2020-04-02 22:25 (목)
인증시스템의 미래…암호가 필요 없는 세상?
상태바
인증시스템의 미래…암호가 필요 없는 세상?
  • 길민권
  • 승인 2013.04.23 03:36
이 기사를 공유합니다

LG경제연구원 성낙환 책임연구원 “인증, 빅데이터 기술 활용될 것”
LG경제연구원 성낙환 책임연구원은 보고서를 통해 “기존 아이디 비밀번호 방식에서 벗어나 보안성과 편의성을 향상시킨 다양한 인증시스템이 개발되고 있다”며 “미래에는 센서, 카메라 등의 하드웨어 발전과 빅데이터 분석 기술에 힘입어 새로운 인증시스템이 개발되고 각 인증시스템이 서로 불완전한 점을 보완하는 형태로 발전할 전망이다”라고 밝혔다.  
 
누구나 한번쯤 비밀번호 때문에 불편한 적이 있었을 것이다. 근본적으로 이러한 문제는 피할 수 없는 일이기도 하다. 개인의 불완전한 기억에 의지하는 방식은 사람이 기계가 아닌 이상 언제든 문제를 일으킬 수 있기 때문이다. 그렇다고 현재의 아이디 비밀번호 방식을 완벽히 대체할 뚜렷한 대안이 있는 것도 아니다.
 
보안칩이나 지문, 홍채 인식 같은 생체인식시스템이 개발되고 있지만 아직 경제적이지 않거나 사용에 제약이 있다. 게다가 이들 기술들은 인증시스템의 핵심인 보안성 측면에서도 불완전하다는 의견도 있다. 실제로 2012년 정보보안 컨퍼런스인 Black Hat Briefings에서는 합성한 가짜 홍채 이미지로도 인증시스템을 통과할 수 있다는 연구 결과가 발표되어 이슈가 된 적이 있다.
 
보고서에 따르면, 보다 안전하고 편리한 개인 인증 및 식별 시스템에 대한 니즈는 나날이 증가하고 있다. 사이버 해킹이 국가 단위로 확대되고 개인의 프라이버시 침해 문제가 사회적 이슈로 부각되고 있기 때문이다. 불안정한 경제 상황 속에서 안전에 대한 욕구 증대도, 사이버 보안의 하나인 인증시스템에 사람들이 관심을 쏟는 계기가 되고 있다. 더욱이 스마트 디바이스 확산과 빅데이터 기술의 발전으로 개인별 맞춤형 서비스가 확대되면서, 서비스 대상자를 파악하기 위한 방법으로 개인 식별시스템 발전이 더욱 필요한 상황이다.   
 
◇보안성과 편의성의 균형
한편 보고서는, 인증 및 식별 시스템 개발이 어려운 이유에 대해서도 밝히고 있다. 보안성과 편의성을 모두 만족해야 되기 때문이다. 인증시스템은 외부 해킹으로부터 안전하게 내가 정당한 사용자임을 시스템이 확인할 수 있는 보안성과, 휴대 및 이용이 간편하고 언제 어디서든지 자신을 식별하여 서비스를 이용할 수 있는 편의성이 모두 중요하다. 하지만 신원확인을 꼼꼼히 할수록 절차가 복잡하고 시간이 오래 걸리는 것처럼, 디지털 인증시스템도 보안성을 강화하면 사용이 어렵다. 예를 들어 특수문자를 포함하거나 10자리 이상 긴 비밀번호를 설정하면, 보안강도는 높아지겠지만 사용자가 기억하기 쉽지 않고 입력 중간에 오타내기도 쉽다.
 
또 생체인식시스템의 기술 수준을 나타내는 FAR(False Acceptance Rate), FRR(False Rejection Rate) 수치를 보면 더욱 잘 알 수 있다고 한다. FAR은 등록되지 않은 엉뚱한 사람을 인증하는 오인식률을, FRR은 인증시스템이 본인 확인을 못하고 인증을 거부하는 오거부율을 뜻한다. 오인식률 0.1%는 1,000번에 한 번 잘못 인식할 수 있다는 의미이다. FAR이 높으면 잘못 인식하는 비율은 낮아져 보안성이 높아지지만, 인증을 거부하는 비율이 높아져 시스템 사용이 불편하게 된다. 따라서 생체인식시스템의 성능을 파악하기 위해서는 FAR과 FRR이 일치하는 ERR(Equal Error Rate)을 아는 게 중요하다는 것.
 
