[데이터넷] 사용자 계정을 유출해 피싱, 금융사기 등에 이용하는 사고가 이어지고 있다. 코로나19로 애플리케이션 사용이 늘어나면서 공격은 더 늘어나고 있다. 대부분의 사용자들은 계정을 안전하게 관리하는 방법을 잘 알지 못하며, 자신의 계정을 가족이나 친구와 공유하는 경우도 많다. 유료 앱을 하나의 ID로 결제한 후 다른 사람들과 공유하거나 여러 기기에서 사용하는 경우도 있는데, 공유하는 사람·기기가 많아지면 그만큼 탈취 위험도 높아진다.

사용자 계정 탈취 공격을 막기 위해 사용자 스스로 계정을 안전하게 관리하도록 노력해야 한다. 쉬운 문자·숫자 조합의 비밀번호를 사용하지 않으며, 업무 계정과 개인 계정은 다르게 설정해야 한다. 개인정보 유출 사고가 발생하면 계정정보를 바꿔 추가 피해를 입지 않도록 해야 한다.

그러나 개인의 노력만으로 계정탈취 공격을 막을수는 없다. 개인은 보안에 대한 인식이 높지 않으며, 많은 사람들이 보안보다 편의성을 추구한다. 계정 공유에 대한 경각심을 가진 사람이 많지 않다. 스마트폰에 설치된 애플리케이션의 정보가 클라우드에 저장되기 때문에 계정이 탈취되면 클라우드 정보까지 침해당할 수 있다는 사실도 모르는 경우가 태반이다.

서비스 기업들은 사용자의 계정을 보호한다며 사용자에게 복잡한 문자·숫자 조합의 비밀번호 사용과 정기적인 변경을 권고한다. 그러나 복잡한 비밀번호는 보안에 전혀 도움이 되지 않는다. 사람들은 복잡한 비밀번호를 외우지 못해 자동 로그인을 설정하는데, 사용자 기기에 숨어든 해커들은 저장된 계정정보를 탈취해 공격에 이용한다. SNS 계정을 이용한 자동 로그인도 위험하기는 마찬가지다. SNS 계정 정보가 탈취되면 연동된 모든 계정에 로그인 할 수 있다.

자동 로그인을 하지 않고 로그인 마다 비밀번호를 입력한다고 해서 안전한 것도 아니다. 공격자는 자동화 봇을 이용해 사용자의 키 입력값을 탈취하거나 실수로 노출된 계정을 웹 상에서 스크래핑하면서 정보를 수집하고 결합한다.

키보드 보안 솔루션을 이용해 사용자가 입력하는 비밀번호를 보호한다 해서 안전한 것도 아니다. 키보드 보안을 적용하지 않은 다른 사이트에서 유출된 정보를 이용해 이 서비스에 정상 사용자 계정으로 입력해 추가 공격을 벌이는 것을 막지 못한다. 키보드 보안 솔루션은 장애가 많아 고객들이 사용을 꺼리기 때문에 적극적으로 확장할 수도 없다.

보안 전제된 편리한 인증 필수

고객의 계정정보 관리를 고객에게만 떠넘겨서는 안 되는 이유는 공격이 끊임없이 이어지고 있기 때문이다. 이전에 유출된 사고를 이용해 고객정보를 탈취하는 공격을 고객이 모두 인지하는 것을 불가능하다. 유출된 계정정보가 다른 공격에 이용당하고 있는지 확인하지 못하는 경우가 태반이다. 심지어 서비스 기업 조 차 해커가 협박하기 전 자사 고객정보가 유출되고 있 다는 사실을 모르며, 알면서도 감추는 경우도 있다. 공격자가 A 서비스에서 유출된 정보로 B 서비스에 가입해 사기행위를 벌이는 것을 A도, B도, 피해자도 모르고 있는 경우가 부지기수다.

서비스 기업들은 고객 정보를 보호하기 위해 고객에 게 여러 단계의 인증을 요구한다. 일반 로그인은 ID/ PW만으로 인증하고, 중요한 거래 요청시 추가 인증 을 요구하는데, 추가인증이 어렵고 복잡하다면 사용자는 이 서비스를 이용하지 않고 떠나게 마련이다. 예를 들어 캡챠를 추가인증으로 적용했는데, 캡챠 이미지가 너무 복잡해 제대로 인식하지 못해 로그인을 포기하거나 실패할 때, 사용자는 이 서비스를 이탈할 가 능성이 높다.

