정보화 시대의 필수 기술 '인증'
상태바
정보화 시대의 필수 기술 '인증'
  • 최형주 기자
  • 승인 2020.09.01 13:25
  • 댓글 0
이 기사를 공유합니다

진화 거듭하는 인증 기술, 어떤 것들이 있을까

함부로 누군가를 믿기 어려운 세상이다. 인터넷엔 가짜 뉴스와 정보가 가득하고, 급하게 돈이 필요하다는 부모님의 문자 메시지를 받게 되면 일단 의심부터 하게 된다. 이럴 때 우리는 ‘인증하라’는 말을 쓴다. 이번 글을 통해 사이버, 물리 보안 영역에서 인증은 무엇인지, 인증 방법에는 어떠한 것들이 있는지, 그리고 각 인증의 특성에 대해 알아본다.

 

■ 인증이란

우리는 매일 건물에 출입하기 위해, 이메일을 확인하기 위해, 회사 인트라넷에 접속하기 위해 등등 수많은 상황에서 인증 과정을 거친다. 쉽게 말해 사람을 인증한다는 것은 신분을 확인하는 것이고, 특정 대상을 인증하는 것은 출처를 확인하는 것을 말한다.

결국 인증이란 확인하는 과정이나 행위를 일컫는다. 그리고 정보보호 업계에서 인증은 크게 ▲내가 알고 있는 지식을 통한 ‘지식 기반 인증’ ▲내가 가진 물건을 통한 ‘소유 기반 인증’ ▲내 몸의 특징을 이용한 ‘생체 기반 인증’의 세 가지로 구분된다.

우선 지식 기반 인증을 대표하는 방식에는 ▲계정과 비밀번호 ▲질문과 답변 ▲코드북 ▲패턴 ▲이미지 등이 있다. 이 방식은 말 그대로 사용자가 알고 있는 지식, 그러니까 미리 정해놓은 질문과 답변을 선택해 본인임을 인증한다. 지식 기반 인증의 장점은 본인의 지식을 기반으로 하기 때문에 분실의 우려는 없다는 점이며, 단점은 유추 혹은 무차별 암호 대입 공격이 가능하다는 점이다.

다음으로 소유 기반 인증은 내가 가지고 있는 것을 활용한다. ▲신분증의 날짜 인증 ▲신용카드의 CVC 번호 인증 ▲보안카드 ▲OTP ▲스마트폰 ▲USB 공인인증서 등이 여기에 해당한다. 소유 기반 인증의 가장 큰 장점은 강력한 보안성이다. 특히 OTP는 숫자 생성 시에 필요한 난수를 1회만 사용한다고 가정할 때 절대 깨질 수 없는 보안 방식으로 알려져 있다.

마지막으로 생체 기반 인증은 ▲지문 ▲음성 ▲홍채 ▲안면 ▲심박수 등 개인의 신체 특징을 활용한다. 이 역시 소유 기반 인증 못지않은 강력한 보안성을 가지지만, 몸의 특징은 한정돼 있기 때문에 유출되면 이를 대체해 인증할 수단이 존재하지 않는다는 단점이 있다.

 

지식 기반 인증의 한계

사용자를 인증하는 가장 오래되고 간편한 방법은 계정(이하 ID)과 비밀번호(이하 PW)를 사용하는 것이다. ID와 패스워드를 복잡하게 설정하는 것은 사이버 공격을 막기 위한 가장 좋은 방법 중 하나라고 일컬어지지만, 그 한계가 명확하다.

이러한 지식 기반 인증의 가장 큰 문제는 유추가 가능하다는 점이며, 그 한계를 명확히 보여주는 사이버 범죄로는 ‘크리덴셜 스터핑’을 들 수 있다. 크리덴셜 스터핑이란 해커가 이전에 확보한 개인정보를 다른 웹사이트 시스템에 마구 대입하는 공격을 뜻하며, 여전히 해커들이 가장 즐겨 사용하는 사이버 공격 기법 중 하나다.

