국내 최대 의료기관 정보보안 실무자 대상 정보보호 컨퍼런스 MPIS 2022가 지난 5월 24일 더케이호텔서울 2층 가야금홀에서 300여 명의 국공립, 대학, 중견, 중소 병원 개인정보보호 및 정보보안 책임자·실무자들이 참석한 가운데 성황리에 개최됐다. 

이 자리에서 옥타코 이재형 대표는 ‘Passwordless 인증 트렌드와 적용 방안’을 주제로 강연을 진행했다. 

2021년 사이버보안의 중요성은 코로나 펜데믹은 물론 글로벌 환경 변화에 따라 더더욱 중요해 졌다. 사이버 보안 분야 중에서도 디지털 아이덴티티 및 인증 분야는 변화하는 업무 환경 및 사용자 편리성, 보안성의 이슈에 대응하기 위해 가장 빠르게 변화하고 성장하는 분야로, 2021년도의 디지털 아이덴티티 및 인증 분야 트렌드를 살펴보면 다음과 같다. 

다중인중(MFA) 인증 강화 추세, 제로 트러스트(Zero Trust) 인증 모델 확대, 생체인증 도입 증가, MS, 애플, 구글 등 플랫폼 기업 선두로 Passwordless 인증으로 이동이 가속화 되고 있으며, 차세대 표준 인증 기술인 FIDO 기술이 2025년까지 전체 MFA 중 현재의 5% 미만 이용률에서 25%로 성장할 것으로 예상된다.

옥타코 이재형 대표는 이날 MFA 강화를 위한 미국 바이든 행정부의 사이버보안 강화 명령 및 국내 국정원 국가기관 보안적합성 그리고 ISMS-P에서의 인증 분야 FIDO 기술 권고 등의 내용을 소개했다. 

옥타코가 지난 2년간 데일리시큐의 보안 컨퍼런스를 통해 조사한 바에 따르면, 정보보안 담당자나 실무자들이 가장 필요로 하는 자료는 구축 사례 및 실제 구축 기술 가이드 정보였다. 

이 대표는 이날 발표를 통해 Passwordless 인증을 어떻게 구축 할 수 있는지 단계별, 케이스별 적용 방법을 상세히 설명했다. 

Passwordless 인증 방법은 크게 3가지로 구분할 수 있는데 지식 기반 인증인 패턴, 그림, PIN 등 이 있고, 소유기반 인증인 공개키 토큰(X.509 전자서명, FIDO), SMS 인증, ARS 인증, OTP 토큰, 마지막으로 생체기반 인증으로 생체인증과 행동인증이 있다. 최근에는 시그널로만 인증하는 확장형 MFA도 있으며 이는 장치, 위치 및 행동 등을 분석하여 인증을 해주는 방식이다. 

그는 이번 발표에서는 Passwordless 인증 단계별 도입 방법에 대해 정보보안 실무자 및 의사결정권자들에게 실질적 도움이 될 수 있는 방법들에 대해 안내하는 시간을 가졌다. 

도입 1단계로 최소한의 계획만 수립하는 방법을 설명, 2단계 현재 사용하고 있는 시스템을 최대한 활용해 Passwordless 인증으로 만드는 구체적인 방법을 설명, 3단계에서는 Passwordless 인증을 전사적으로 도입하는 방법등에 대해 구체적 사례와 기술을 소개하면서 설명했다. 

이재형 대표는 “이제 인증은 보안만 강화해 주는 비용성 지출이 아닌 기업의 생산성과 사용자들을 자사의 서비스로 유입시킬 수 있는 영업 및 세일즈 수단으로도 사용된다. 따라서 인증에 대한 투자는 비용 대비 가장 생산성을 높일 수 있는 투자”라고 강조했다. 

상세한 강연내용은 아래 영상을 참조하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다. 

★정보보안 대표 미디어 데일리시큐!★