국에서 열린 FIDO2 상호연동 테스트에서 ETRI, 드림시큐리티, 이니텍, 라온시큐어 등 국내 기업들이 대거 인증을 획득, 차세대 인증 시장을 리드하고 있다. FIDO2는 모바일 뿐 아니라 PC웹에서도 가능한 차세대 인증 기준을 포함하고 있다.
스마트폰을 통해 일회용 비밀번호를 발생시키는 방식도 다양한 성공사례를 만들면서 확장해나가고 있다. 서우에스앤씨의 ‘엠세이버’는 스마트폰의 잠금화면에서 바로 비밀번호를 확인할 수 있는 기술로 특허를 받았다.
보안을 강화하기 위해 스마트폰 생체인식 기능을 통해 본인을 인증하면 비밀번호를 확인할 수 있다. 블록체인 기반 설계로 인증 정보를 저장하고 있어 더 안전하다.
임행창 서우에스앤씨 대표는 “경쟁사 솔루션은 스마트폰에서 앱을 열고 OTP를 실행시켜야 비밀번호를 알 수 있지만 엠세이버는 잠금화면에서 즉시 확인할 수 있어 더 편리하다”며 “하반기 FIDO2 인증을 획득해 서비스 경쟁력을 강화하겠다”고 말했다.
엠세이버는 출입통제 시스템과 연동 될 수도 있다. 스마트폰의 위치를 통해 직원의 위치를 확인하고 근태를 관리하거나 부정 로그인을 막는 등의 용도로 사용될 수 있다. 예를 들어 비콘 신호, 와이파이, 스마트폰 GPS 등의 위치정보를 이용해 스마트폰이 PC 옆에 있으면 자동으로 업무 시스템에 접속하도록 하고, 일정 거리 이상 멀어지면 로그아웃 되는 방식으로 사용할 수 있다. 이 방법을 사용하면 임직원 계정 정보를 도용해 중요 시스템에 무단으로 접근하는 침투 시도를 막을 수 있다.
임행창 대표는 “이러한 활용 모델은 강력한 보안이 요구되는 중요 시스템이나 연구소 등에서 활용할 수 있다. 주52시간제를 위해서도 사용할 수 있는데, 업무시간이 지나면 PC를 다시 켤 수 없도록 제어할 수 있으며, 출퇴근 시간을 기록하는 것도 가능하다”고 설명했다.
