IT 관리 / 보안 / 프라이버시

윈도우 사용 기업을 위한 차세대 인증 방식, '비즈니스용 윈도우 헬로우'

Jonathan Hassell | Computerworld 2018.12.26
인증(Authentication)이란, 자신의 신원을 중앙 지휘권의 기준을 만족할 정도로 증명하는 행위다. 대부분의 경우 이 절차는 ID와 비밀번호를 입력하는 것으로 끝난다. 사실 아주 오랫동안 '인증'이란 그 이상도 이하도 아니었다.
 
하지만 비밀번호는 대부분 너무 길고 복잡해 외우기가 쉽지 않다. 메모지에 비밀번호를 적어두는 일도 다반사다. 특히 기업이 요구하는 비밀번호는 최소 8글자 이상이어야 하고, 숫자와 특수문자(하지만 내가 원하는 특수 문자는 안 된다)를 포함해야 한다. 이것만으로도 모자랐는지, 해커들의 표적이 되지 않으려면 비밀번호를 몇 달에 한 번씩 바꿔야 한다고 한다.
 
그러나, 지난 몇 년간 발생한 개인정보 유출 사건을 보면 비밀번호는 얼마든지 내부적으로도 유출이나 해킹이 가능하다는 것을 알 수 있다. 게다가 갈수록 교묘해져 가는 피싱 수법에 당해 자신도 모르게 비밀번호를 유출하기도 한다. 



그래도 윈도우 사용자에게는 희망이 있다. 마이크로소프트가 기업 등급의 생체 인식 및 인증 방법을 제공하고 있기 때문이다. 고가의 하드웨어를 구매할 필요도 없고, 그냥 윈도우 10에 탑재되어 있다. 오늘날 많은 IT 부서가 윈도우 7,8, 그리고 8.1을 윈도우 10으로 대체하고 있다. 

이번 기사에서는 '비즈니스용 윈도우 헬로우(Windows Hello for Business)'라는 서비스에 대해 자세히 알아본다. '비즈니스용 윈도우 헬로우'의 작동 기전과 이를 이용해 복잡하고 까다로운 비밀번호 없이도 기업을 안전하게 지키는 방법에 대해 소개한다.
 

'비즈니스용 윈도우 헬로우' 작동 기전

윈도우 헬로우는 윈도우가 지원하는 가장 널리 사용되며 또한 유명한 생체 인증 솔루션이다. 기기에 지문 인식 기능이나 특수 카메라가 장착되어 있다면 윈도우 10 사용자들은 지문이나 안면 인식을 통해 로그인을 할 수 있다.
 
'비즈니스용 윈도우 헬로우'는 이 아이디어를 한층 더 발전시켜 관리 툴, 이행 기술과 통합한 것으로 탄탄한 보안 프로파일과 기업 등급의 보안을 보장한다. 비즈니스용 윈도우 헬로우는 관리 및 이행에 그룹 정책 또는 모바일 기기 관리(MDM) 정책을 사용하며, 최대한의 보호를 위해 클라우드 중심 환경에서는 키 및 인증서 기반 인증을 사용하고 있다.
 
윈도우 헬로우는 신원 인증을 위해 다음과 같은 2가지 기술을 사용한다. 첫째는 지문 인식이고, 다른 하나는 사용자 얼굴을 적외선 카메라로 사진 찍어 분석하는 것이다. 윈도우 헬로우는 홍채 스캐닝 기능도 지원하지만, 홍채 인식 카메라의 경우 노트북이나 데스크톱 디스플레이보다는 폰에 더 적합한 카메라이기 때문에 기업용 헬로우에서는 지문 인식과 안면 인식 기술을 주로 사용하는 편이다. 

윈도우 헬로우는 각 사용자의 지문과 얼굴이라는 특성을 고유의 암호화 키에 귀속시켜 비밀번호를 대체하는 인증 수단으로 사용한다. 이들 암호화 키는 특수 보안 하드웨어 안에 보관되어 있거나 소프트웨어 안이 암호화되어 있으며 윈도우가 진위 여부를 확인한 뒤에야 잠금이 해제된다. 생체 인증 기술에 관심이 없는 기관들을 위해 윈도우 헬로우는 비밀번호 대신 PIN 사용도 지원하고 있다. 

