최근 몇 년간 기업의 업무 활동이 다변화됨에 따라, 기업에서는 시간과 장소에 관계없이 업무 관련 시스템들을 이용할 수 있도록 내부 시스템을 점진적으로 외부에 개방해 나가고 있다. 이러한 추세를 지원하기 위해 기업에서는 SSL VPN과 같은 원격지 보안 접속 솔루션을 속속 도입하고 있다. 기업은 이러한 시스템 구축을 통해 업무의 연속성과 시간, 공간 제약성을 극복할 수 있고, 결과적으로 업무의 생산성과 효율성을 크게 향상시키고 있다. 하지만 이러한 시스템을 적용할 때 패스워드 보안이 하나의 이슈로 제기되고 있다. 이에 보안을 제공하면서 업무 생산성을 향상시킬 수 있는 토큰리스 OPT(One Time Password) 솔루션을 소개한다. <편집자>

대부분의 시스템은 기본적인 인증수단으로 아이디와 패스워드(ID/PWD)를 이용하고 있다. 최근 키로그(Keylogger)와 같은 해킹프로그램을 통한 패스워드 유출 사고가 빈번하게 발생하고 있어, 패스워드 보안의 중요성이 더욱 부각되고 있다. 기업에서는 패스워드 보안을 강화하기 위한 최적의 수단으로 일회용 패스워드를 적극 검토하고 있다. 이러한 추세를 반영해 이미 시중에는 많은 종류의 일회용 패스워드(One Time Password, 이하 OTP) 제품들이 나와 있다. 스위벨시큐어(SwivelSecure)의 OTP 솔루션은 기존의 OTP 솔루션과는 매우 차별적인 방식의 일회용 패스워드 솔루션이다.
핀세이프(PINSafe) 솔루션은 한마디로 보안성과 편리성을 동시에 추구한 일회용 패스워드 솔루션이다. 기존의 OTP 솔루션이 보안성만을 강조한데 반해, 편리성 측면에서 관리자와 사용자의 불만을 사고 있었던 것이 사실이다. 이러한 측면에서 토큰이 필요 없는 OTP 솔루션인 핀세이프 제품은 강력한 패스워드 보안을 요구하는 기업의 IT관리자와 경영자에게 좋은 솔루션이 될 것이다.

토큰 사용 불필요
토큰을 기반으로 한 기존의 OTP 솔루션의 가장 큰 단점은 사용자가 반드시 하드웨어를 지니고 다녀야 한다는 점이다. 오늘날 사람들은 핸드폰, 자동차 열쇠, MP3플레이어 등 늘 많은 것을 주머니에 넣고 다닌다. 여기에 패스워드 보안을 위한 토큰을 또 하나 추가해야 한다는 것은 사용자에게 그리 달가운 일이 아니다. 또한 사용자가 분실을 하거나 실수로 휴대를 하지 않은 경우 회사의 업무시스템에 접속할 수 없다는 것도 현실적으로 매우 자주 발생할 수 있는 어려운 상황이다.
이에 비해 핀세이프 솔루션은 하드웨어 토큰 대신, 웹 브라우저, 핸드폰 또는 이메일을 통해 OTP 생성할 수 있도록 하는 솔루션이다. 그러므로 사용자는 어떠한 경우에도 시스템에 대한 접속 준비가 돼있는 것이다.

관리 용이
관리자는 모든 사용자에게 토큰을 일일이 배포하고 관리해야 한다. 사용자가 토큰을 분실하거나 일시적으로 소유를 하고 있지 않은 상황이 되면 관리자에게 도움을 요청해야 한다. 관리자 입장에서 보면 토큰의 배포, 분실등과 같은 토큰관리에 드는 비용이 경험적으로도 매우 힘든 과제가 되고 있다.
핀세이프 솔루션은 사용자의 측면에서 볼 때 토큰이라는 것을 사용하지 않게 되므로 관리자들이 사용자들로부터 이와 관련된 문의를 받게 되는 일이 거의 없다. 오늘날 한 명의 IT관리자가 맡게 되는 업무가 점차 가중되고 있는 상황에서, 이러한 관리의 편리성 부분은 OTP 솔루션 선택 시 중요한 고려 요소가 될 것이다.