◇최근 인증시스템 개발 트렌드
최근 인증시스템의 개발 트렌드는 어떨까. 보고서는 “인증시스템의 보안 문제는 시스템 자체 오류보다는 외부 해킹과 내부 유출로 발생하는 경우가 많다”며 “웜 바이러스, 악성 코드 등의 해킹 프로그램을 통해 외부인이 비밀번호를 빼가거나, 사용자의 부주의로 암호나 보안 스마트카드를 분실하는 사례를 흔히 볼 수 있다. 최근에는 가짜 사이트나 문자메시지를 이용해 사용자 정보를 교묘하게 빼가는 파밍(Pharming)이나 스미싱(Smishing)도 기승이다. 따라서 입력 정보 및 보안 절차를 강화하거나 암호화 기술로 유출 피해를 최소화하기 위한 노력이 활발하다”고 전한다.  
 
LG경제연구원 성낙환 책임연구원은 보고서를 통해 아래와 같은 인증시스템 최근 개발 트렌드를 소개했다.
①정보 입력 증대
우선 입력 정보를 늘려 인증의 정확성을 높일 수 있다. 대표적으로 비밀번호 입력 시 자리 수를 늘리거나 특수기호를 넣는 것을 들 수 있는데, 이제는 보안 강화를 위해 거의 모든 웹 서비스에 적용되고 있다. 생체인식시스템에서도 높아진 카메라 해상도와 센서 등을 통해 입력 정보를 더욱 정교하게 하고 있다.

② 다중(Multi-factor) 인증시스템
각각의 인증시스템이 장단점을 가지고 있어 불완전하다면, 다수의 인증시스템을 결합해 보안을 강화시킬 수 있다. 예를 들어 비밀번호와 지문인식, 스마트카드와 비밀번호 같이 서로 다른 인증시스템을 사용하여 둘 다 인증이 되었을 때 최종승인을 하는 것이다. 구글과 드롭박스는 각각 2011년과 2012년에 아이디 비밀번호 방식 이외에 스마트폰 인증 및 사용 기기를 지정할 수 있는 이중인증 서비스를 제공하기 시작하였고, 2013년 3월 대형 해킹사고를 겪은 에버노트도 이중인증을 도입하겠다고 발표한 상황이다.
 
③ OTP, 암호화 기술
내부 유출에 대비해 인증 정보가 밖으로 노출되어도 피해를 줄일 수 있는 방법이 활발히 개발되고 있다. 예를 들어 OTP(One Time Password)는 매번 비밀번호가 변경되기 때문에 비밀번호 유출을 걱정할 필요가 없다. 이미 해외에서는 OTP와 암호통신기술(SSL)을 결합한 방식이 금융거래에 널리 쓰이고 있다. 비밀번호뿐 아니라 아이디, 이름, 이메일 주소 같은 신원정보를 노출시키지 않고도 사용자임을 증명할 수 있는 익명인증 기술도 개발되고 있다.
 
◇인증시스템 편의성 높이기 위한 시도 증가
성낙환 책임연구원은 또 “인증시스템 사용이 용이하려면 우선 인증에 필요한 매개체의 소지 및 관리가 편해야 한다”며 “사용자가 번거롭지 않게 인증 절차나 프로세스도 간편해야 한다. 생체인식시스템이 각광받는 이유도 인증시스템을 위해 별도의 준비물을 가지고 다닐 필요가 없을 뿐 아니라 인증 프로세스도 단순하기 때문”이라고 말한다. 따라서 센서, 카메라 등 신기술을 이용하거나 사용자 행동 패턴을 추적하는 등 인증시스템의 편의성을 높이기 위한 시도가 지속적으로 이루어지고 있다. 다음은 성 연구원이 보고서에 밝힌 인증시스템 편의성 증대를 위한 트렌드들이다.
 
① 계정 관리
무수히 많은 인증시스템 계정을 사용자나 관리자들이 조정할 수 있게 도와주는 기술 및 서비스가 개발되고 있다. 기기와 서비스에 상관없이 단 한번의 강력한 인증을 받은 후 다시 인증을 받지 않아도 되는 SSO(Single Sign On)가 대표적이다. 스마트 디바이스와 서비스별로 매번 인증을 거쳐야 하는 불편함을 없앨 수 있기 때문에, 끊김 없는 사용환경이 중요한 클라우드 서비스에서 매우 중요하다. SSO는 보안에 취약할 수 있기 때문에, 사용자별 권한에 따라 시스템 자원 접근 제한이 가능한 권한관리시스템(EAM, Extranet Access Management)이나 통합계정관리(IAM, Identity and Access Management)으로 확대 적용될 수 있다.