윈도우 헬로우는 마이크로소프트 계정(마이크로소프트 클라우드 서비스, Xbox, 오피스 365 등에 로그인 할 때 사용하는 계정)과 기업 액티브 디렉토리 디플로이먼트의 일부인 도메인 계정, 애저 액티브 디렉토리 도메인에 연동된 도메인 계정, 그리고 Fast ID Online 2.0(FIDO2) 프로토콜을 지원하는 연방 신원 제공자가 보호하는 계정 등을 보호한다.
 
그렇다면 윈도우 헬로우가 기존의 비밀번호보다 안전한지 어떻게 알 수 있을까. 우선, 단순히 생각해 봐도 하나만 확인하는 것보다 3가지를 확인하는 것이 훨씬 안전하다. 최선의 인증은 내가 가진 것, 내가 아는 것, 그리고 나의 신원의 일부를 구성하는 것을 모두 확인하는 것이다. 

윈도우 헬로우는 이 3가지를 모두 확인한다. 내가 가진 것(기기의 보안 모듈이 보호하고 있는 사용자의 프라이빗 키), 내가 아는 것(등록 이후 윈도우 헬로우에서 기본으로 사용되는 PIN), 그리고 나의 신원을 구성하는 것(복제가 거의 불가능하다고 할 수 있는 사용자의 얼굴이나, 마찬가지로 손가락을 자르지 않는 이상은 복제 및 악용이 어려운 사용자의 지문)을 다 확인하기 때문이다.
 
가장 흥미로운 점은, 이런 생체 정보가 로컬 디바이스에만 저장되며 디렉토리나 기타 인증 소스에 중앙화되지 않는다는 점이다. 다시 말해 윈도우 헬로우를 사용하는 계정에 대해서는 신원 정보 수확 공격을 감행할 수 없는데, 해킹하려는 곳에 신원 정보 자체가 존재하지 않기 때문이다. 물론 이론적으로는 각 기기의 TPM(Trusted Platform Module)을 해킹하는 것도 가능하지만, 이를 위해서는 각 개별 사용자들의 기기를 일일이 해킹해야 한다. 이는 하나의 취약한 도메인 컨트롤러를 공격하는 일보다 훨씬 어렵고 성가신 일이다. 

윈도우 헬로우의 생체 인증 방식에는 특수 하드웨어가 필요하다. 바로 적외선으로 환경을 탐지하고, 이를 통해 사진과 실제 사람을 구분해 낼 수 있는 웹캠이다. 오늘날 대부분 노트북 제조업체들은 기업용 제품 라인에는 윈도우 헬로우 구동이 가능한 카메라를 설치하고 있다. 혹 그렇지 않더라도 별도로 헬로우가 구동되는 카메라를 구매하면 된다. 

모두 알고 있듯이, 지문 인식기는 수년 전부터 다양한 기기에 사용되어 왔다. 기본적으로, 어느 한 윈도우 버전에서라도 사용 가능한 지문 인식기는 모두 윈도우 헬로우에서도 사용할 수 있다. 그렇지만 마이크로소프트에 따르면, 최신 인식기들이 인식률이 좋아 한두번의 터치로도 빠르게 인식이 된다고 말했다. 반대로 구형 인식기들의 경우 인식이 잘 되지 않아서 몇 번씩 터치나 스와이핑을 해야 할 수도 있다.
 
한편, 윈도우 헬로우를 사용할 때 어느 한 가지 생체 인식 기술만을 사용할 필요는 없다. 지문인식 센서, 안면인식 카메라, PIN 인력 등 다양한 방식의 다양한 조합을 활용할 수 있다. 예컨대 하나의 기기에서 지문과 안면인식, 그리고 PIN을 모두 사용해 로그인할 때 세 가지 중 원하는 인증 방식을 선택하도록 할 수도 있다. 이 모든 인증 방식들은 "제스처(gesture)"라고 부르는데, 이런 제스처 행동을 통해 퍼블릭 및 프라이빗 키의 잠금 해제가 시작되며 사용자 신원을 확인하게 된다.
 

헬로우 등록 절차

윈도우 헬로우를 사용하기 위해서는 우선 사용자 계정을 등록해야 한다. 그래야 윈도우에서 전통적인 비밀번호를 대체할 수 있는 요소들을 생성할 수 있다. 우선, 사용자가 기기에서 윈도우 계정을 만든다(또는 관리자가 기기에 사용자 계정을 추가한다). 

이후 등록 과정에서 정상적인 방식으로(ID와 비밀번호를 사용하여) 사용자 인증을 마친다. 그러면 인증 소스(아마도 액티브 디렉토리일 확률이 높다)가 사용자 신원 정보에 대한 승인 또는 거절을 내릴 것이다. 승인이 떨어지면 PIN을 활성화한다. 이를 통해 PIN은 사용자의 기기, 그리고 사용자 계정을 불가분하게 잇는 연결 고리가 된다.
 