이 같은 공격을 가능하게 하는 배경엔 이용자들의 취약한 보안 인식이 깔려 있다. 글로벌 인증 연합체 파이도 얼라이언스(FIDO Alliance)에 따르면, 오늘날 인터넷 이용자들이 가진 계정의 숫자는 평균 90개를 넘어간다. 그리고 이 중 절반 이상이 5개 이하의 패스워드로 모든 인증 서비스를 사용해, 사실상 하나의 패스워드만이 노출돼도 90개 계정 중 18개는 이미 해킹 당한 상태라 봐도 무방하다.

물론 보안 인식만이 전부는 아니다. 디지털 전환의 가속화로 인터넷은 이제 떼어 놓을 수 없는 필수 요소가 됐고, 날이 갈수록 늘어나는 ID와 PW는 IT 복잡성이라는 신조어 생성에 일조하며 간과할 수 없는 사회적 문제 중 하나로 자리매김하게 됐다.

 

■ 소유 기반 인증의 강력한 보안성

지식 기반 인증은 나날이 그 한계성을 드러내고 있지만, 오래도록 쓰여온 인증 체계를 단번에 바꾸기는 어렵다. 이에 업계는 소유 기반 인증을 활용한 2단계(2-Factor, 이하 2FA) 인증과 다단계(Multi-Factor, 이하 MFA) 인증으로 지식 기반 인증을 보완해 나가고 있다.

소유 기반 인증이란 앞서 나열했던 신분증, 보안카드, OTP, 스마트폰, USB 공인인증서 등 개인이 가지고 있는 특정한 물건을 통해 자격을 증명하는 방식이다. 우리가 자주 쓰는 스마트폰 본인인증 번호 발송이 대표적이 소유 기반 인증 방법이다.

소유 기반 인증의 장점은 강력한 보안성이다. 스마트폰 인증의 경우 해커가 휴대폰의 유심을 복사해 가지고 있지 않은 이상 해킹이 불가능하며, 휴대폰을 활용한 OTP 방식 또한 결코 깨질 수 없는 보안 체계임이 1940년대 미국의 한 엔지니어에 의해 증명됐다.

소유 기반 인증은 대체로 ID/PW를 사용하는 1차 로그인 후, 본인 인증을 위해 한 번 더 이용자의 자격을 확인하는 2FA 혹은 MFA의 용도로 각종 금융 서비스 이용에 활용되고 있다. 최근 발생한 유명 연예인 클라우드 해킹 사고 이후 많은 웹사이트가 2FA와 MFA를 권장하며 그 쓰임도 더욱 다양해지고 있다.

현재 가장 보편적으로 사용되는 2FA/MFA는 스마트폰을 활용하는 방식이며, 일부 기업들은 내부 정보 유출을 막기 위해 별도의 USB 모듈 형태의 하드웨어 시큐리티 키 등을 마련해 인증에 활용하고 있다. 특히 국제 법률 협회(International Legal Technology Association)의 조사에 따르면, 지난 2015년부터 2019년까지 전 세계 유명 로펌 72%가 IT ‘인증을 위한 보안 조치’로 2FA를 채택한 것으로 나타났다.

신분증이나 공인인증서의 경우 복사, 유출이 가능하다는 점 때문에 현재는 거의 쓰이지 않으며, 특히 공인인증서는 지난 5월 국회 본회의를 통과한 전자서명법 개정안으로 인해 기존의 우월한 법적 효력이 폐지돼 다른 인증 수단으로 서서히 대체될 것으로 보인다.

지문인식 모듈을 따로 장착해 보안을 강화할 수 있다. (사진: 옥타코의 이지핑거2 사용 모습)
지문인식 모듈을 따로 장착해 보안을 강화할 수 있다. (사진: 옥타코의 이지핑거2 사용 모습)

2FA는 분명 강력한 보안 체계다. 하지만 인증을 위해 또 다른 장치를 가지고 다녀야 하는 번거로움은 보안 업계에서 자주 쓰이는 말 중 하나인 ‘보안성과 편의성은 반비례한다’는 말을 가장 잘 보여주는 사례라고도 볼 수 있다.