복잡한 인증이 반드시 안전한 것은 아니다. 스마트폰을 이용한 간편인증에 익숙한 고객들은 단순히 스마트폰을 바라보거나 터치하는 것 만으로도 안전하게 인증할 수 있다는 사실을 알고 있다. SNS는 물론이고, 금전거래가 발생하는 금융·전자상거래, 게임, 온라인 스트리밍, 업무용 애플리케이션까지 간편하고 단순한 인증을 요구한다.

서비스 기업들은 고객이 쉽게 자사 서비스에 접근 할 수 있게 설계해야 하며, 안전하게 고객 정보를 보호 하는 방안도 마련해야 한다. 고객정보 보호에 실패했을 때 기업의 신뢰도가 추락하는 것은 물론이고 상당 한 규모의 금전 부담도 생긴다. 전체 매출의 최대 3%의 과징금을 내야한다. 유럽 시민을 대상으로 서비스 하거나 시민을 채용했을 때 개인정보 유출 사고 시 최 대 4%의 벌금이 부과된다. 이와 별도로 고객들이 집 단소송을 진행한다면 이를 위한 비용과 시간을 소모해 야 한다는 부담도 있다.

자동화된 확장·컴플라이언스 지원

서비스 기업이 고객의 계정정보를 보호하고 관리하기 위해 ‘고객 계정 접근 제어(CIAM)’ 솔루션이 필수다. CIAM은 서비스를 이용하는 고객과 임직원, 파트너, 계약직 등을 위한 계정·접근제어 솔루션으로, IT에 대한 지식이 없는 사람도, 구형 단말이나 열악한 네트워크를 이용하는 사람도 쉽게 서비스에 접근할 수 있으며, 사용자 인증과 권한에 따른 접근제어가 이뤄 질 수 있도록 하는 솔루션이다.

서비스 이용 고객을 대상으로 하기 때문에 유연하 게 대규모로 확장할 수 있어야 하며, 개발이 편해야 하고, 고객 경험이 보장돼야 하며, 모든 환경에서 보안이 보장돼야 한다. 해외에도 서비스를 제공하는 기업이라면, 서비스 사용자가 속한 지역·국가의 컴플라이 언스를 준수할 수 있어야 한다. 시장조사기관 포레스터는 “CIAM은 고객 계정 인증·권한부여, CRM, 웹 분 석, 개인정보 관리, 컴플라이언스 등을 포함한다”고 설명했다.

CIAM은 오래 전 부터 제안되어 온 솔루션이지만, 도입률은 높지 않았다. 기존에는 고객의 개인정보만 안전하게 보호하면 된다고 생각해 기업이 관리하는 계 정정보를 암호화하는 수준으로 만족했기 때문이다.

그러나 잇단 개인정보 유출 사고와 유출된 개인정 보를 이용하는 추가 피해가 급속하게 확장되고 있으 며, 이 사고가 기업의 신뢰와 비즈니스 생명에 중대한 영향을 미치면서 다시 부상하기 시작했다. 또 코로나19로 사람들이 집에 머무는 시간이 길어지면서 다양한 애플리케이션을 이용하게 됐으며, 이에 따라 계정 사 용이 증가하고 계정 유출 사고도 급증하면서 고객정보 의 안전한 보호가 시급히 필요하게 됐다.

이러한 시장 환경에 맞춰 CIAM 시장은 광폭의 성 장이 예상되는데, 시장조사기관 마켓앤마켓은 CIAM이 연평균 15.1% 성장, 2020년 76억달러에서 2025년 153억달러로 성장할 것으로 예 상했다. 마켓앤마켓은 CIAM이 고객 커뮤니케이션을 개인화 하는데 도움이 되며, 안전하고 끊김없는 고객 경험(CX)을 제공해 고객과 더 나은 관계를 구축할 것 이라고 내다봤다.

사람이 아닌 객체에 대한 접근도 지원

CIAM의 핵심은 ‘고객(Customer)’에 있다. 계정 보호에 대한 인식을 갖고 있지 않은 사람, 디지털 기기·서 비스에 대한 이해가 낮은 사람도 안전하게 계정을 보호 할 수 있는 방안이 마련돼야 한다. 이를 위해 정상 사용자가 정상적인 환경에서 자신의 의지로 서비스에 접근하고 거래를 요청하는지 여부를 알아야 하며, 사용자 인증과 접근 통제 정책을 적절하게 적용해야 한다.