비밀번호 대신 PIN을 사용하는 이유

언뜻 생각할 때, PIN은 비밀번호와 다를 것도 없으면서 훨씬 덜 안전해 보인다. 비밀번호보다 짧은 데다가 숫자로만 되어 있고(특수문자 등을 사용하지도 않으며), 많은 이가 은행 계좌 비밀번호나 스마트폰/태블릿 잠금 해제 시에 동일한 PIN을 사용하기도 한다. 그럼에도 불구하고 PIN이 더 안전한 이유는 인증 프로세스 상에서 PIN을 확인하는 과정과 비밀번호를 확인하는 과정이 전혀 다르기 때문이다.
 
비밀번호는 네트워크를 통해 인증 소스로 전송되며 거기서 확인 과정을 통해 수락 또는 거절된다. 문제는 이 '전송'이 네트워크를 통한다는 것이다. 누구나 적당한 툴만 가지고 있으면 중간에 끼어들어 비밀번호를 확인하고 이를 다른 곳에서 사용할 수 있다. 게다가 앞서 이야기했듯, 모든 비밀번호가 중앙에 저장되어 있을 경우 한 번의 공격만으로도 모든 사용자의 비밀번호가 노출될 위험이 존재한다.

반면, 비즈니스용 윈도우 헬로우에서 사용하는 PIN은 각각의 개별 기기에 존재하는 TPM(Trusted Platform Module)에 묶여 있는 암호화 키를 잠금 해제하는 데 사용되는, 일종의 문지기 같은 역할을 한다. PIN은 로컬 기기에서만 사용되며 다른 어떤 곳에서, 다른 어떤 인증 절차에서도 사용될 수 없다.
 
이후 윈도우는 퍼블릭 키와 프라이빗 키라는 한 쌍의 키를 생성해 이것을 하드웨어 TPM 모듈에 저장한다. 만약 기기에 TPM이 없을 경우, 이 키들을 암호화해 소프트웨어에 저장한다. 이 최초의 키 쌍은 사용자의 PIN "제스처"와 연계되며 이를 '보호 키(protector key)'라고 부른다. 

향후 사용자가 다른 생체 인증 제스처를 추가적으로 등록할 수도 있다. 각 제스처는 인증 키를 보호하는 각기 다른 보호 키를 가지게 된다. 컨테이너는 하나의 인증 키만을 가질 수 있지만, 이 인증 키의 복사본들을 기기 상에 등록된 여러 제스처와 연계된 여러 개의 보호 키로 보호하게 되는 것이다.

또한 필요할 경우 신원 정보를 리셋할 수 있도록 윈도우가 자동적으로 생성하는 관리자 키도 있다. 뿐만 아니라 TPM은 증명서와 기타 TPM 관련 정보를 포함하는 데이터 블록을 포함하고 있다. 

PIN이 설정되고 최초의 보호 키가 생성되면 사용자는 이 PIN을 사용해 신뢰할 수 있는 방식으로 신원 인증을 할 수 있다. 이제 사용자는 윈도우에서 지문, 안면인식 등 원하는 생체 인증 제스처를 얼마든지 등록할 수 있다.
 

그룹 정책을 통한 윈도우 헬로우 이행하기

앞서 말했듯, 기업 전반에 걸쳐 윈도우 헬로우를 설치하고 이행하기 위해서는 그룹 정책을 사용해야 한다. 그룹 정책 매니지먼트 콘솔 내부에는 정책 > 관리자 템플릿 > 윈도우 요소 > 비즈니스용 윈도우 헬로우에서 정책 설정 메뉴를 찾을 수 있다. 설정이 필요한 주요 정책들은 다음과 같다.
 
- 비즈니스용 윈도우 헬로우 사용: 윈도우 헬로우 디플로이먼트를 시작하기 위해서는 이 설정을 사용 상태로 활성화해야 한다. 
- 생체 인증 사용: PIN만 지원하는 것이 아니라 지문 또는 안면 인식 기능까지 사용하기 위해서는 이 설정을 사용 상태로 활성화해야 한다. 

