[데이터넷] 계정을 보호하기 위해 비밀번호를 잘 관리하며, 길고 복잡한 문자·숫자 조합의 비밀번호를 설정하고 일정 주기로 바꿔야 한다고 알고 있다. 많은 웹사이트들이 정기적으로 비밀번호 교체를 권장하지만, 복잡한 비밀번호는 오히려 보안을 취약하게 만든다. 사용자는 복잡한 비밀번호를 외우지 못해 사이트 로그인 때 마다 비밀번호 찾기를 하거나 메모장에 저장한다. 공격자는 봇을 이용한 키로깅으로 사용자의 입력값을 탈취해 쉽게 비밀번호를 알아내고 공격에 이용한다.

조직이 관리해야 하는 장비의 비밀번호를 없애 보안을 강화하는 ‘패스워드 관리 시스템’이 대안으로 떠오른다. 이 시스템은 관리해야 할 장비의 비밀번호를 자동으로 배포하고 변경하며 회수해 비밀번호 관리 소홀로 인한 보안 문제를 해결한다. 관리자가 외우거나 입력 해야 하는 패스워드가 없기 때문에 유출될 우려도 없다. 패스워드 관리 시스템은 시큐어가드테크놀러지, 휴네시온, 한싹시스템, 파이오링크, 마크애니 등 여러 기업들이 공급하면서 시장을 확장해나가고 있다.

패스워드리스로 제로 트러스트 구현

비밀번호를 없애는 ‘패스워드리스’도 확장세를 높이고 있다. 패스워드리스는 비밀번호 외에 다른 방법으로 로그인하는 것을 말하며, 주로 생체인증, 적응형 인증 등이 사용된다. 가트너는 2022년까지 글로벌 기업의 60%, 중간 규모 기업의 90%가 패스워 드리스를 도입할 것으로 예상했다.

비밀번호 관리를 위해 길고 복잡한 숫자·문자 조합 을 사용할 것을 권고하지만, 이는 사용자만 불편하게 할 뿐 공격자는 아무 영향을 받지 않는다. 그래서 사용 자가 기억하거나 입력해야 하는 패스워드를 없애거나 최소화하고 업무의 중요도에 따라 단계별로 인증을 강화하는 적응형 인증을 도입하는 추세에 있다.

패스워드리스의 한 예로, 윈도우 헬로가 있다. 기기의 안전한 암호화 저장소인 TPM에 인증 정보를 저장하고, 사용자가 PIN, OTP·인증카드, 생체정보 등을 이용해 인증을 시도하면 TPM의 인 증정보와 비교해 일치하면 접속시키는 방식을 택한다.

MFA로 인증 보안 강화

적응형 인증은 업무의 중요도에 따라, 상황에 따라 강화된 인증 수단을 요구하는 방식을 택한다. 보안 민 감도가 낮은 업무에 평소와 동일하게 접속하면 자동으 로 로그인하며, 보안 수준이 높은 업무나 평소와 다른 환경에서 접속할 경우 PIN 번호 입력을 요구하고, 한 단계 높은 보안 수준의 업무에 접속하면 OTP를 요구 하는 등의 방법을 사용할 수 있다.

최근에는 생체인증과 생체행위인증으로 사용 편의 성을 한층 더 높이고 있는데, 얼굴인식, 지문인식 등 이 가장 많이 사용된다. 수기서명의 패턴과 특징을 파 악하는 수기서명인증, 키보드 타이핑 습관을 인식하는 행위인증 등도 긍정적으로 고려된다.

추가 인증은 모바일 기기를 이용하면 훨씬 더 편리하 게 구축할 수 있다. 사용자 스마트폰의 생체인증 기술을 연동하는 방식을 택할 수 있다. 시스템에서 추가인증이 필요할 경우 사용자 스마트폰으로 인증을 요청한다. 사용자는 스마트폰에 미리 설정한 인증 방법에 따라 인증하면 된다.

MFA는 PIN 번호 입력이나 얼굴·지문인식 등을 사용할 수 있다. 특히 얼굴인식을 사용하면 스마트폰을 한 번 바라보는 것만으로 인증이 가능하다. 시스템에 로그인 한 후 추가인증을 요구하면 스마트폰을 바라보고, 혹 시 추가적인 인증 요청이 있으면 스마트폰에 OTP를 발생시켜 시스템에 입력하는 등 추가 인증을 덧붙일 수 있다.

RSA의 ‘시큐어ID’는 적응형 인증을 지원해 편리하고 안전하게 액세스할 수 있도록 지원한다. 인증과 자격증명 관리를 통합하고 위험기반 액세스 결정을 간소화하며 클라우드 기반 디지털 이니셔티브를 지원해 디지털 환경의 모든 곳에서 ID 위험을 관리할 수 있다.

조남용 RSA코리아 이사는 “클라우드 전환이 빨라지 면서 시큐어ID 매출도 급속도로 높아지고 있다. RSA 는 OTP 시장 90% 이상 점유율을 갖고 있으며, 시큐어ID도 업계 선두주자의 위치를 지키고 있다”며 “시큐 어ID는 가장 신뢰도 높은 MFA로 인정받고 있으며, 미 정부기관, 군·국방을 비롯해 전 세계와 우리나라 여러 중요 기업·기관, 스마트팩토리 등에도 사용되고 있다. 시장에서 축적한 높은 신뢰도가 시큐어ID의 최대 강 점”이라고 말했다.

