2019-12-07 16:34 (토)
황석훈 타이거팀 대표 "행위기반 인증시스템 'BehavioSec'...인증에 혁신 가져올 것"
상태바
황석훈 타이거팀 대표 "행위기반 인증시스템 'BehavioSec'...인증에 혁신 가져올 것"
  • 길민권 기자
  • 승인 2019.04.26 09:04
이 기사를 공유합니다

b-1-1.jpg
행위기반 인증시스템 제품 'BehavioSec'에 대한 관심이 높아지고 있다. 현재 한국에서 '트라이오니즈'와 '타이거팀'이 총판 및 기술파트너로 영업 및 마케팅 활동을 활발히 전개하고 있다.

보안에서 다루는 많은 것들 중에서 가장 중요한 것 중 하나가 인증과 권한 이슈이다. 적절한 사용자인지를 구분하고 구분된 사용자에 따라 필요한 권한을 부여할 수 있다면 정보유출의 이슈부터 상당히 많은 보안 이슈가 해결될 것이다. 하지만 아직까지 근본적인 해결책이 제시되지 못하고 있다.

지난 4월 13일, 원격제어 프로그램으로 사용자의 PC를 제어해서 사용자 몰래 2억9천만원의 대출을 받아간 사건이 있었다. 이런 경우 은행에서는 어떤 인증과 권한에 관련된 시스템이 작동할 수 있었을까? 현재 우리가 사용하고 있는 인증체계의 문제는 무엇이고 이를 개선할 수 있는 새로운 인증시스템은 무엇일까.

◇현재 사용하는 인증 및 관련 시스템이란

인증이란 내가 나인지를 식별하는 기술이다. 가장 일반적으로 사용되는 아이디/패스워드가 내가 관리하는 나를 식별하는 데이터로 사용되어 왔다. 따라서 이 정보를 획득하면 나는 누구든 될수 있는 근원적인 문제가 지금까지의 인증시스템에 존재해 왔다.

수많은 아이디/패스워드 정보 유출 사고는 물론이고, 아이디/패스워드를 분실하거나, 패스워드 생성 규칙의 복잡성의 이슈라던가, 많은 사이트에 동일한 아이디/패스워드를 사용하는 문제로 인해서 한군데서 정보가 유출되면 모든 사이트에서 유출된 효과를 것과 같은 상황등이 지속적으로 발생해 왔다.

이에 인증과 권한의 구분이 매우 중요한 금융 및 IT업계 등에서는 아이디/패스워드 등의 정보유출이 발생할 경우를 대비해서 중요정보를 암호화하는 것은 물론이고 이차인증 시스템이 도입되었다. 대표적인 인증방식이 생체인증, OTP인증, 핸드폰 및 신용카드 인증 등이다. 현재 전반적인 이차인증 외에 FDS까지 연동하여 많은 곳에서 사용하고 있으며 이는 전반적으로 큰 역할을 해오는 것으로 보인다.

하지만 여기에도 많은 다양한 문제가 존재한다. 정보의 유출되었을 경우 대체가 불가능하다거나, 디바이스 분실이나 배터리 방전 등의 이슈가 존재하고, 핸드폰 해킹 등의 위협등이 존재해왔다. 내가 나인지를 식별함에 있어서 이전보다는 조금 더 복잡해져 이전만큼 쉽지는 않지만, 몇몇의 정보의 조합이 발생하면 여전히 누군가가 될 수 있는 환경이다.

현재 내가 나인지를 식별하는데 너무 많은 단계를 수립했으나 식별 로그는 로그로써 충분히 완벽하지 못하다. 만약 내가 지문을 위조해서 로그인을 한다면 로그인한 그 정보가 나에 의해서 그런 것인지 타인에 의해서 그러한 것인지를 구분하지 못한다. 즉 체계만 복잡해지고 우회의 방법이 어려운 것일 뿐 근원적인 내가 한 행위를 로그만으로 식별하기란 쉽지가 않다는 뜻이다.

게다가 계정정보의 관리 이슈에도 빠져있다. 이미 너무 많은 서비스에 가입되어 있다. 하지만 그 많은 서비스를 이용함에 있어 나를 식별하는 중요한 정보는 어떻게 다루고 있는가. 너무 많은 사이트에 다른 계정으로 가입하다 보니 아이디/패스워드 기억하는 일은 보통 일이 아니다. 또한 분실한 계정 정보를 찾기 위해서 굉장히 많은 노력을 기울이고 있다.

더욱 어렵게 입력한 정보를 잘못 관리해 외부로 유출된 정보는 또 얼마나 많은가. 아이디/패스워드 변경하는 것도 보통 일이 아니다.

모든 인증방식의 목적은 하나지만 그 방식이 얼마나 비효율적이고 현대에 와서도 근본적인 해결책이라기 보다는 일차 인증에 문제가 있으니 이차 인증으로 이를 어렵게만 한 것이다.

◇행위기반의 인증 개념...그리고 'BehavioSec'

행위기반 인증이란 사람이 가지고 있는 행동 정보를 기반으로 한 인증체계다. 미션임파서블 중 로그네이션편을 보면 완전히 독립된 시스템을 해킹하기 위해서 다양한 인증체계 (카드, 지문, 홍체 등)를 우회하지만 최종적으로 걸음걸이를 기반으로 한 행위인증 시스템만큼은 직접 해킹하지 못해 주인공 탐크루즈가 행위데이터 자체를 교체하기 위해 잠수하는 장면이 나온다.

행위기반 자체에 대해 실제 서버측 비교 정보를 변경하지 않고는 우회 방법이 없다는 것이 포인트다.

행위기반 인증 시스템을 글로벌에서 독보적으로 개발해오고 있는 회사가 있다.

