핀테크, 간편결제, IoT, 스마트워크…. 이 모든 환경에서 공통으로 요구되는 것이 ‘인증’이다. 비대면 환경에서 본인이 자유로운 의지로 해당 거래를 진행하는 것이라는 사실을 검증하기 위해서는 강력한 보안이 보장된 인증 기술이 필요하다. 어떠한 환경에서도 인증을 수행할 수 있도록 표준을 준수하면서 간편하게 인증이 완료돼야 한다는 요구도 있다. 간편결제가 부상하면서 함께 주목받는 다양한 인증기술을 살펴보고, IoT, 클라우드, 스마트워크 환경에서 이용할 수 있는 방법을 소개한다.<편집자>
스마트폰 이용한 인증 서비스 속속 등장
SGA의 자회사인 레드비씨는 스마트폰과 QR코드를 이용한 이증 솔루션 ‘트러스트채널’을 소개한다. 스마트폰 카메라로 컴퓨터 화면의 QR코드를 스캔해 보안채널을 생성해 본인인증을 완료하고 전자서명까지 제공할 수 있다. QR코드 외에 OTP, 보안카드, 생체인식 등 다양한 인증 기술을 연동할 수 있다.
정권성 레드비씨 솔루션사업본부 이사는 “레드비씨의 장기적인 계획은 간편결제를 위한 인증 프레임워크를 제공하는 것”이라며 “인증을 위한 수단은 다양하게 적용할 수 있다. 생체인식, PKI, OTP, 보안카드, QR코드 등 어떠한 인증수단을 사용해서도 안전하게 인증이 완료될 수 있는 프레임워크를 개발해 간편결제 프로세스를 지원할 것”이라고 말했다.
레드비씨가 소개하는 기술의 핵심은 인증서버와 인증매체간 상호인증을 완료한 후 보안채널을 형성해 이를 통해 전송되는 데이터는 위변조되지 않았다는 것을 보장하는 것이다. 이 기술은 레드비씨가 가진 PKI 기술과 서버보안 기술을 기반으로 하고 있으며, 한국인터넷진흥원(KISA)의 ‘QR코드기반의 인증 및 전자서명 기술을 융합한 EMR 보안시범서비스 구축’과 SK텔레콤기술원의 ‘멀티팩터 기반 차세대 모바일 인증 인프라 구축을 위한 연구용역’에 적용해 가능성을 확인했다.
비즈니스 인텔리전스(BI) 솔루션 기업인 마이크로스트레티지가 출시한 ‘어셔’도 스마트폰을 이용해 인증을 제공하는 것으로, 인증이 필요한 모든 분야에서 사용될 수 있는 것으로 평가된다.
말레이시아의 대형 전자제품 유통 업체 센헹 일렉트릭이 어셔를 활용해 다양한 인증 서비스를 제공하고 있는데, 그 중 주목할만한 것이 물류 택배를 위한 기사 인증 서비스이다. 온·오프라인에서 물건을 구매하는 고객이 스마트폰에 택배 서비스 앱을 설치하면 해당 물건을 배송하는 택배 기사에 대한 인증 정보가 나타난다. 배송기사는 인증코드를 이용해 고객으로부터 인증을 받은 후 물건을 전달한다. 택배기사 사칭 범죄를 예방하는 한편 물품배송 서비스를 안전하게 제공할 수 있다.
센헹 일렉트릭은 어셔를 이용해 클라우드 기반 리테일 분석 솔루션을 제공하고 있으며, 향후 모바일 애플리케이션을 통해 아이덴티티 관리 솔루션을 사용해 하게 할 방침이다.
어셔는 인증 크리덴셜과 인증서버의 역할을 동시에 진행할 수 있다. 블루투스와 같은 근거리 통신기술을 활용해 두대의 스마트폰이나 스마트카드를 이용한 인증이 가능하다. QR코드, OTP, 생체인식, 전용 뱃지, 스마트카드 등 다른 인증 수단과 연동할 수도 있다.
OTP, 편의성·보안성 높은 최적의 인증수단
현재 사용되고 있는 인증 수단 중 가장 보편적이고 안전성이 높은 것은 OTP이다. OTP는 소프트웨어, 웹, 전용토큰 방식 등 다양한 방법으로 제공될 수 있으며, 매번 다른 비밀번호가 생성되기 때문에 비밀번호 유출로 인한 피해를 막을 수 있다. 현재 금융거래에서 OTP는 추가인증 수단으로 사용되고 있지만, 기술적으로는 OTP 만으로 본인인증은 충분히 가능하다.
최근 간편결제 인증으로 생체인식 기술이 부상하고 있지만, 생체정보가 유출됐을 때 피해는 막을 수 없다는 문제가 있다. 생체정보는 바꿀 수 없기 때문에 전 세계 사이버 범죄자들이 생체정보를 입수한다면 상상할 수 없는 피해를 입을 수 있다.
따라서 사용자가 소지한 매체를 이용한 인증이 안전성이 높다고 평가하고 있으며, OTP는 사용자가 갖고 있는 OTP 발생기를 이용해 매번 다른 비밀번호를 입력하도록 하고 있어 본인인증 수단으로 높은 보안성을 갖는다.
