마지막으로 로그인한 지가 언제였는지조차 가물가물한데 아이디나 비밀번호가 생각날리 없었다. 수차례 자주 사용하는 조합을 시도해 보다가 모두 실패하고, 결국 ‘비밀번호 찾기’ 메뉴에서 주민번호를 입력하고 끝난 건가 하는 순간, 다시 본인 인증을 위해서 공인인증서를 사용해야 했다. 그리고 공인인증서 비밀번호를 입력해야 했다.
비밀번호 분실은 누구나 한 번 쯤은 경험해 봤을 흔한 일이지만, 대개 그 복구 과정은 매우 불편하다. 복구 과정이 쉬울수록 보안성은 낮아 지게 되므로 뭐라 불평할 수도 없다. 그래서 많은 사람들은(호주에서의 한 연구에 의하면 약 60%의 사람들이) 하나의 비밀번호를 여러 웹사이트에서 사용한다.
* 참고: A SURVEY OF AUSTRALIAN ATTITUDES TOWARD PASSWORD USE AND MANAGEMENT. CIS. Sep.2011
(https://www.paypal-media.com/assets/pdf/fact_sheet/cis_paypal_whitepaper_final.pdf)
만약 이 비밀번호가 유출된다면 어떻게 될까? 요즘과 같이 각종 악성코드가 만연하는 때에 비밀번호 유출은 언제든지 발생할 수 있는 일이다. 그렇다면 나의 모든 개인정보가 들어 있는 블로그, SNS 등은 물론 실제 결제 정보를 담고 있는 앱스토어 등까지도 누군가의 먹잇감이 될 수 있다는 뜻이다.
기업 입장에서 생각해 보자. 기업 웹사이트 사용자들도 내부 직원이든 외부 고객/협력사이든 어쩌면 똑같은 어려움을 겪고 있는지도 모른다. 그렇다면 ‘비밀번호’의 단점을 해결한 새로운 인증 방법을 제공해 주면 어떨까?
사용자 만족도 상승은 물론 웹사이트 보안성을 비약적으로 향상시켜서 개인정보보호까지 강화할 수 있다면? 비밀번호를 기억할 필요도, 정기적으로 바꿀 필요도 없고, 설령 유출된다고 해도 걱정 없는 OTP(One Time Password) 인증이 해결책이 될 수 있다.
OTP(One Time Password)란
OTP는 인터넷 뱅킹과 온라인 게임 등 이미 많은 곳에서 사용되는 안전한 인증 방법중 하나다. 인증을 받을 때마다 일회용 비밀번호를 생성하고 한 번 사용된 비밀번호는 즉시 폐기되므로 보안성이 매우 높다.
과거 인터넷 뱅킹에서 많이 사용됐던 보안카드도 넓은 의미에서는 매번 비밀번호가 변경되는 OTP라고 할 수 있다. 하지만 OTP라고 하면 일반적으로 전자적 OTP생성기를 뜻한다. OTP생성기는 전용 하드웨어가 많이 사용됐지만, 요즘은 모바일 앱, 스마트카드, 웹 그리드 등의 형태로도 OTP생성이 가능하다.
OTP 도입을 위해서는 다음의 사항을 고려해야 한다.
- OTP 서버 하드웨어 구매
- OTP 서버 소프트웨어 구매
- OTP 생성기 구매
- OTP 서버 설치 및 구축
- 기존 시스템과 OTP 시스템 연동
- OTP 생성기 배포
- OTP 서버 운영 및 유지보수
OTP 도입의 가장 큰 장애물은 이와 같이 상당한 초기 투자 뿐만아니라 지속적인 관리 비용이 발생한다는 것이다. 중소규모 기업 입장에서는 배보다 배꼽이 더 큰 경우가 될 수도 있기 때문에 OTP의 많은 장점에도 불구하고 많이 확산되지 못하고 있는 현실이다.
서비스형 인증(Authentication as a Service)
클라우드 컴퓨팅이 발달하면서 서비스형 소프트웨어(SaaS), 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS) 등이 빠르게 확산되고 있다.
‘서비스형(As a Service)’이란 ‘임대 서비스’라고 할 수 있다. 마치 자동차나 정수기를 렌탈하듯, 소프트웨어, 인프라, 플랫폼 에 대해 고객이 소유 비용을 한 번에 지불하는 것이 아니라 사용 비용을 여러 번에 걸쳐 지불하는 것이다. 고객은 초기 투자와 운영 관리에 대한 부담을 대폭 줄일 수 있다.
OTP 인증을 ‘~As a Service’로 제공하는 ‘서비스형 인증(AaaS: Authentication as a Service)도 도입이 늘어나고 있다. 기업이 OTP 인증 서버 구축 및 운영을 직접 하지 않고, 전문 보안 업체가 제공하는 서비스를 받는 형태이다. AaaS의 장점은 다음과 같다.
- 초기 투자 비용 없음: OTP 서버용 하드웨어, 소프트웨어, OTP생성기 구매 필요 없음
- 사용한 만큼만 비용 발생: 사용자 수에 따라 매월 또는 매년 요금 청구
- 시스템 운영, 유지보수, 감가상각 비용 없음
- 검증된 보안성과 신뢰성: 국제 인증 받은 데이터센터에서 보안 전문 업체가 직접 운영
- 사용자 경험 향상: 하나의 OTP생성기로 다수 시스템/애플리케이션 인증 가능
물론 AaaS에도 장점만 있는 것은 아니다. 모든 As a Service들이 ‘서비스 제공자를 어떻게 신뢰하고 나의 데이터를 맡길 것인가?’라는 질문을 피해갈 수 없다. 보안 전문 업체라고 해도 인증에 필요한 사용자 정보를 맡긴다는 것은 분명히 찜찜한 일이 아닐 수 없다.
AaaS 서비스 제공 업체들은 이 문제를 해결하기 위해서 다양한 노력을 하고 있다.
- AaaS가 최소한의 사용자 정보(ex. 이름, 이메일 주소)에만 접근할 수 있어도 인증 가능
- 고객사의 민감한 정보들은 모두 암호화돼서 타고객사는 물론 서비스 제공자도 접근 불가능
- 시스템 구조상 서비스 제공자가 고객사의 개인정보를 절대 볼 수 없음
AaaS가 모든 경우에 최적의 선택은 아닐 수 있다. 그러나 개인정보 보호의 첫관문인 사용자 인증이 중요한 줄 알면서도 도입 비용때문에 망설이고 있는 기업, 핵심 역량에만 집중하고 인증 등의 비핵심 역량은 전문 보안 업체에게 맡겨서 효율성을 높이려는 기업 등은 AaaS를 긍정적으로 고려해 볼 것을 추천한다.