이미 모바일 기기 관리 소프트웨어를 사용 중일 경우라면 마이크로소프트의 MDM 정책 설정을 사용해 윈도우 헬로우 디플로이먼트를 이행할 수도 있다. 이 경우 PassportForWork 서비스 제공자를 사용하게 된다. PassportForWork는 정책 이행을 시작하기 전에 MDM 툴로 들여오기 할 때 필요한 일련의 설정들을 모아 놓은 템플릿이라고 생각하면 된다.
 

액티브 디렉토리 요건 

비즈니스용 윈도우 헬로우를 완전히 활성화하기 위해서는 최소한 하나의 윈도우 서버 2016 도메인 컨트롤러를 도메인에 추가해야 한다. 도메인 또는 포레스트 기능 수준을 높일 필요는 없지만, 2016 도메인 컨트롤러를 추가하기 위해서는 약간의 인증 기능이 요구된다. 2016 라이선스에 막대한 돈을 쏟아 붇는 것이 부담된다면, 애저 액디브 디렉토리를 사용해 윈도우 헬로우를 배치하는 것 역시 하나의 대안이다. 

마이크로소프트 웹사이트에서는 전제 조건 관점에서 정확히 무엇이 요구되는가에 대한 자세한 정보를 제공하고 있다. 특히 키 기반 인증 요건과 인증서 기반 인증 요건을 유의해서 읽어 보기를 바란다. 

이미 생산에 배치된 퍼블릭 키 인프라스트럭처가 있는 경우라면 인증서 기반 인증 방식이 훨씬 시작하기 쉬울 것이다. 반면 클라우드 지향적인 환경에서는 키 기반 인증 방식을 사용하는 것이 훨씬 수월하게 최초의 윈도우 헬로우 디플로이먼트를 마칠 수 있는 방법이다. 
 

고려해야 할 주요 사항들

기억해 두면 좋을 주요 사항들은 다음과 같다. 

- 윈도우 헬로우에 등록한 신원 정보들은 개별 노트북, 데스크톱, 모바일 기기에 종속할 수 있으며, 성공적인 신원 확인 뒤에 받는 액세스 토큰 역시 단일 기기로만 제한된다. 

- 계정 등록 절차 도중에 액티브 디렉토리, 애저 AD, 또는 마이크로소프트 계정 서비스가 사용자의 유효성을 확인, 인증하고 사용자 계정에 윈도우 헬로우 퍼블릭 키를 연계하게 된다. 퍼블릭 키와 프라이빗 키는 TPM 모듈 1.2 또는 2.0 버전을 통해 생성되거나, TPM 하드웨어가 없는 경우 소프트웨어에 저장될 수도 있다. 윈도우 헬로우 제스처는 기기 간, 또는 서버 간에 공유되지 않는다. 이들 제스처는 로컬 디바이스에만 저장되며 무슨 일이 있어도 이 기기를 벗어날 수 없다. PIN을 입력하거나, 안면 인식 또는 지문 인식 기능을 사용할 경우 윈도우 10에서는 TPM에 저장된 프라이빗 키를 사용해 인증 소스로 전송된 데이터에 서명한다. 

- 마이크로소프트에 따르면, "퍼스널(마이크로소프트 계정)과 기업(액티브 디렉토리 또는 애져 AD) 계정은 단일 컨테이너를 사용한다. 모든 키는 신원 제공자의 도메인에 의해 분리되어 있어 사용자 프라이버시를 보장한다." 다시 말해 모든 키들이 하나의 안전한 컨테이너 안에 섞여 있으며, 네이티브 신원 제공자가 키를 구별해 모든 키가 올바른 제공자에게 전송되도록 한다는 것이다.
 

결론

수년 넘게 보안 전문가들이 비밀번호는 안전하지 않다고 강조해 왔음에도 불구하고, 비밀번호를 대체할 정도로 막힘없고, 합리적인 비용에 사용자 친화적인 대안의 부재로 인해 이는 공허한 외침에서 끝나고 말았다. 그리고 보다 현실적으로는 가장 널리 사용되는 운영체제인 윈도우에 생체 인증 기능이 내장되고 나서야 많은 기업들이 비밀번호 외의 대안 인증 절차에 눈을 돌리기 시작했다. 윈도우 10을 통해 마이크로소프트 사는 비로소 기업들의 주목을 받게 되었다. 

아마 당장 비밀번호를 완전히 사용하지 않기란 어려울 테지만, 새롭게 배치하는 기기들은 디폴트로 생체 인증 옵션을 사용할 수 있으며 특히 윈도우 10으로 이전해 가는 과정에서 차근차근 윈도우 헬로우를 기업의 보안 프로파일에 포함시켜 나갈 수는 있을 것이다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.