2016.08.26

토픽브리핑 | 비밀번호 이후의 시대를 준비하는 대안 인증 기술들

허은애 기자 | ITWorld
온라인 계정의 비밀번호나 사용자 주민등록번호 등은 이미 손쉬운 해킹 대상이 된 지 오래다. 라스트패스같은 비밀번호 관리 앱도 지난해 사용자 계정 정보 유출 사고에 시달렸다. 이 때문에 모든 부가 앱이 하나의 계정에 연결되는 구글, 페이스북 등의 서비스나 금융권을 중심으로 이중 인증이나 2단계 인증 방식이 보편화했다.

인증 요소에는 세 가지 유형이 있다. 하나는 암호나 PIN 등 비밀번호이고, 두 번째는 휴대폰이나 특별 USB 키처럼 사용자가 보유한 것, 마지막은 지문이나 DNA처럼 사용자 그 자체에 해당하는 데이터다. 이중 인증과 2단계 인증은 조금 다른데, 이중 인증은 두 가지 이상의 다른 인증 요소를 채택하고, 2단계 인증은 이메일이나 문자 메시지로 비밀번호와 일회용 코드를 보내는 등 하나의 요소를 두 번에 걸쳐 사용하는 것을 의미한다.

이중 인증에 대해 알아야 할 5가지
크롬북, PIN 번호로 잠금 해제 기능 도입
“디지털 라이프를 보호하라” 구글 계정 2단계 인증 설정의 모든 것

최근 미국 표준기술연구원(The National Institute of Standards and Technology)은 IT 업체를 상대로 SMS를 통한 2단계 인증 사용 중단을 권고했다. SMS로 전달되는 데이터가 중간에 탈취될 수 있어 보안에 취약하다는 이유에서다.

"SMS 메시지 통한 2단계 인증 방식, 보안 위험 높아" NIST 새 권고안

비밀번호와 함께 널리 쓰이는 이중 인증 수단으로는 먼저 생체인식 기술을 꼽을 수 있다. 모바일 기기에 적극적으로 도입된 생체인식은 지문, 안면, 홍채, 음성 인식 등 개인의 독특한 생체정보를 판별하여 본인임을 인증하는 보안 기술이다. 윈도우 10의 핵심 앱인 헬로는 안면을 입체적으로 인식한다. 지문 인식도 가능한데, 두 가지 방식 모두 인텔 리얼센스 카메라나 지문 인식 센서같은 전용 하드웨어가 필요하다.

비밀번호 안녕··· 대세화 앞둔 안면·지문 인식 기술
윈도우 10 안면 인식 기능 ‘헬로’…”일란성 쌍둥이도 로그인 못 해”
IDG 블로그 | 윈도우 10 안면인식 기능 ‘헬로’ 체험기…“순식간에 로그인”

최근 출시된 갤럭시 노트 7은 홍채 인식을 통한 잠금 해제 방식을 도입해 관심을 끌고 있다. 애플 페이는 아이폰과 아이패드에서 신용 카드를 인증하는 데 지문 정보를 이용한다. 구글 플레이스토어, 마이크로소프트 스토어에서도 앱, 영화, 음악을 구입할 때 지문 인증을 이용할 수 있다. 생체인식 센서 생산량도 급증해 2020년까지 26억 달러 규모를 형성할 것으로 예상된다.

“구형 PC에 윈도우 헬로우 구현” 시냅틱의 저렴한 USB 지문 인식기 관심
“눈여겨보자!” 지문 인식을 잘 활용한 안드로이드 앱 15선
한발 빠른 아마존, 안면 인식 결제 기능 특허 신청…“MS 헬로, 뭐하니?”
‘일반 PC에도 O.K.’…윈도우 10 안면인식 기능 헬로 가능한 주변기기 선보여

IT 업계는 생체인식 외의 다른 대안도 고민하고 있다. 이미 자동차에 활용되고 있는 접근 기반 인식은 웨어러블 기기를 착용한 상태로 사물인터넷 기기에 접근할 경우 자동으로 잠금이 해제되는 방식이다. 아우디는 사용자 인증이나 확인 과정 없이, 렌트를 신청한 스마트폰 근처로 대여 차량을 인도하는 시범 서비스를 운영하고 있기도 하다. 사용자는 신분증을 내밀 필요도 없이 스마트폰 앱으로 바로 자동차 문을 열고 시동을 걸 수 있다.

