함부로 누군가를 믿기 어려운 세상이다. 인터넷엔 가짜 뉴스와 정보가 가득하고, 급하게 돈이 필요하다는 부모님의 문자 메시지를 받게 되면 일단 의심부터 하게 된다. 이럴 때 우리는 ‘인증하라’는 말을 쓴다. 이번 글을 통해 사이버, 물리 보안 영역에서 인증은 무엇인지, 인증 방법에는 어떠한 것들이 있는지, 그리고 각 인증의 특성에 대해 알아본다.

■ 인증이란

우리는 매일 건물에 출입하기 위해, 이메일을 확인하기 위해, 회사 인트라넷에 접속하기 위해 등등 수많은 상황에서 인증 과정을 거친다. 쉽게 말해 사람을 인증한다는 것은 신분을 확인하는 것이고, 특정 대상을 인증하는 것은 출처를 확인하는 것을 말한다.

결국 인증이란 확인하는 과정이나 행위를 일컫는다. 그리고 정보보호 업계에서 인증은 크게 ▲내가 알고 있는 지식을 통한 ‘지식 기반 인증’ ▲내가 가진 물건을 통한 ‘소유 기반 인증’ ▲내 몸의 특징을 이용한 ‘생체 기반 인증’의 세 가지로 구분된다.

우선 지식 기반 인증을 대표하는 방식에는 ▲계정과 비밀번호 ▲질문과 답변 ▲코드북 ▲패턴 ▲이미지 등이 있다. 이 방식은 말 그대로 사용자가 알고 있는 지식, 그러니까 미리 정해놓은 질문과 답변을 선택해 본인임을 인증한다. 지식 기반 인증의 장점은 본인의 지식을 기반으로 하기 때문에 분실의 우려는 없다는 점이며, 단점은 유추 혹은 무차별 암호 대입 공격이 가능하다는 점이다.

다음으로 소유 기반 인증은 내가 가지고 있는 것을 활용한다. ▲신분증의 날짜 인증 ▲신용카드의 CVC 번호 인증 ▲보안카드 ▲OTP ▲스마트폰 ▲USB 공인인증서 등이 여기에 해당한다. 소유 기반 인증의 가장 큰 장점은 강력한 보안성이다. 특히 OTP는 숫자 생성 시에 필요한 난수를 1회만 사용한다고 가정할 때 절대 깨질 수 없는 보안 방식으로 알려져 있다.

마지막으로 생체 기반 인증은 ▲지문 ▲음성 ▲홍채 ▲안면 ▲심박수 등 개인의 신체 특징을 활용한다. 이 역시 소유 기반 인증 못지않은 강력한 보안성을 가지지만, 몸의 특징은 한정돼 있기 때문에 유출되면 이를 대체해 인증할 수단이 존재하지 않는다는 단점이 있다.

■ 지식 기반 인증의 한계

사용자를 인증하는 가장 오래되고 간편한 방법은 계정(이하 ID)과 비밀번호(이하 PW)를 사용하는 것이다. ID와 패스워드를 복잡하게 설정하는 것은 사이버 공격을 막기 위한 가장 좋은 방법 중 하나라고 일컬어지지만, 그 한계가 명확하다.

이러한 지식 기반 인증의 가장 큰 문제는 유추가 가능하다는 점이며, 그 한계를 명확히 보여주는 사이버 범죄로는 ‘크리덴셜 스터핑’을 들 수 있다. 크리덴셜 스터핑이란 해커가 이전에 확보한 개인정보를 다른 웹사이트 시스템에 마구 대입하는 공격을 뜻하며, 여전히 해커들이 가장 즐겨 사용하는 사이버 공격 기법 중 하나다.

이 같은 공격을 가능하게 하는 배경엔 이용자들의 취약한 보안 인식이 깔려 있다. 글로벌 인증 연합체 파이도 얼라이언스(FIDO Alliance)에 따르면, 오늘날 인터넷 이용자들이 가진 계정의 숫자는 평균 90개를 넘어간다. 그리고 이 중 절반 이상이 5개 이하의 패스워드로 모든 인증 서비스를 사용해, 사실상 하나의 패스워드만이 노출돼도 90개 계정 중 18개는 이미 해킹 당한 상태라 봐도 무방하다.