② 스마트 디바이스 활용
센서, 카메라 등 하드웨어 기술은 기존 인증시스템의 편의성을 높일 수 있다. 스마트폰을 예로 들어보자. 비밀번호보다 더욱 직관적으로 사용이 가능한 패턴 잠금, 안면인식 같은 안드로이드 OS의 인증시스템은 터치스크린, 카메라 기술의 발전에 힘입은 것들이다. 또 2012년 Authentec을 인수한 애플이 차기 아이폰 제품의 터치 화면에 지문인식 기능을 탑재할 것이라는 이야기도 무성하다. 더 나아가 스마트폰의 가속도, 자이로 센서를 이용할 수도 있다. 스마트폰을 손에 쥐고 허공에 개인이 수기서명 형태로 행동하면 패턴을 분석하여 사용자를 인증하는 기술이 그 예이다. 다른 사람이 사용자 서명을 따라 해도 개인마다 팔의 길이, 손의 크기 및 손목의 회전각 차이로 인하여 센서가 인식하는 값이 다르기 때문에 사용자 인증이 가능하다.
 
③ 행동 패턴 파악
사용자가 인지하지 못하는 시스템 뒷단에서 행동 패턴을 파악해 본인 여부를 확인하는 기술도 발전하고 있다. 일례로 사용자의 전자 금융거래 정보를 분석해, 기존 사용자의 거래 패턴과 상이한 이상거래를 탐지하는 사기방지(Fraud Detection) 솔루션을 들 수 있다. 과거 IP 주소, OS 환경, 거래 시간, 금액 크기, 사용자 세션 정보 등을 바탕으로 이상 징후를 포착하는 것이다. 또 사용자의 키보드 타이핑이나 터치 스크린 사용 행태를 분석하여 사용자를 파악하는 기술도 개발되고 있다.
 
◇적용성과 프라이버시 문제 해결도 필요
보안이 강력하고 사용이 편한 인증시스템을 개발했다고 끝은 아니다. 현재 사용중인 시스템에 새로 개발한 인증시스템을 적용하는 일이 남아있다고 성 연구원은 말한다. 시스템 설치 비용뿐 아니라 새 인증시스템 도입에 따른 신규 등록 프로세스, 사용자 교육 등 고려해야 될 사안이 많다. 아직도 많은 시스템이 아이디 비밀번호 방식을 고수하는 이유 중 하나가 바로 시스템 설치 및 활용이 간단하기 때문이라는 것이다.
 
프라이버시 침해 문제도 인증시스템이 넘어야 할 산이다. 2012년 EU 집행위원회는 ‘잊혀질 권리(Right to be forgotten)’를 법제화 해 큰 이슈가 되었다. 잊혀질 권리란 사용자가 자신의 개인정보 삭제 및 확산 방지를 요구할 수 있는 권리를 말한다. 예를 들어 2011년 웹 브라우저인 파이어폭스는 개인정보 추적금지(do not track)기능을 탑재했으며, 자신이 작성한 SNS 글을 한꺼번에 지워주는 사이트(www.suicidemachine.org)도 사람들의 주목을 받고 있다. 또 최근 구글이 발표한 휴면상태가 된 이메일과 인터넷에 저장된 자료를 처리할 수 있는 휴면계정 관리서비스(Inactive Account Manager)도 이러한 예라고 한다.  
 
◇인증 시스템의 미래
마지막으로 성 연구원은 미래 인증시스템은 어떻게 발전할까를 언급하고 있다. “기존 아이디 비밀번호 방식이 완전히 사라지고 사용이 편하고 보안이 더욱 강력한 새로운 인증시스템으로 대체될까? 그렇게 되기는 쉽지 않을 것”이라며 “시스템이 아무리 완벽해도 사람이 이를 활용하기 때문에 헛점은 존재할 수밖에 없다”고 말한다. 따라서 각 개별 인증시스템이 보안성과 편의성을 향상시키면서, 다중 인증시스템을 통해 불완전한 점을 서로 보완하는 형태로 발전할 가능성이 높다는 것이다.  
 
또 사물 인터넷(Internet of Thing), 빅데이터 기술의 발전으로 인증시스템에도 변화가 예상된다고 보고서는 밝히고 있다. 센서와 RFID 등이 탑재된 사물들이 네트워크로 묶이면서, 사람을 인증하는 것 이외에 사물과 사물간 인증이 늘어난 다는 것. 예를 들어 구글이 개발한 무인주행 시스템이 확산된다고 가정할 경우, 자동차 간 또는 교통시스템과 자동차 사이에 정보를 주고 받는 과정에서 탑승자가 모르는 수많은 인증 과정이 발생할 수 있다. 한편 우리가 행하는 모든 디지털 활동 흔적인 Digital Footprint가 빅데이터 기술에 의해 분석되면서 인증시스템에도 활용될 것이다.
 
LG경제연구원 성낙환 책임연구원은 “미래는 빅데이터 기술을 통해 사용자 패턴을 분석함으로써, 단방향의 일회성 인증이 아닌 시스템과 사용자가 서로 상호작용하면서 주위 상황에 기반한 인증 방식이 가능해질 것”이라고 전망한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com