| 글·오현식 기자·hyun@datnet.co.kr | |사진·김구룡 기자·Photoi@naver.com|
SSL VPN과 연계로 기업시장 공세 ‘고삐’
스위벨시큐어의 OTP 솔루션인 ‘핀세이프(Fin Safe)’는 하드웨어 토큰을 필요로 하지 않는다는 점에서 다른 OTP 솔루션과 차별화된다. SMS를 통해 이동전화기로 인증번호를 전송받는 모바일OTP도 토큰을 이용하지 않는다는 점에서는 유사하다고 할 수 있다.
하지만, 스위벨시큐어 핀세이프는 전송받은 OTP 번호를 사용자만이 알고 있는 고유의 핀을 이용해 재조합해 필요한 패스워드를 추출함으로써 보다 더 정교한 보안이 가능하다. 핀이나 전송된 OTP 번호를 그대로 입력하는 것이 아니기 때문에 중간자 공격(Man in the Middle)으로 OTP 번호가 누출되더라도 보안성을 유지할 수 있으며, 핀 노출의 위험도 없다.
프레이저 토마스 이사는 “핀세이프는 사용자에게 전송되는 번호에 사용자 고유의 핀 정보가 조합돼야 의미가 있기 때문에 중간에 전송번호가 탈취되도 보안에는 문제가 없다”며 “이러한 높은 보안성을 바탕으로 이동전화 SMS 뿐 아니라 이메일 등도 전송 기기로 사용할 수 있어 더욱 편리하다”고 강조했다.
지역적 고가용성 확보
핀세이프는 현재 국내 시장에서 최대 수요처라 할 수 있는 금융시장 진입이 불가능한 상황이다. 금융감독원이 토큰리스 방식의 OTP 솔루션을 허용하지 않고 있기 때문이다. 이는 매체분리 원칙에 의한 것으로 이동전화 SMS를 통한 비밀번호 전송은 텔레뱅킹에서, 이메일 전송은 인터넷뱅킹에서 분리원칙에 위배된다고 할 수 있다.
이에 대해 토마스 이사는 “한국 금감원에서 내세우는 보안강화의 원칙에는 동의하지만, 다양한 솔루션의 대한 고객 선택권을 제한하는 결과로 나타나게 된 것은 다소 안타깝다”는 견해를 밝혔다. “토큰의 유무, 혹은 매체 분리의 여부가 보안성의 높고 낮음을 결정하는 것은 아니며, 외형적인 형태보다 실질적 보안 수준을 살펴야 한다”는 설명이다.
어레이네트웍스코리아와 협력
금융권 접근이 불가능한 상황이기에 스위벨시큐어는 일반 기업, 온라인게임, e비즈 시장을 중심으로 시장개척에 나서고 있다. 특히 국내 파트너인 어레이네트웍스를 통한 SSL VPN과 핀세이프 OTP를 결합한 기업시장 공략에 큰 기대를 걸고 있다. 인트라넷 애플리케이션, 그룹웨어, 엔터프라이즈 포털 등에서 OTP와 SSL VPN을 결합함으로써 기업 보안 수준 향상과 사용 편리성 확보라는 두 마리 토끼를 모두 좇을 수 있다는 것이다.
토마스 이사는 “사이트 내부에서 고가용성(HA)를 넘어서 이를 지역의 개념에서 구현되도록 하는 기술 개발에 성공했다”며 “이는 고가용성을 중시하는 기업 시장에서 핀세이프를 더욱 각광받게 할 것”이라고 기대했다. 지역적 고가용성 구현이란, 한국에서 장애가 발생하더라도 아시아 지역에 위치한 타 사이트를 이용해 관련 업무가 수행되도록 하는 것이다.
토마스 이사는 “금융권 진출은 어렵게 됐지만, 전세계에서 가장 역동적인 한국은 여전히 매력적이고 큰 상징성을 갖는 시장”이라며 “한국에서의 성공을 위해 적극적인 지원정책을 펼칠 것”이라고 다짐했다.