 

■ 생체 기반 인증의 편의성

생체 인증은 최근 가장 역동적으로 발전하고 있는 인증 기술이다. 2000년대 까지만 해도 생체 인증은 장비가 비싸 도입하기 어려운 인증 방식의 하나였다. 하지만 2011년 모토로라가 세계 최초의 지문인식 스마트폰 ‘아트릭스’를 내놨고, 여기에 탑재된 지문인식 기술은 당대 최고의 혁신 중 하나로 평가받게 된다.

최초의 지문인식 탑재 스마트폰, 아트릭스(사진: 모토로라)
최초의 지문인식 탑재 스마트폰, 아트릭스(사진: 모토로라)

이후 2013년엔 아이폰 5s에 지문 인식 기능이 탑재됐고, 2014년엔 삼성 갤럭시 S5에 지문인식 기능이 탑재되며 생체인증은 더 이상 비싸고 접하기 어려운 기술이 아닌, 대중적 인증 방식 중 하나로 자리매김하게 된다.

현재 생체 기반 인증은 강력한 보안성과 편의성, 두 마리 토끼를 모두 잡은 인증 기술로 평가받고 있다. 생체 기반 인증 기술의 빠른 발전 속도에 힘입어 지문인식을 비롯한 안면인식, 홍채인식 등의 생체 인증 기술이 다방면에 활용·연구되고 있다.

우선 지문인식의 경우 최근 출시되는 대부분의 스마트기기라면 기본적으로 탑재되는 추세다. 최근엔 지문인식 기능을 탑재한 노트북도 속속 생겨나고 있고, 쉽고 빠른 인증을 위해 결성된 글로벌 인증 연합체 파이도 얼라이언스가 만든 표준 프로토콜을 기반으로 다양한 지문인식 디바이스들이 생겨나고 있다.

안면인식은 감시카메라(CCTV), 인공지능, 머신러닝 기술 등과 연계된다는 점에서 미래 인증 기술로 평가받고 있다. 특히 중국은 치안을 위해 도시 곳곳의 CCTV에 안면인식 기술을 적용해 무단횡단 등의 경범죄는 물론 중대범죄 대응에도 노력하고 있으며, 호주에서는 최근 국경안보를 위해 안면인식을 도입해 입국 수속 등을 관리하고 있다.

홍채인식은 사람마다 다르고, 현 과학 기술로는 복제가 불가능하다는 장점이 있어 생체인증 기술 중 가장 강력한 보안성을 지녔다고 평가받는다. 홍채인식은 지문인식에 비해 대중화되지 않아 사용률은 적지만 코로나19로 ‘언택트’ 문화가 떠오르며, 안면인식과 함께 포스트 코로나를 대비하기 위한 비접촉식 인증 방식으로 각광받고 있다. 현재는 주로 출입통제와 금융권에서 활용되고 있다.

 

■ 진화하는 인증 기술

최근 코로나19로 인해 ‘비대면’ 혹은 ‘언택트’가 새로운 뉴노멀로 떠오르며 편리하면서도 강력한 보안성을 탑재한 인증이 더욱 필요해지고 있는 상황이다. 이 같은 상황에서 인증 기술의 진화는 현재 진행형이다. 지식 기반 인증에서 시작돼 소유 기반 인증을 거쳐, 현재의 생체 기반 인증에 이르기까지 다양한 인증 기술들이 만들어지고 사용됐으며 사라져가고 있다.

그리고 최근 복제가 불가능한 생체 기반 인식을 더 빠르고 안전하게 활용하기 위한 FIDO 프로토콜, 블록체인 기술을 접목한 DID 등 다양한 인증 기술들이 개발돼 우리 삶에 접목되고 있다. 그러나 미래에 우리 인류가 어떠한 인증 기술을 사용하게 될지는 아무도 모른다. 분명한 것은 우리가 개개인을 식별해야 하는 이상, 인증 기술은 IT/ICT 기술과 함께 끊임없이 발전을 거듭할 것이란 사실이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.