바로 'BehavioSec'이라는 회사다. 한국에서도 여러 기사 및 다양한 연구과제 리포트에도 소개된바 있는 회사다. 2008년에 설립되어 현재 금융 및 일반 업무 환경에 접목되어 전세계적으로 약 2천여 개의 고객사를 두고 있다. 상용화되어 사용되는 거의 유일한 행위기반 솔루션이라 할 수 있다.

현재 미국과 일본의 금융분야에서 많은 레퍼런스를 확보하고 있는 이 회사는 2015년경에도 국내에 소개된바 있었다. 하지만 당시에는 정확도에 문제가 있어 도입된 사례가 없었다고 한다. 하지만 최근 성능이 많이 개선되면서 각국에서 러브콜을 받고 있는 상황이다. 자체 테스트 결과로는 98%의 정확도를 나타냈고, 현재 실제 망에 대한 정확도를 통계하기 위해서 인력을 확충하면서 도입된 은행에서 오탐에 대한 통계 데이터를 수집중에 있다.

b-2-1.jpg
황석훈 타이거팀 대표는 "PC브라우저와 모바일앱용 SDK가 지원되며, 키보드와 마우스의 움직임 및 누르는 속도, 간격, 각도 등의 다양한 정보 뿐만 아니라 해당 단말기의 브라우저 및 기타 다양한 정보등을 수집해 이를 머신러닝해 데이터화하고 이후 접속시마다 사용자를 가려내는 기술이다. 때문에 최초 한번의 인식 과정을 거치지만 이후에는 즉시 사용이 가능하다"고 설명했다.

◇행위기반 인증의 장점

이 시스템이 접목되면 전통적인 로그인 방식인 아이디, 패스워드를 입력하지 않아도 사용자를 구분해 낼 수 있다. 따라서 로그인 과정이 생략되고 첫 화면에서 아무런 문자만 입력하면 바로 사용자가 구분될 수 있다. 그러므로 더 이상 패스워드 분실이나 변경에 대한 고통에서 해방될 수 있는 장점이 있다.

또한 아이디/패스워드가 모두 유출되었다고 하더라도 문제없다. 입력하는 방식이 달라 모든 정보를 알더라도 내가 아님을 쉽게 가려낸다. 인증 정보를 copy&paste를 해도 쉽게 적발할 수 있다. 더 이상 키로깅이나 메모리 덤프, 패스워드 크랙 등의 해킹 공격을 두려워할 이유가 없어진다. 또한 웹해킹으로 세션을 탈취하여도 안전하다. 심지어 원격 프로그램으로 로그인하는 과정을 보고 있다가 사용자가 자리를 비운 사이에 사용해도 걱정없다.

기존에 로그인에 대한 정보는 성공과 실패를 기록하지만 누가했는지를 식별하지 못해, 그것이 공격인지 아닌지를 구분하지 못했다. 하지만 행위기반의 경우 입력되는 값에 대한 행위데이터와 일치율을 통해서 누가 실패했는지를 구분할 수 있다. 즉, 로그인 실패가 진짜 공격인지 아니면 본인의 실수에 의한 것인지를 확실하게 구분할 수 있다. 이는 실제 대응이란 관점에서도 중요한 식별이라 할 수 있다.

◇적용방식의 편리함

트라이오니즈 측에 따르면, 웹용 BehavioSec은 자바스크립트로 만들어져 있다. 기존 페이지에서 입력되는 부분에 이벤트 처리를 해주고 나머지 코드는 인클루드 처리로 가능하기 때문에 기존 시스템에 접목시키는 과정이 매우 간단하다. 신규로 시스템을 개발할 경우에는 로그인 페이지 자체를 만들지 않아도 되는 혁신적인 모델이 가능해진다. 첫 페이지에서 "안녕하세요. OOO입니다"라고만 입력해도 로그인 처리가 가능하기 때문이다. 물론 이 문장을 다른 사람이 안다고 해도 전혀 문제가 없기 때문에 모든 웹사이트에서 아무 문장 또는 같은 문장을 사용해도 무방해진다.

모바일의 경우 SDK를 제공해 개발이 편하도록 하고 있고 있다. 또한 매니저 시스템의 경우 유일한 경쟁 제품이 IBM과 달리 온프라미스를 지원하고 있다는 것이다.

한편 타이거팀은 "자바스크립트이기 때문에 보안상 취약할 수 있다고 할 수 있다. 아직 자바스크립트 이슈로 보안 사고 발생했다는 내용은 알려진바 없으나, 이를 우려하는 경우 강력한 자바스크립트 난독화 솔루션(Arxan for web)을 함께 도입하면 무결성 뿐만 아니라 분석 자체를 원천적으로 차단시켜주며, DOM의 위변조 등을 모두 차단시켜 주기 때문에 보다 안전한 개발 및 운영이 가능해진다"고 덧붙였다.

황석훈 타이거팀 대표는 "행위기반 인증 시스템의 핵심은 탐지의 정확도다. 미국과 일본,유럽 등지에서 최근 금융 등에 많이 도입되는 것을 보면 충분히 검증되었을 것으로 예상한다"며 "국내의 금융, 공공, IT를 비롯한 수많은 기관들은 매년 보다 안전한 인증을 위해 수많은 예산을 투자하지만 늘 정보유출과 인증 우회를 막기 위해서 고군분투하고 있다. 앞서 언급했던 로그에서의 의미 부여도 여전히 남아있는 문제이기도 하다. BehavioSec 시스템을 도입하면 간단한 적용으로 현재의 시스템을 보다 견고하게 만들거나 기존의 시스템을 대체해 보다 가볍게도 구현할 수 있을 것"이라고 밝혔다.


[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★