또 봇, 기계, 로봇 및 RPA 등 사람이 아닌 NPE(N on-Person Entity)에 대한 접근도 지원해 자율주행차, CCTV, 스마트팩토리·스마트시티 등 다양한 IoT 환 경에서도 사용될 수 있도록 해야 한다.

가장 먼저 고객을 식별하고 ID를 부여하는 단계가 필요하다. A라는 사람이 B 서비스에 가입할 때, 이메 일 주소, 생년월일, 휴대폰 번호 등을 통해 본인 확인 을 하면 A가 설정한 ID와 비밀번호가 생성된다. ID는 A라는 사람 자체, 즉 ‘신원’을 말하며 비밀번호는 신 분증의 역할을 한다. A가 미리 설정한 비밀번호를 입 력하는 것은 오프라인에서 신분증을 제시하는 것과 동 일하다.

다시 말해 비밀번호는 ‘A가 자신’이라는 사실을 입 증하는 수단으로, ‘크리덴셜(Credential)’이라고도 한다. 크리덴셜은 비밀번호, 인증서, 공개키·개인키 쌍, 생체정보 등을 사용할 수 있다. 길고 복잡한 비밀번호는 편의성·보안성에 모두 문제가 있기 때문에 많은 사이트에서 비밀번호를 제거하거나 입력 절차를 간단하게 만든다. 비밀번호를 브라우저나 기기의 안전한 저 장소에 저장해 자동으로 로그인 하도록 하거나 비밀번호 대신 생체인증·PIN 번호 등을 이용하기도 한다. 추 가인증으로 QR 인증, SNS 인증, ARS 인증 등도 채택 한다.

다양한 크리덴셜 관리 기술 선 봬

보다 간단하고 안전한 ID와 크리덴셜의 방법으로 센스톤은 ‘일회용 인증 코드(OTAC)’를 제안한다. OTAC는 기기에서 생성되는 일회용 인증 코드를 이용해 사용자·기기를 인증하는 기술로, 기기 자체에서 중 복되지 않는 일회용 문자·숫자 조합이 생성된다. 생성 된 코드를 크리덴셜로 사용할 수 있는데, 이 정보는 짧 은 시간 동안만 유효하기 때문에 유출된다 해도 안전 하다.

또 센스톤은 통합인증 플랫폼을 SDK로 제공하는 ‘스위치 오스 SDK(swIDch Auth SDK)’로 인증 시스템 구축을 한층 더 용이하게 한다. FIDO 기반 간편인증, 모바일 OTP, OTAC 등 다양한 인증 기능을 제공 하는 ‘스위치 오스 SDK’는 기업이 내부 사용자 혹은 대외 고객을 위한 IAM·CIAM을 쉽게 구축할 수 있도 록 지원한다.

고객 신원정보를 블록체인에 등록해 고객이 스스로 관리할 수 있게 하는 분산ID도 주목받는다. 분산ID는 고객이 본인확인 기관으로부터 신원과 크리덴셜을 발급받은 후 블록체인에 등록하고, 서비스 가입·로그인 시 블록체인에 등록된 신원정보를 활용한다. 서비스마다 개인정보를 입력하고 본인확인 후 계정을 부여받는 방식이 아니기 때문에 고객 경험을 개선할 수 있다. 블록 체인을 통해 고객 정보가 어 떻게 이용됐는지 기록되고 추 적 가능하기 때문에 고객이 스스로 자기정보를 관리할 수 있다.

분산ID를 이용한 신분증, 운전면허증, 공무원증 등이 사용되고 있으며, 신원증명 이 필요한 다양한 사업에 활 용될 수 있을 것으로 기대된다. 이에 분산ID 시장을 확장하기 위한 여러 컨소시엄 이 경쟁하면서 시장을 성장시키고 있다.

분산ID 시장을 이끌어온 DID얼라이언스가 디지털 신원증명 기술을 한층 강화하기 위해 ‘ADIA (Accountable Digital Identity Association)’으로 단체명을 바꿨다. ADIA는 개인정보 보호를 강조하는 책임 있는 디지털 신원증명 활동을 펼치기 위해 단체명을 변 경했다고 설명했으며, W3C, DIF 등 국제표준기구에 서 발표한 표준규격을 지원하며 글로벌 상호호환성도 충족한다.