[데이터넷] 다양한 사설인증서가 사용돼 사용 편의성이 높아졌지만, 소비자와 기업은 더 편리한 인증 서비스를 요구하고 있다. 너무 많은 사설인증서로 인해 소비자들이 어떤 인증서를 사용해야 할지 혼란스러워하고, 기업은 여러 인증서를 연동해야 하는 부담이 있다. 편리한 인증 서비스를 더 편리하게 하는 기술과 방법을 소개한다.<편집자>

중복되지 않는 OTP 생성

사용자 인증의 필수 요소로 ▲아는 것(What You Know) ▲갖고 있는 것(What You Have) ▲자신 (Something You Are) 등이 있으나, 이제는 더 이상 이 개념을 사용하지 않는다. 거의 모든 사람이 자기 명의의 스마트폰을 갖게 되면서 스마트폰으로 간편하게 인증할 수 있게 됐기 때문이다. 스마트폰의 안전 저장소에 인증정보를 암호화해 저장하고, 사용자 개인키로 인증하면, ①사용자가 갖고 있는 것(스마트폰)과 ②사용자가 아는 것(비밀번호·PIN 번호)이나 사용자 자신(생체정보)이라는 두 가지 인증 정보를 통해 사용자를 인증한다.

일회용 비밀번호를 사용자 개인키로 이용하면 강력한 보안 인증이 가능하다. 센스톤의 경우 중복되지 않는 일회용 인증코드를 생성해 OTP의 한계를 해결하는 안전한 인증 서비스를 구현한다. 센스톤은 이 방식을 신용카드에도 적용해 보안과 편의성을 한층 업그레이드했다. ‘카드 태깅형 모바일 OTP’는 사용자의 결제카드를 모바일 기기에 태깅하는 것만으로 즉각적인 본인인증과 고객 송금 서비스가 가능하다. 실물 OTP를 소지하지 않아도 돼 편리하며, 결제카드를 출입카드, 신분증 등으로도 사용할 수 있어 편의성을 한층 높일 수 있다.

비밀번호 없는 인증, 연평균 15% 성장

사용자 인증을 위해 전통적으로 사용하는 것이 비밀 번호인데, 비밀번호는 보안에 취약하다. 침해사고의 81%는 ID/PW 탈취를 통해 시작되는데, 무작위 대입으로도 비밀번호를 쉽게 알아낼 수 있다. 수많은 개인정보 유출 사고로 인해 비밀번호는 공개번호나 다름없게 된 상황이다. 사람들은 하나의 비밀번호 혹은 유사한 문자·숫자 조합을 돌려가면서 여러 서비스에서, 수년간 사용하며, 개인적인 업무와 회사 업무에서의 비밀번호 역시 동일하거나 유사한 것으로 사용한다.

비밀번호의 취약성을 해결하기 위해 비밀번호 없는(Passwordless) 인증이 사용된다. 비밀번호 없는 인증 방식으로 가장 많이 사용되는 것이 디지털 인증서다. 안면인식으로 비밀번호 입력 없이 금융앱에 로그인하고, 송금하는 것을 대표적인 예라고 할 수 있다.

디지털 인증서를 이용해 비밀번호 없는 인증을 수행하려면 사용자 기기와 인증 앱이 강력한 보안 기술로 보호받아야 한다. 보통은 스마트폰의 안전한 암호영역에 디지털 인증서를 저장하고, 사용자의 생체인식 인증으로 인증서를 열어 인증을 수행한다. SSO를 이용해 연결된 서비스에 자동으로 접속할 수 있도록 함으로써 사용 편의성을 높이면서 사용자 행위를 지속적으로 추적해 이상행위를 탐지한다.

가트너는 비밀번호 없는 인증 기술 공급업체를 선택할 때 FIDO2 등 업계 표준을 준수하며, 다양한 인증 방법을 선택할 수 있도록 해 직원과 고객의 선택권을 보장해야 한다고 설명했다. 또 MFA 우회공격을 차단하기 의해 적응형 인증을 선택해 비정상적인 인증 행위를 막아야 한다고 밝혔다.

보안에 취약하고 사용이 불편한 비밀번호를 걷어내는 노력이 적극적으로 전개되면서 비밀번호 없는 인증 시장의 성장속도가 빨라지고 있다. 시장조사기관 퓨처 마켓 인사이트(FMI)는 비밀번호 없는 인증 시장 규모가 올해 134억달러를 넘을 것이며, 매년 15.3% 성장해 2023년 557억달러에 달할 것으로 예상했다. 또 90% 이상 사용자가 회사와 개인 계정에서 암호를 재사용해 보안에 취약하기 때문에 아예 비밀번호를 제거하는 인증이 필수라고 설명했다.

모든 기기에 일관된 로그인 환경 제공

사용자가 직접 비밀번호를 입력하지 않는 방식이 모두 비밀번호 없는 인증은 아니다. 모바일 푸시 방식으로 OTP를 제공하고 자동으로 입력되도록 하는 것을 비밀번호 없는 인증이라고 할 수 없다. 이 방법은 사용자가 비밀번호를 입력하는 수고를 덜 뿐, 여전히 비밀번호를 사용한다. 이 방법은 스마트폰 해킹으로 얼마든지 악용할 수 있기 때문에 안전하지 않다.

시장조사기관 쿠핑어콜은 비밀번호 없는 인증이 비밀번호나 비밀번호 해시가 네트워크를 통해 이동하지 않도록 하는 것이 중요하다고 설명했다. 모든 기기에 일관된 로그인 환경을 제공하고, 마찰 없는 사용자 경험을 도입해야 하며, 통합 인증 접근 방식을 포함해야 한다고 설명했다. 또한 정상 사용자가 기존 방식의 인증에 실패했을 때 인증 방법을 재설정할 수 있는 방법 도 마련해야 한다고 덧붙였다.

쿠핑어콜은 비밀번호 없는 인증 솔루션이 다음의 조건을 갖춰야 한다고 설명했다.

• 광범위한 인증자 지원
• 강력한 인증(예: 2FA, MFA)
• 리스크·컨텍스트 기반 및 지속적인 인증
• 적응형 및 단계적 인증
• 레거시 애플리케이션과 서비스 지원
• 개인·공개키 및 제로지식 암호화 등 강력한 암호화 접근 방식
• 타사 인증자 통합
• MDM·UEM 솔루션 통합
• 애저 AD 등 기존 플랫폼 통합
• 마찰 없는 사용자 경험
• 여러 장치에 대한 신뢰
• SAML 및 OAuth를 포함한 모든 주요 아이덴티티 페더 레이션(Identity Federation) 표준 지원
• 포괄적인 API 세트
• 유연하고 현대적인 소프트웨어 아키텍처
• BYOD 지원
• 확장성 및 성능
• 위임 관리

김선애 기자 다른기사 보기