금융권에서 가장 높은 점유율을 가진 OTP 기업은 미래테크놀로지로, 80% 가까운 점유율을 기록한다. 미래테크놀로지는 단순 OTP 뿐만 아니라 신용카드에 OTP가 탑재된 모델, 거래연동 OTP, 시각장애인용 OTP, 소프트웨어·웹 방식의 OTP, 스마트카드·스마트폰과 연계된 간편인증 등 다양한 OTP 기술을 제공한다.
스마트카드를 이용한 OTP도 2년 전 발표했지만, 수요가 없어 공급에 성공하지 못했다. 그러나 현재 스마트OTP를 검토하는 금융기관이 빠르게 늘고 있어 3분기 중 실제 사용 사례를 발표할 수 있을 것으로 기대된다.
현재 일부 금융권에서 서비스되고 있는 스마트OTP는 해당 금융기관에서만 사용할 수 있으며, 일반적으로 사용하는 OTP 처럼 모든 금융기관에서 사용할 수 없다. 미래테크놀로지는 단일 기술로 모든 금융기관에서 이용할 수 있도록 전 금융권과 계약을 체결할 계획이다. 현재 이미 대다수 금융기관에 OTP를 공급하고 있기 때문에 금융기관이 스마트OTP를 공급할 인프라만 갖춰진다면 즉시 사용 가능할 것으로 기대된다.
지승용 미래테크놀로지 이사는 “현재는 금융기관이 스마트OTP를 지원할 수 있는 인프라를 구축하고 있는 단계이며, 금융기관이 서비스를 제공할 수 있는 준비가 완료되면 즉시 미래테크놀로지 기술을 공급해 스마트OTP를 고객들에게 서비스 할 수 있다. 미래테크놀로지는 이미 기술 개발이 완료돼 상용화 할 수 있기 때문에 수요만 있으면 언제든지 공급 가능하다”고 자신했다.
한편 미래테크놀로지는 지능화되는 전자금융사기를 막기 위해서는 거래연동OTP가 활성화돼야 한다고 주장한다. 거래연동OTP는 거래계좌번호를 입력해야 비밀번호가 생성되는 방식으로 안전성은 높지만 불편하기 때문에 사용되지 않았다. 스마트OTP 기술과 연동시켜 스마트카드를 태깅하면 계좌번호가 자동으로 입력되도록 하는 방식으로 편의성을 개선할 수 있다. 거래연동OTP는 일본의 은행에서 사용하고 있다.
망분리·스마트워크에도 OTP 적용
지승용 이사는 OTP가 최근에는 VDI, 망분리, 스마트워크, 클라우드 환경을 위한 인증 서비스로도 활용되고 있다고 설명했다. 보통 기업은 사설인증서를 기반으로 인증을 진행하지만, 사설인증서는 HSM에 저장하지 않으면 보안에 취약해지고, 인증시스템 구축에도 많은 비용이 든다.
지 이사는 “OTP는 OTP 서버를 구축하고 다양한 매체를 이용해 OTP를 발생시킬 수 있기 때문에 가상화·클라우드 환경에서도 간편하게 인증을 제공할 수 있다. 실제 VDI 환경을 구축한 고객에게서도 문의가 오고 있다”고 말했다.
비밀번호 관리 솔루션 ‘APPM’을 공급하는 시큐어가드테크놀로지는 APPM과 연동해 사용하는 OTP ‘ORISS’를 출시하고 시장공략에 나섰다. 이 제품은 VM웨어 ‘뷰’ 기반 VDI 환경을 구축한 고객에게 납품됐으며, 동남아 시장에서도 공급이 시작됐다.
이 제품은 OTP 인증서버와 RADIUS 인증서버를 통합해 일체형 어플라이언스로 제공하며, 표준 RADIUS 장비에 대한 솔루션 수정 없이 2차인증이 가능하다. OTP 뿐 아니라 SMS 요청 방식으로도 인증이 가능하다.
방학재 시큐어가드테크놀로지 대표이사는 “ORISS를 도입한 기업은 재택근무자를 위해 ID/PW에 추가인증으로 ORISS를 선택했다. 이 기업은 기존에는 휴대폰 SMS를 이용해 재택근무자에 대한 2차인증을 제공했지만, SMS 이용금액이 부담돼 ORISS를 선택하게 됐다”고 설명했다.
이 제품은 원격근무자 뿐 아니라 네트워크 장비, 보안장비 등 다양한 IT 시스템 접근 인증에도 사용될 수 있으며, 표준 RADIUS를 지원하지 않는 장비에서도 OTP 인증을 가능하게 한다.
에어큐브도 무선인증과 PKI, OTP, QR코드 등을 이용한 인증을 제공한다. 현재는 금융사용자가 아니라 금융권 종사자를 위한 제품으로 제공하고 있으며, 외부망에서 접근하는 원격 사용자나 지점·지사에서 여러 인증 수단을 이용한 인증을 제공한다.
김원호 에어큐브 부장은 “에어큐브는 RADUS 기반 인증 서비스와 업무시스템, 네트워크 장비 등에 유연하게 연동되며, ID/PW를 이용한 1차인증과 OTP, QR코드, PKI 등을 이용한 2차인증을 동시에 수행할 수 있다. 또한 보안사고가 발생했을 때 로그를 통한 감사업무를 지원할 수 있다”고 말했다.