“코로나19 가장 많이 투자한 분야, MFA”

2FA·MFA는 제로 트러스트 아키텍처 구축에 필수 적인 보안 컨트롤이다. 마이크로소프트 조사에 따르면 코로나19 기간 동안 가장 많은 투자가 발생한 분야는 VPN이 아니라 MFA였다. 조사에 응한 기업의 14%가 VPN에 투자했다고 답했는데, MFA는 20%에 달한다.

탈레스의 ‘접근관리 인덱스 2020 아태지역’보고서 에 따르면 아태지역 기업의 55%가 MFA를 구현할 계획 이라고 답했으며, 40%는 IDaaS·접근관리 솔루션을 도입할 계획이라고 답했다. 또 98%의 IT 의사결정권자는 스마트 SSO를 높이 평가하고 있었으며, 55%가 현재 사용 중, 40%는 조만간 사용할 계획이라고 밝혔다.

MFA가 높은 성장 가능성을 보이자 여러 기업들이 경쟁에 참여하고 있다. 아카마이는 하드웨어 보안 키 없이 FIDO2 기반 MFA 솔루션 ‘아카마이 MFA’를 출 시하고 경쟁에 뛰어들었다. 이 제품은 물리적인 장비 없이 스마트폰 앱을 활용해 MFA를 수행할 수 있으며, 애저 AD, 옥타, 아카마이 EAA 등 ID, 솔루션과 통합 될 수 있다.

본격 성장 시작한 HSM

인증에 있어 빼놓을 수 없는 중요 요소로 하드웨어 보안 모듈(HSM)을 들 수 있다. 가장 강력한 하드웨어 암호 기술로 인증 키를 관리하는 HSM은 디지털 키 관리, 디지털 서명 암호화, IoT 인증, 암호화폐 등 다양 한 암호화·인증 요구로 빠른 성장을 이뤄가고 있다. 시장조사기관 마켓앤마켓은 HSM 시장이 2022년까지 연 평균 12.87% 성장할 것으로 예상했으며, 클라우드, 인터넷뱅킹, 디지털결제, 가상자산, IoT 확장으로 성장세가 더 높아질 것으로 예상했다.

HSM 시장에서는 엔트러스트의 ‘엔사이퍼’와 탈레스의 ‘세이프넷 HSM’ 제품군이 시장을 양분하면서 성 장해왔다. 이 두 제품은 오랫동안 시장의 절대 강자로 군림해왔으며 업계 가장 높은 안정성과 속도, 확장성을 제공한다.

우리나라에서도 HSM 시장은 이 두 기업이 장악하고 있는데 분산ID, 민간 전자서명 평가기관, 가상자산 등 에서 HSM 수요가 폭증하면서 성장가도를 달리고 있다. 특히 올해 사설인증기관인 민간전자서명평가기관이 MFA를 위해 HSM을 반드시 사용해야 한다고 규제에서 명시하고 있어 이 시장에서 상당한 매출이 나올 것으로 기대된다. 또 마이데이터사업이 본격화되면서 마이데이터 접근제어와 마이데이터 보호를 위한 HSM 수요와 특정금융거래정보의 이용 및 보고에 관한 법률 (특금법) 수행으로 HSM이 높은 성장을 이룰 것으로 기대하고 있다.

김기태 엔트러스트코리아 이사는 “인증 수요가 높 아지면 HSM도 성장하게 되어있다. 클라우드로 확장 된 비즈니스 환경으로 인해 계정관리·인증 수요가 늘어나고 키관리를 위해 HSM을 사용할 수밖에 없다. IoT, 스마트팩토리, 분산ID, 사설인증, 마이데이터 등 HSM은 성장할 길만 남았다해도 과언이 아니다”며 “엔사이퍼는 행정안전부 5000만 전자서명을 관리할 정도 로 뛰어난 확장성과 안정성을 검증받았다. 그외에도 다양한 사업에 HSM을 공급하면서 시장 우위를 확고히 지키겠다”고 말했다.

HSM 시장의 높은 성장세가 기대되면서 해외 HSM 기업의 진출도 이어지고 있다. 독일의 HSM 기업 우티 마코가 진네트웍스를 통해 국내에 공급되는데, 차세 대 HSM ‘유트러스트 앵커(u.trust Anchor)’는 클라우 드 서비스 사업자와 기업이 HSMaaS 형태로 서비스할 수 있는 플랫폼을 제공한다. 암호화 키의 무제한 스토 리지와 암호화 키 감사 기능, 쉬운 관리 기능을 제공해 클라우드 키 관리 복잡성을 제거한다.

에스케어는 키관리와 HSM 솔루션을 공급하는 포타 닉스(Fortanix)와 파트너십을 맺고 국내 영업을 시작 한다. 포타닉스는 인텔 SGX 기술을 활용해 복잡하게 분산된 HSM과 KMS를 통합한다.

정경원 에스케어 대표는 “국내에 제공되는 HSM은 비싸고 경직된 제품으로 한정된 영역에서만 제공됐다. 포타닉스 제품군은 마이데이터, 개인정보 비식별화, 가 상자산 보호, IoT 등 새로운 혁신 서비스를 위한 대안을 제공할 수 있을 것이다. 차세대 HSM과 KSM를 통해 인 증·암호화 시장을 공략할 것”이라고 밝혔다.