간편하지만 강력한 인증 기술로 편의성·보안성 제고
[데이터넷] 일상생활이 디지털화 되면서 비대면 환경에서 본인을 증명하는 ‘디지털 인증’이 중요해지고 있다. 간편하지만 강력한 보안이 보장되며, 온·오프라인에서 동시에 사용할 수 있고, 사람뿐 아니라 비인간 ID에도 적용 가능한 인증 기술이 다양하게 제안되고 있다. 차세대 인증 기술과 활용 사례를 소개한다. <편집자>
패스워드리스 인증으로 보안·편의성 강화
제로 트러스트의 시작은 ‘인증(Authentication)’이다. 서비스에 접근하려는 ID가 본인 자신인지 확인하는 인증은 사용자 자신이 아는 것(What you know), 사용자 자신이 갖고 있는 것(What you have), 사용자 자신(Who you are)의 3가지 요소 중 2가지 이상을 사용하는 다중요소인증(MFA)를 사용해야 한다. 아는 것은 비밀번호, 갖고 있는 것은 하드웨어 OTP와 같은 물리적 인증 매체, 사용자 자신은 생체인증이 대표적인 인증 매체로 사용된다.
간편인증이 대세가 되면서 MFA의 개념이 크게 변하고 있다. 사용자가 직접 입력하는 길고 복잡한 문자·숫자 조합의 비밀번호가 오히려 보안위협을 높인다는 지적에 따라 비밀번호 없이 로그인하는 패스워드리스 인증 방식이 부상하고 있다. 패스키가 대표적인 예로, 로그인하려는 앱과 공유되는 공용 키, 장치 내에서 작동하는 개인키가 쌍을 이뤄 작동한다. 개인키는 지문·얼굴인식 등 생체인증이나 PIN 번호 인증이 주로 사용되며, 인증 키는 기기의 안전한 저장소에 보관돼 해킹되지 않도록 보호한다.
패스키는 FIDO 얼라이언스와 W3C에서 추진하는 비밀번호 없는 인증 방법으로, 사용자 기기의 인증 기술을 이용해 웹·애플리케이션에서 수행해야 하는 인증 절차를 수행한다. 사용자가 서비스마다 비밀번호를 설정하고 주기적으로 관리해야 하는 번거로움 없이 쉽고 안전하게 서비스를 이용할 수 있어 편리하다. FIDO 얼라이언스 조사에 따르면 현재 전 세계 다양한 소비자 브랜드에서 80억 사용자 계정에 패스키를 적용한 것으로 나타났다. 또 2023년 기준 99%의 기기가 패스키 적용이 가능한 웹오슨(WebAuthn)을 지원하고 있어 패스키 적용 속도는 더 빨라질 것으로 기대된다.
PKI 기술로 인증 서비스 편리하게
패스키가 공용키-개인키를 한 쌍으로 사용해 인증한다는 점을 들어 PKI 진영에서 패스키 역시 PKI를 이용한 인증 방법 중 하나라고 주장한다. PKI는 공개키와 개인키 두 쌍의 키를 이용해 사용자를 인증하는 방식으로, 공동인증서(구 공인인증서)가 대표적인 활용 사례로 꼽힌다. 공동인증서 외에도 다양한 사설인증서가 PKI 혹은 유사한 기술을 택해 인증 과정의 안정성을 보장하고 있다.
신동규 유넷시스템 보안연구소장은 “PKI는 확실한 법적 효력과 부인방지 기능을 제공하는 안전한 인증으로, FIDO, 매터 등도 기반기술이나 원천기술은 PKI에서 가져왔다”며 “강력한 신원확인과 인증, 데이터 무결성 보장, 데이터 암호화와 안전한 통신, 전자서명과 디지털 문서화, 접근제어와 권한관리, 클라우드·IoT 보안 강화 등 다양한 분야에서 여전히 탁월한 기술로 사용되고 있다”고 말했다.
유넷시스템의 PKI 솔루션과 서비스는 다양한 분야에서 활용되고 있다. 제로 트러스트 내 신원확인, 액세스 제어·권한관리, FIDO·생체인증 연동 시 MFA·패스워드리스 인증으로 활용 가능하며, 서버-클라이언트 인증, 암호화 통신과 인증서 갱신 및 관리 등에 사용된다. 향후 로봇이나 차량 등의 기기간 인증, 기기-인터넷 인증, 소프트웨어 업데이트 및 인증, 기타 인프라 보안 등 인증이 필요한 모든 인프라에 사용될 수 있다.
신동규 소장은 “PKI는 기술 개발 후 현재까지, 그리고 앞으로 우리가 살아갈 모든 시스템에서 중요한 역할을 할 디지털ID 기술이다. 암호·보안기술에서 ‘인프라스트럭처’가 포함된 기술이 PKI외에는 없을 만큼 PKI는 안전성이 충분히 입증됐다. 간편인증, 사설인증에도 PKI가 사용되고 있으며, 앞으로 더 다양한 분야에서 활용될 것”이라고 말했다.
통합인증 플랫폼으로 사설인증서 편의성 더 높여
공인인증서의 독점적 지위를 없앤 전자서명법 개정안이 시행되면서 사용자들은 다양한 사설인증서를 이용해 편리하게 서비스를 이용할 수 있게 됐지만, 사업자(이용기관)는 개별 전자서명인증사업자마다 상이한 간편인증 인터페이스를 맞춰야 해 개발과 운영이 복잡하고 중복투자로 인한 비효율성도 높은 상황이다.
이에 한국인터넷진흥원은 ‘간편인증 인터페이스 가이드라인’을 공개하고 이용기관이 다양한 전자서명수단을 쉽게 도입·상호연동할 수 있도록 돕고 있다. 이 가이드라인에서는 ▲전자서명인증사업자의 간편인증 서비스 제공을 위한 공통 인터페이스 ▲공통 인터페이스 사용을 위한 이해당사자 간의 통신·인증 방법 ▲이용기관 서비스에서 전자서명인증사업자의 인증앱 호출 방법 ▲간편인증 서비스 통신구간의 안전성 확보 방법 등을 안내하고 있다.
또 PKI 기술 기업들은 통합인증 플랫폼을 제공하면서 사업자들이 개별 전자서명인증사업자가 요구하는 환경에 맞게 인증 플랫폼을 구축, 지원해 시간과 비용을 줄이면서 고객 경험을 개선할 수 있게 한다.
이 플랫폼은 대 고객 서비스뿐만 아니라 내부통제를 위해서도 사용할 수 있다. 최근 인증 시장에서는 소비자뿐만 아니라 임직원, 파트너사 직원, 서비스에 연결되는 애플리케이션, IoT 기기 등도 ‘고객’의 범주로 인식하고 있다. 통합인증 플랫폼은 고객의 인증과 서비스 이용을 원활하게 도울 수 있는 간편인증 시스템을 연결하고 있다.
