[CCTV뉴스=최진영 기자] 아이디와 패스워드는 대표적인 인증체계로 특히 웹사이트 가입에 많이 쓰인다. 각 사이트마다 아이디와 패스워드를 다르게 하고 암기하는 것이 쉽지 않아 동일한 경우가 부지기수다. 때문에 유명 포털사이트나 오픈마켓의 개인정보가 유출되면 사회적 파장이 적지 않다.
최근에는 패스워드가 아닌 아이디를 다르게 한다는 글이 네티즌들의 눈길을 모았다. 분실 시 패스워드를 찾는 과정보다 아이디가 더 쉽다는 이유에서다.
그렇다고 매번 메모장을 마스터키로 쓰자니 불안하고 불편하다. 우리는 ‘편하게 하는 보안’이 필요한 시점이다.
□ ‘랜덤코드’를 아이디로 사용
코리아엑스퍼트는 편하고 단단한 보안을 고심하는 기업이다. 대표적인 솔루션은 일회용 간편인증(One Time Identity, OTID) 아이루키(Identity Random Unique Key, IRUKEY)다.
패스워드는 없다. 임의로 발생되는 아이디를 통해 사용자를 식별한다. 아이디는 매번 솔루션 내에서 알고리즘을 통해 만들어지며 사용자가 외울 필요가 없다. 사실 규칙성이 없고 길어 외울 수도 없다.
아이루키는 박규호 코리아엑스퍼트 대표이사가 직접 참여한 작품이다. 7월 19일 박 대표는 “끊임 없이 발생하는 사용자 인증 문제의 근본적인 원인은 나를 제일 처음 인증하는 단계인 ID 자체의 유출”이라며 “OTID는 사용자를 구분하면서 고정되지 않는 값을 사용한다면 문제점을 해결할 수 있다는 가정을 시작으로 개발했다”고 설명했다.
핵심 기술은 랜덤코드를 생성하는 과정이다. 영문 대소문자∙숫자∙특수문자로 이뤄진 82개의 변수는 약 3000억 개에 가까운 아이디를 나타낼 수 있다. 6자리 이상으로 설정하면 경우의 수는 더욱 늘어난다.
또한 일방향 유일코드변환기를 한 번 더 거쳐서 아이디가 표현된다. 이 지점에서 중복 가능성이 있는 OTP(One Time Password)와 차이를 보인다.
다양한 인증수단에 적용 할 수 있는 솔루션이라는 점도 눈길을 끌고 있다. 스마트폰이나 카드 등의 환경에서 아이루키를 적용하는 것은 물론 다단계 인증 과정에서 추가인증 수단으로 구성하는 것도 문제 없다. QR코드, PIN, ID입력 등 사용자의 환경 따라 인증방식도 선택할 수 있다.
□ 또 다른 핵심기술 ‘사용자 맵핑’
스마트폰을 이용해 출입관리를 한다고 가정하자. 사용자는 아이루키 앱을 통해 서버에 연결된 단말기에 접근한다. 서버에서는 아이루키가 임의로 발급한 OTID를 통해 출입문을 개방 여부를 판단하게 된다.
임의의 OTID라면 ‘정확한 사용자 식별은 안 되는 걸까’라는 의문이 남는다. 이에 코리아엑스퍼트는 아이루키의 핵심기술 중 하나로 ‘사용자 맵핑’을 추가했다.
이는 임의의 아이디로 로그인을 시도한 사용자가 특정 사용자임을 확인해주는 기능이다. 스마트기기에서 생성된 OTID를 서버와 통신하지 않고 자체적 확인하는 기능이다.
IoT 환경에서는 인증보안도 중요하지만 식별도 가능해야 된다. 이는 IoT 기기의 통신을 허용할 것인지 여부를 결정하는 데 있어 중요한 요소이며, 데이터 분석 시 원천을 찾을 때도 필요하다.
한편 아이루키 사용자 인증 기술은 보험사와 공공기관에 적용된 바 있다. 보험사의 경우 보험설계사의 업무지원시스템의 간편인증 용도로 적용됐다. 기존에는 공인인증서나 고정된 아이디와 패스워드를 사용됐다.
이는 보험설계사의 업무환경이 책상 앞이 아니라는 점이 크게 고려됐다고 볼 수 있다. 이동이 잦고 정보접근이 빨라야 하는 보험설계사들의 업무 특성상 정적이고 시간소모가 많은 인증수단은 적합하지 않다.
코리아엑스퍼트는 오프라인에도 아이루키를 적용하는 사례를 만들기 위해 노력 중이다. 오프라인의 경우 사물인터넷 기술이 접목된 출입문 같은 제어기기가 적합하다.
특히 매번 랜섬웨어를 빗겨가지 못하는 ‘디지털 사이니지’에 관심이 크다. 직접 스마트폰과 IoT 기능이 있는 디지털 사이니지를 만들어 그 사이에 아이루키 인증을 구현해 시장에 내보이고 있다.
올해 초 박 대표는 기자와 인터뷰를 통해 인터넷에 연결된 기기가 많다는 것은 리스크를 늘리는 작업이라고 표현했다. 박 대표의 표현처럼 보안이 담보되지 않은 IoT 기기는 이미 주인 손을 떠난 셈이다.