지난해 말 IBM이 어떤 개인 데이터도 수집하지 않으면서 사용자 신원을 인증할 수 있는 기술을 개발해 주목받기도 했다. 인증 과정 중에 얻고자 하는 서비스와 직접적인 관련이 없는 개인정보를 너무 많이 노출한다는 문제점을 해결하기 위해서다. 야후 메일은 아예 비밀번호를 없애고, 모바일 기기 알림 확인을 1차 확인 수단으로 채택했다.

개인정보 없이 사용자 인증하는 기술, 블루믹스 클라우드 플랫폼에 적용…IBM
야후 메일, “비밀번호 없는 로그인”…푸시 알림으로 인증 방식 변경
IDG 블로그 | 비밀번호 없는 로그인, 개인이 곧 스마트폰인 시대

이와 함께 생체인식 데이터의 관리, 보관, 과도한 개인 정보 수집과 프라이버시 침해 문제도 강조된다. 지난해 블랙햇 컨퍼런스에서는 몇몇 기기에서 대량의 지문을 수집하는 방법이 시연됐다. 암호화 파티션이 아니라 쉽게 접근할 수 있는 형태로 생체인식 데이터를 저장하는 방식에는 위험이 존재한다는 것이다.

"생체인식, 과용해서는 안 된다"...프로테그리티 CEO
글로벌 칼럼 | 생체 인증의 어두운 면
안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?

생체인식 데이터를 이중 인증 수단으로 설정한다고 해도 로그인이 아니라 잠금 해제나 허가 등의 권한을 부여할 때만 쓰여야 한다는 지적도 있다. 새로운 데이터를 생성할 수 없고, 한 번 도난 당하면 피해가 크기 때문이다. 갤럭시 5, 아이폰 5s, 구글 안드로이드 4.0 아이스크림 샌드위치 모두 사용자의 지문과 얼굴을 모방해 로그인이 풀린다는 지적을 받았다.

디스플레이가 작거나 아예 존재하지 않는 애플워치나 각종 사물인터넷 기기에서는 비밀번호를 입력하는 로그인 방식을 사용할 수 없다. 비밀번호를 대체할 신원 인증 기술 개발은 IT 업계의 현안이며, 지문, 홍채, 안면 인식 기술이 사용자 실생활 깊숙이 자리 잡으면서 기술적 성과도 나타나고 있다. 그러나 새로운 인증 수단과 관련 데이터를 안전하게 보관하고 관리해야 한다는 과제는 여전히 남아 있다. editor@itworld.co.kr 


2016.08.26

토픽브리핑 | 비밀번호 이후의 시대를 준비하는 대안 인증 기술들

허은애 기자 | ITWorld
온라인 계정의 비밀번호나 사용자 주민등록번호 등은 이미 손쉬운 해킹 대상이 된 지 오래다. 라스트패스같은 비밀번호 관리 앱도 지난해 사용자 계정 정보 유출 사고에 시달렸다. 이 때문에 모든 부가 앱이 하나의 계정에 연결되는 구글, 페이스북 등의 서비스나 금융권을 중심으로 이중 인증이나 2단계 인증 방식이 보편화했다.

인증 요소에는 세 가지 유형이 있다. 하나는 암호나 PIN 등 비밀번호이고, 두 번째는 휴대폰이나 특별 USB 키처럼 사용자가 보유한 것, 마지막은 지문이나 DNA처럼 사용자 그 자체에 해당하는 데이터다. 이중 인증과 2단계 인증은 조금 다른데, 이중 인증은 두 가지 이상의 다른 인증 요소를 채택하고, 2단계 인증은 이메일이나 문자 메시지로 비밀번호와 일회용 코드를 보내는 등 하나의 요소를 두 번에 걸쳐 사용하는 것을 의미한다.

이중 인증에 대해 알아야 할 5가지
크롬북, PIN 번호로 잠금 해제 기능 도입
“디지털 라이프를 보호하라” 구글 계정 2단계 인증 설정의 모든 것

최근 미국 표준기술연구원(The National Institute of Standards and Technology)은 IT 업체를 상대로 SMS를 통한 2단계 인증 사용 중단을 권고했다. SMS로 전달되는 데이터가 중간에 탈취될 수 있어 보안에 취약하다는 이유에서다.

"SMS 메시지 통한 2단계 인증 방식, 보안 위험 높아" NIST 새 권고안

비밀번호와 함께 널리 쓰이는 이중 인증 수단으로는 먼저 생체인식 기술을 꼽을 수 있다. 모바일 기기에 적극적으로 도입된 생체인식은 지문, 안면, 홍채, 음성 인식 등 개인의 독특한 생체정보를 판별하여 본인임을 인증하는 보안 기술이다. 윈도우 10의 핵심 앱인 헬로는 안면을 입체적으로 인식한다. 지문 인식도 가능한데, 두 가지 방식 모두 인텔 리얼센스 카메라나 지문 인식 센서같은 전용 하드웨어가 필요하다.