초기 도입비용이 저렴·추가 비용 없어
TCO를 따져보지 않을 수 없다. 기존의 OTP솔루션의 또 다른 단점 중의 하나는 초기 구축 비용이 매우 높다는 것이다. 지금은 상대적으로 가격이 저렴해졌다. 하지만, 하드웨어 기반의 토큰들은 초기 투자 비용이 여전히 만만치 않다. 또한 사용자가 토큰을 분실할 경우 개별적으로 추가 구매를 해야 된다. 전지의 수명이 다하면 모든 토큰을 수거하여 전지를 교체해야 되는 등의 유지보수에 드는 비용과 노력이 지속적으로 발생하게 된다.
이에 반해 핀세이프 솔루션은 하드웨어 토큰 방식에 비해 상대적으로 저렴한 비용으로 구축이 가능하다. 또한 분실할 하드웨어가 없으므로 추가적인 비용부담이 전혀 없게 된다. 이와 더불어 몇 년씩 주기적으로 발생되는 전지 교환의 이슈 또한 아무런 문제가 없게 된다.

핀세이프 솔루션 기술 개요
핀세이프 솔루션은 매우 간단하면서도 강력한 형태의 보안 기술을 제공한다. 각 사용자는 ID와 함께 개인식별번호(PIN; Personal Identification Number)을 소유하게 된다. 이 PIN은 은행 ATM에서 사용하는 개인 패스워드라고 생각해도 무방하다.
다만 은행의 ATM에서 사용되는 패스워드는 항상 동일한 숫자를 입력하지만, 핀세이프를 통해 추출된 패스워드는 매번 다른 것이 차이점이다. 사용자는 웹 시스템에 로그인을 할 때 핀세이프 인증서버에서 보내주는 10자리의 보안 문자열을 받게 된다.
이 문자열을 브라우저에 바로 나타나게 하거나 모바일 폰 또는 메일로 전송할 수 도 있다. 이러한 보안 문자열은 10자리의 숫자 또는 문자형태가 된다. 여기서 사용자는 개인의 PIN에 해당하는 자릿수의 숫자 또는 문자를 추출해 패스워드로 사용을 하면 된다. 핀세이프서버에서 보내지는 보안 문자열이 늘 변경 되기 때문에 사용자들은 로그인을 시도 할 때마다 늘 다른 패스워드가 추출되게 된다.

핀세이프 프로토콜의 특징
핀(PIN)의 길이는 관리자가 4~10자리 사이에서 조정할 수 있다. 핀은 사용자 ID 등록 시에 자동으로 핀을 생성해 메일이나 SMS를 통해 사용자에게 보내 줄 수 있다.
개인식별 번호인 핀은 해당 사용자 이외에 누구도 알 수 없다. 핀과 더불어 기존에 사용하고 있는 사용자의 패스워드를 함께 사용을 할 수 있다. 정적패스워드+OTP 구현이 가능해 더욱 강력한 패스워드 보안 구현이 가능하다. 로그인 할 때 마다 새로운 보안 문자열을 전송 해 동일한 패스워드를 입력하는 경우가 없다. 패스워드 오류로 인해 락(Lock)이 걸린 경우 사용자 스스로 락을 풀고 새로운 PIN을 자신의 메일이나 SMS로 받을 수 있다.

핀세이프 인증 방식
1. 단일 채널
브라우저를 통한 방식을 의미한다. 튜링(Turing)이라는 독자적인 사용자 인터페이스를제공한다. OCR 트로이 목마 등으로부터 보호 하기 위해 만들어진 위장 된 GIF 이미지를 통해 보안코드와 문자가 제공된다. 다양한 배경 이미지와 폰트가 무작위로 사용됨에 따라 해킹프로그램으로부터 안전하다. 화면에 뿌려진 숫자 또는 문자로부터 핀에 대응되는 일회용 패스워드를 추출해 내므로, 핀을 직접 입력하는 일은 절대로 없다.
2. 이중 채널
핸드폰의 SMS나 이메일을 통해 암호문자열을 전송하는 방식이다. 휴대 전화를 토큰처럼 사용할 수 있는 방식이다. 암호 생성을 위한 무작위 숫자 10개가 등록된 핸드폰으로 SMS로 전송된다. 자신의 핀에 대응되는 원타임 코드(OTC)를 추출한다. SMS로 전송되는 숫자는 매번 새롭게 전송돼 재사용이 불가하다.

■ 문의: 엔앤아이코리아
■ 전화: 02-541-5784
■ www.nnikorea.com