2020-09-29 00:45 (화)
[황석훈 칼럼] 언택트 시대에 필요한 보안 기술
상태바
[황석훈 칼럼] 언택트 시대에 필요한 보안 기술
  • 길민권 기자
  • 승인 2020.06.16 14:46
이 기사를 공유합니다

‘로그인 정보의 제3자 이용에 의한 금융사고’ 막을 수 있는 대안 필요

한국은 COVID-19 이전부터 서비스의 규모와 구성은 복잡해지지만 사용은 간편한 서비스를 원해왔고, 그것은 곧 큰 경쟁력이었다. 하지만, 쉽고 간편하게 사용하는 것은 바람직한 방향이지만, 서비스를 개발하는 입장에서는 간편하고 안전하게 개발하는 것이 쉽지 않다.

대부분의 어플리케이션 보안상 이슈는 로직에서 발생한다. 사용이 간편할수록 많은 체크가 자동으로 일어나야 하는데 쉬운 일은 아니다. 또한 로직을 개발시에 입력 값에 대한 유효한 값인지를 충분한 상상력을 가지고 검증하기란 쉽지 않다. 입력값은 입력자에 따라 달라질 수 있는 값이기 때문이다. 그리고 입력이 어렵고 불편한 것은 안전할지 모르지만, 호응을 얻기란 쉽지 않기 때문이다.

그리고 보안에서 가장 중요한 요소 중 하나이기도 하고, 구현하기가 가장 까다로운 것이 바로 인증 기술이다. 언택트의 세상에서는 더욱더 그렇다. 기존에 언급된 거의 모든 인증 수단은 로그인시에만 사용자를 식별하는 기술들이다. 패스워드, PIN, 패턴, 생체인식 등 모두다 그렇다.

앞으로 언택트의 세상에서는 이보다 한 단계 진보된 인증 시스템이 필요하다. 그것은 로그인을 하고 해당 서비스를 종료할 때까지 사용자는 인지하지 못하는 사이에 지속적으로 인증이 되어야 한다는 것이다. 이는 사용자의 정보를 알더라도 로그인을 차단할 수 있어야 하고, 로그인된 상태에서 누군가 화면을 가로챈다 하더라도 이를 식별하고 차단할 수 있어야 한다는 뜻이다. 단순히 해킹의 차단이 아닌 지속적인 인증으로 보는 개념이다.

사용자들은 기존 인증수단을 사용하면서 최대한 쉽고 기억하기 쉬운 방법으로 사용하는 습관이 있다. 특히 나이가 들수록 암기가 어려워지므로 더욱 그러하다. 그리고 별도의 하드웨어가 필요한 OTP나 지문, 정맥인증 같은 별도의 하드웨어가 필요한 것은 다양한 디바이스로 서비스에 접근하기가 어려운 문제가 있다.

행위기반 인증시스템은 따라서 위의 모든 시스템보다 진보된 인증 시스템이라 할 수 있다. 더 이상 비밀번호를 복잡하게 사용하지 않아도 되고, 심지어 상대방이 나의 비밀번호를 안다고 하더라도 사용이 불가능하다. (물론 비밀번호를 모르는 것이 더 좋다.)

사용자의 키보드와 마우스 사용패턴과 접속 환경을 머신러닝해 접속자를 식별하기 때문이다. 새로운 디바이스가 추가되면 자동으로 이를 학습한다. PC, 휴대폰, 태블릿, IoT 디바이스든 상관이 없으며 별도의 하드웨어도 필요하지 않다. 99% 이상의 정확도로 사용자를 식별할 수 있으며, 사용자가 오래 사용할수록 사용자의 다양한 패턴을 학습해 정확도는 더욱 높아진다. 그리고 가장 중요한 것은 이러한 검증 과정을 사용자는 전혀 알지 못하는 사이에 일어난다는 것이다.

즉, 사용자는 추가 인증으로 불편함을 전혀 느끼지 못하지만, 인증은 기존보다 수십 배가 강력해지는 것이다. 더 이상 사용자에게 외우기도 힘든 비밀번호를 요구하는 것도 디바이스를 요구하는 것도 적절하지 못한 세상이다.

FDS와 연동할 경우, 기존의 한계인 '누가'에 대한 이슈를 해결할 수 있다. 기존의 '누가'는 사용자의 패킷 정보에만 의존해왔다. 이를 행위정보를 통해서 식별함으로써, '누가', '무엇을', '언제', '어떻게' 처리했는지를 완벽하게 식별하는 것이 가능해질 수 있다.

현재 전세계에서 가장 발전된 행위인증 솔루션의 BehavioSec사의 ‘BehavioSec’이다. 스웨덴 회사이며 2004년부터 이 분야에 매진해 현재는 유럽과 미국, 일본의 금융사에서 실제 도입해 사용하고 있는 유일한 행위기반 솔루션이며, 하루에 수십억 개의 행위인증 트랜스액션이 실제로 전 세계적으로 이루어지고 있다. 유럽의 주요 은행들 및 금융권 이외에 미국방부 기관에서도 도입하여 사용하고 있기도 하다.

국내에서도 은행권 및 간편결제 업체에서 도입한다면, 해당 고객들에게 ‘로그인 정보의 제3자 이용에 의한 금융사고’를 가장 확실하게 막을 수 있어 매우 큰 신뢰를 줄 수 있을 것으로 기대된다. 기존 서비스나 업무시스템에 손쉽게 적용할 수 있어 다양한 서비스에 접목할 수 있는 점도 가장 큰 특징이다.

★정보보안 대표 미디어 데일리시큐!★

◇국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스(MPIS 2020) 개최
-일 시: 2020년 7월 15일(수) 09:00~17:00
-장 소: 한국과학기술회관 지하1층 대회의실
-참석대상: 전국 의료기관 및 관련 공공기관 개인정보보호/정보보안 담당자(무료 참석)
(이외 참석자는 11만원 유료 참석만 가능)
-사전등록: 사전등록 클릭