비밀번호 안녕··· 대세화 앞둔 안면·지문 인식 기술
윈도우 10 안면 인식 기능 ‘헬로’…”일란성 쌍둥이도 로그인 못 해”
IDG 블로그 | 윈도우 10 안면인식 기능 ‘헬로’ 체험기…“순식간에 로그인”

최근 출시된 갤럭시 노트 7은 홍채 인식을 통한 잠금 해제 방식을 도입해 관심을 끌고 있다. 애플 페이는 아이폰과 아이패드에서 신용 카드를 인증하는 데 지문 정보를 이용한다. 구글 플레이스토어, 마이크로소프트 스토어에서도 앱, 영화, 음악을 구입할 때 지문 인증을 이용할 수 있다. 생체인식 센서 생산량도 급증해 2020년까지 26억 달러 규모를 형성할 것으로 예상된다.

“구형 PC에 윈도우 헬로우 구현” 시냅틱의 저렴한 USB 지문 인식기 관심
“눈여겨보자!” 지문 인식을 잘 활용한 안드로이드 앱 15선
한발 빠른 아마존, 안면 인식 결제 기능 특허 신청…“MS 헬로, 뭐하니?”
‘일반 PC에도 O.K.’…윈도우 10 안면인식 기능 헬로 가능한 주변기기 선보여

IT 업계는 생체인식 외의 다른 대안도 고민하고 있다. 이미 자동차에 활용되고 있는 접근 기반 인식은 웨어러블 기기를 착용한 상태로 사물인터넷 기기에 접근할 경우 자동으로 잠금이 해제되는 방식이다. 아우디는 사용자 인증이나 확인 과정 없이, 렌트를 신청한 스마트폰 근처로 대여 차량을 인도하는 시범 서비스를 운영하고 있기도 하다. 사용자는 신분증을 내밀 필요도 없이 스마트폰 앱으로 바로 자동차 문을 열고 시동을 걸 수 있다.

지난해 말 IBM이 어떤 개인 데이터도 수집하지 않으면서 사용자 신원을 인증할 수 있는 기술을 개발해 주목받기도 했다. 인증 과정 중에 얻고자 하는 서비스와 직접적인 관련이 없는 개인정보를 너무 많이 노출한다는 문제점을 해결하기 위해서다. 야후 메일은 아예 비밀번호를 없애고, 모바일 기기 알림 확인을 1차 확인 수단으로 채택했다.

개인정보 없이 사용자 인증하는 기술, 블루믹스 클라우드 플랫폼에 적용…IBM
야후 메일, “비밀번호 없는 로그인”…푸시 알림으로 인증 방식 변경
IDG 블로그 | 비밀번호 없는 로그인, 개인이 곧 스마트폰인 시대

이와 함께 생체인식 데이터의 관리, 보관, 과도한 개인 정보 수집과 프라이버시 침해 문제도 강조된다. 지난해 블랙햇 컨퍼런스에서는 몇몇 기기에서 대량의 지문을 수집하는 방법이 시연됐다. 암호화 파티션이 아니라 쉽게 접근할 수 있는 형태로 생체인식 데이터를 저장하는 방식에는 위험이 존재한다는 것이다.

"생체인식, 과용해서는 안 된다"...프로테그리티 CEO
글로벌 칼럼 | 생체 인증의 어두운 면
안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?

생체인식 데이터를 이중 인증 수단으로 설정한다고 해도 로그인이 아니라 잠금 해제나 허가 등의 권한을 부여할 때만 쓰여야 한다는 지적도 있다. 새로운 데이터를 생성할 수 없고, 한 번 도난 당하면 피해가 크기 때문이다. 갤럭시 5, 아이폰 5s, 구글 안드로이드 4.0 아이스크림 샌드위치 모두 사용자의 지문과 얼굴을 모방해 로그인이 풀린다는 지적을 받았다.

디스플레이가 작거나 아예 존재하지 않는 애플워치나 각종 사물인터넷 기기에서는 비밀번호를 입력하는 로그인 방식을 사용할 수 없다. 비밀번호를 대체할 신원 인증 기술 개발은 IT 업계의 현안이며, 지문, 홍채, 안면 인식 기술이 사용자 실생활 깊숙이 자리 잡으면서 기술적 성과도 나타나고 있다. 그러나 새로운 인증 수단과 관련 데이터를 안전하게 보관하고 관리해야 한다는 과제는 여전히 남아 있다. editor@itworld.co.kr 


X