인증(Authentication)의 중요성이 날로 커지고 있다. 인터넷은 인증의 가장 대표적 사례로 사용자가 온라인에서 취하는 모든 행동이 인증과 함께 시작된다. 일반적인 인터넷 검색은 제한이 없지만 웹 메일, 커뮤니티 활동, 전자상거래, 온라인뱅킹 등을 하기 위해서는 어떤 유형이든 인증 과정이 필요하다. 최근에는 사용자가 알고있는 것과 갖고 있는 것 두가지 요소를 결합한 이중인증 시스템의 도입이 활발하게 진행되고 있으며, 하드웨어 토큰을 사용하는 방식에서 소프트웨어 인증을 사용하는 방식으로 전환되고 있다. <비크 만코티아 CA 테크놀로지스 아태 및 일본지역 솔루션 전략 담당 부사장 / vic.mankotia@ca.com>

온라인 인터랙션이 하루가 다르게 늘면서 데이터의 양과 가치도 폭발적으로 증가하고 있다. 시스템도 클라우드 컴퓨팅, SaaS 형태로 점점 복잡해지고 있다. 사이버 공격 또한 조직화/정교화되고 있을 뿐 아니라 해커들이 주요 기업을 공격했다거나 중요 사업 기밀과 개인 정보를 서버에서 빼 내 온라인에 유출시켰다는 소식이 심심치 않게 들린다.

기업은 중요 데이터와 사용자 개인 정보를 보호하느라 안간힘을 쓰지만 낡은 보안 기법으로는 더 이상 안심할 수 없는 상황이다. 지능화되고 다양해져 가는 공격을 안전하게 막을 인증 방법이 절실히 요구된다.

사용자 이름과 암호를 입력하는 초기 인증 방식은 여전히 가장 많이 사용된다. 사용자 이름/암호 방식은 경제적이고 확장 가능하며 관리와 사용이 쉽다. 그렇지만 최근 나타나는 흐름을 봤을 때 더 혁신적이고 강력한 인증 방법이 필요하다.

인증 사용자가 내부 직원뿐 아니라 파트너, 고객에 이르기까지 넓어지면서 기업이 관리해야 할 지점이 몇 배로 늘어났다. 포털과 온라인 애플리케이션에 저장되는 개인/비즈니스 정보가 넘쳐나 보호해야 할 데이터 유형도 변했다. 기기에서의 인증도 일반PC는 물론 노트북, 스마트폰, 태블릿을 비롯해 미래에 나올 모든 장치와 호환이 가능해야 한다. 이 같은 움직임에 맞춰 지난 몇 년간 다양한 인증 기술이 등장했다. 기존 사용자 이름/암호 방식과 이들 기술이 어떻게 다른지 이해하고 활용하는 것은 매우 중요하다.

다양한 인증 방법이 있지만 오늘날에는 경제적이고 안전하면서도 편리한 이중(Two-factor) 인증이 각광받고 있다. 소프트웨어 기반 인증은 비용이 낮고 편리하다는 이점 때문에 사용 범위가 확대되고 있다. 최근에는 소프트웨어 크리덴셜(Credentials)을 하드웨어 토큰처럼 위조가 불가능하도록 보호하는 등 보안 기술이 더욱 발전하면서 소프트웨어 기반 인증이 오늘날의 환경에 필요한 좀 더 포괄적이고 확장 가능한 솔루션으로 자리잡았다.

HW에서 SW로 인증 방식 진화
하드웨어 OTP 토큰은 IT 환경에 비교적 쉽게 통합할 수 있다는 이점과 이중 인증을 결합한 몇 안 되는 장치 중 하나라는 점에서 인기를 모았다. 그러나 생체 인식이나 브라우저 인증서 같은 옵션에 비해 많이 사용되고 있는 토큰도 새로 등장한 보안 소프트웨어 자격 증명 인증 방식과 비교하면 단점이 많다.

토큰은 제조를 거쳐 배포자, 고객, 지점 등의 다양한 위치로 배송되는 물리적 장치기 때문에 수많은 공격 포인트가 존재한다. 다시 말해 기업과 최종 사용자는 공급업체와 파트너의 보안에 의존해 토큰을 보호할 수밖에 없다. 또한 하드웨어 OTP 토큰은 MITM(Man-in-the-Middle) 공격과 같은 유형의 인터넷 위협에 대해서는 적절한 보호 기능을 제공하지 못한다.

소프트웨어 기반 솔루션은 낮은 비용과 쉬운 확장성을 내세워 사용이 확대되고 있다. 보호되지 않는 소프트웨어 토큰은 무작위 대입 공격에 취약한 반면 보안 소프트웨어 크리덴셜은 기업이 요구하는 강력한 보안 기능을 제공 한다.

소프트웨어는 하드웨어에 비해 많은 장점이 있지만 많은 기업들이 물리적 보호 계층을 갖춘 키가 더 안전하다고 여겨 여전히 하드웨어 토큰을 사용한다. 보호되지 않는 소프트웨어가 기기에 있는 경우 누군가가 파일을 찾아 무작위 대입 공격을 가할 때 중단시킬 방법이 없다고 생각하는 것이다. 다양한 소프트웨어 유형을 고려할 때 이 같은 우려도 무리는 아니다.

하지만 이중 인증 소프트웨어 크리덴셜에 특허 받은 기술이 내장돼 물리적 울타리처럼 키를 보호한다면 어떨까? 기업들은 결국 소프트웨어가 주는 비용, 편의성, 확장성 이점을 하드웨어 토큰이 주는 실질적 보안 효과 및 심리적 안정감과 결합할 방법을 찾게 될 것이다.

암호 정책 결합한 리스크 기반 인증
기존의 많은 인증 기술은 다양한 특징과 이점에도 불구하고 비용이 너무 높거나 다루기가 번거롭고, 경우에 따라서는 보안이 너무 취약하다는 점에서 보안 소프트웨어 크리덴셜에 뒤쳐진다. 보안을 우려하는 조직에게는 특히 정신이 번쩍 드는 소리일 것이다. 그러나 다음과 같은 몇 가지 단계를 통해 인증 보안을 개선할 수 있다.

- 암호 정책을 검토하고 사용자가 정기적으로 암호를 변경한다.
- 사용자 로그인에 리스크 기반 인증을 추가해 개별 트랜잭션의 리스크를 측정한다.
- 하드웨어 토큰을 보안 소프트웨어 크리덴셜로 교체하는 방안을 고려한다.

계정 절도와 온라인 사기가 빈번하게 발생하면서 기업은 보안 강화와 직원/파트너/고객의 불편함 사이에서 적절한 균형점을 찾으려고 애쓰고 있다. 강력한 암호 정책을 결합한 리스크 기반 인증은 규칙, 매개 변수, 분석 모델링 기법을 활용해 최종 사용자를 번거롭게 하거나 잘못된 결과를 생성하지 않고 보호 계층을 추가하고 부정 행위에 노출될 가능성을 낮춘다.

오프라인, 온라인 할 것 없이 하루가 다르게 발전하는 비즈니스 세계에서 효과적인 인증 기술은 사치품에서 필수품으로 바뀌었다. 세간의 이목을 끄는 온라인 공격과 데이터 손상에 대한 뉴스가 끊이지 않으면서 기업들은 공격을 차단하면서 사용하기 편하고 유연하며 경제적인 인증 솔루션을 갖춰야 할 필요성을 느끼게 됐다.

CA 테크놀로지스는 특허 받은 위장 암호화 기술을 바탕으로 강력한 이중 인증 기술을 소프트웨어 솔루션의 경제성 및 편의성과 결합해 지원하고 있다.