핀테크, 간편결제, IoT, 스마트워크…. 이 모든 환경에서 공통으로 요구되는 것이 ‘인증’이다. 비대면 환경에서 본인이 자유로운 의지로 해당 거래를 진행하는 것이라는 사실을 검증하기 위해서는 강력한 보안이 보장된 인증 기술이 필요하다. 어떠한 환경에서도 인증을 수행할 수 있도록 표준을 준수하면서 간편하게 인증이 완료돼야 한다는 요구도 있다. 간편결제가 부상하면서 함께 주목받는 다양한 인증기술을 살펴보고, IoT, 클라우드, 스마트워크 환경에서 이용할 수 있는 방법을 소개한다.<편집자>
IoT로 확장하는 인증기술
다양한 인증기술은 핀테크를 넘어 IoT까지 확장될 수 있다.
김주영 KISA 보안산업기술1단장은 “핀테크, IoT 등 새로운 디지털 환경이 빠르게 도래하고 있으며, 이에 따라 지능형 공격은 더욱 교묘하게 진행되고 있어 이에 대한 준비를 서두르지 않으면 심각한 피해를 입게 된다. 앞으로 공격은 재산 뿐 아니라 생명도 위협할 수 있기 때문에 더욱 강력한 보안 수준으로 보호돼야 한다. 생체정보를 이용한 인증 기술은 강력하고 편리한 보안 기술 중 하나로, 향후 다양하게 활용될 수 있을 것으로 기대한다”고 말했다.
IoT 환경에서는 사람의 개입이 있거나 없는 상황에서, 기기간 혹은 기기와 사람간 커뮤니케이션이 이뤄진다. 이 때 인증된 대상이 맞는지, 접속수단이나 정보에 위변조가 없는지 반드시 확인할 수 있어야 한다. 경량 센서를 이용한 통신에는 가벼운 암호화 통신이 필요하지만, 그렇지 않은 단말을 이용할 경우 PKI 기술을 통해 안전한 통신을 확보할 수 있다.
박종필 세이프넷코리아 이사는 “사물인터넷과 IoT를 위한 인증 기술에서 가장 핵심이 되는 것은 암호화와 키관리”라며 “인증 정보가 암호화되지 않은 상태로 전송되거나, 암호화 키와 함께 전송되면 위변조·탈취돼 심각한 피해를 입을 수 있다. 정확하고 빠른 인증도 중요하지만 그보다 더 중요한 것은 인증 정보를 안전하게 보호하는 것”이라고 말했다.
인증 데이터 암호화·키관리 ‘필수’
스마트카의 예를 들어보면, 자동차 내부에 설치된 카메라·내비게이션 등 각종 센서와 단말로부터 정보가 수집되고, 외부의 신호시스템이나 다른 차량과 커뮤니케이션하면서 안전하게 운행할 수 있도록 도와준다.
다른 차량과 소통을 시도할 때 해당 차량에서 전송되는 정보가 실제 그 차량에서 전송된 정확한 정보인지 확인할 수 있도록 인증하는 기술이 필요하다. 특히 전송구간의 데이터가 탈취‧위변조 되지 않도록 암호화하고, 안전한 키관리를 통해 데이터의 무결성을 입증하는 것이 필요한 일이다.
박종필 이사는 “사물간 통신에서 데이터 무결성을 입증하기 위해서는 양 기기에 암호화 키를 두고 인증하는 기술이 필요하며, PKI 등 안전한 암호화 인증 기술을 채택해야 할 것”이라며 “또한 HSM과 같은 암호화 키를 관리할 수 있는 장치도 마련돼야 한다”고 설명했다.
일상생활에서도 인증기술의 활용은 광범위하다. 지문인식 기능이 있는 스마트폰과 도어락을 연계해 스마트폰으로 지문을 인식시킨 후 도어락을 해제하면 비밀번호가 새어나가 범죄자가 현관문을 열고 들어오는 사고를 막을 수 있다.
정권성 레드비씨 솔루션사업본부 이사는 “홈네트워크 환경에서 스마트폰을 이용해 가전기기 작동의 명령을 내릴 때 해당 명령이 위변조되지 않고 집주인이 직접 내리는 명령이라는 것을 알기 위해서는 인증기술이 필요하다. 정상적으로 이뤄지는 통신이라는 사실을 검증할 수 있는 가벼우면서 높은 보안성을 가진 인증 기술이 다양하게 제안될 것”이라고 말했다.
키 없이 전자서명 발생시키는 IoT 인증 알고리즘
마크애니는 키 관리가 필요없이 전자서명을 생성해내는 IoT 인증 기술 ‘KIDS(Keyless Infrastructure for Digital Signature)’를 소개한다. PKI는 구축하는데 비용이 많이 들고 키관리의 어려움 때문에 경량단말을 사용하는 IoT 인증으로 사용하기에 적합하지 않다.
센서와 같이 경량 단말에서 발생하는 대규모 데이터를 검증할 수 있는 KIDS는 단말에서 대규모 데이터가 발생하는 IoT 환경을 지원할 수 있는 전자서명기술이다. 클라이언트의 데이터가 해시값으로 변환되 서버로 전송되면 복잡한 트리구조를 따라 전자서명이 생성된다. 데이터를 암호화 한 후 키를 통해 복호화하는 방식이 아니기 때문에 키가 필요없고, 단말에 키를 보관해야 할 필요가 없고 암·복호화 통신이 필요없기 때문에 하드웨어 리소스 사용률이 극히 적다.
이동욱 마크애니 기술본부 이사는 “IoT 환경에서는 빠르고 가벼운 암호화 기술을 이용한 인증기술이 필요하다. KIDS는 기기정보가 아니라 해시값만 서버로 보내고 이를 이용해 전자서명을 발행해 인증 및 부인방지를 제공해 IoT 환경의 필수 인증 플랫폼으로 채택될 것으로 기대한다”고 말했다.
