[포럼] 온라인 인증 혁신, 화급하다

염흥열 순천향대 정보보호학과 교수

지난 3년간 글로벌 팬데믹으로 인해 기업 조직원의 원격 근무와 클라우드 컴퓨팅 서비스의 이용이 많이 증가했다. 그로 인해 기업의 정보시스템에 새로운 보안 위협이 나타났다. 온라인 인증 등 글로벌 사이버 보안에 영향을 미치는 위협 환경을 크게 변화시켰다. 온라인 인증은 모든 연결과 디바이스를 신뢰하지 말고 항상 검증하라는 제로 트러스트 보안 구조를 실현하는 데 매우 중요한 요소기술이 되고 있다.

글로벌 컨설팅 기관 맥아피의 보고서에 따르면, 코로나 팬데믹 이전보다 약 81% 이상의 기업이 사이버 공격에 노출되었으며, 2020년 버라이존 컨설팅의 보고서에서는 개인정보 유출 사고의 약 81%가 비밀번호 도난 또는 약한 비밀번호 사용으로 인해 발생한 것으로 나타났다. 이러한 사이버 공격과 개인정보 유출 사고를 예방하기 위해서는 기존의 비밀번호 방식에서 벗어나 보다 안전하고 강력한 이용자 인증이 필수적으로 요구된다.

온라인 인증은 인터넷 서비스 이용자가 자신이 적법한 이용자임을 웹사이트에 스스로 증명하는 것을 말한다. 이는 물리적 세상에서 기업이나 기관을 방문할 때 주민등록증이나 신분증을 이용해 신원을 확인한 후 방문을 허락하는 절차와 유사하다. 즉, 온라인 인증은 인터넷 사용자의 신원을 검증하는 과정이라 볼 수 있다.

서버와 이용자 사이에 수행되는 온라인 인증이 해킹되면 일차적으로 해당 웹사이트 계정이 탈취되어 그 계정에 존재하는 개인정보가 유출된다. 이차적으로는 해커가 해킹된 계정과 연계해 다양한 온라인 활동을 수행할 수 있기 때문에 추가적 금전적, 재산적 피해가 발생할 수 있다. 또한 다른 웹사이트를 공격하는 데 이용되어 제3의 피해를 유발할 수도 있다.

서버는 각 이용자마다 고유한 식별자인 아이디(identifier)를 미리 할당한다. 이러한 아이디는 이용자별로 다르게 부여되며, 이용자는 해당 아이디를 이용해 서버와 공유한 정보, 소유물, 또는 생체적 특성을 소유하거나 알고 있는지를 확인하고 자신의 인증을 요청한다. 이 과정에서 가장 중요한 역할은 인증 크레덴셜을 포함하는 인증자(authenticator)에 의해 수행된다. 인증자에 저장된 인증 크리덴셜을 통해 이용자의 인증을 확인하며, 서버는 원격에서 접근하는 이용자가 인증자를 엄격히 통제하고 있는지 확인해야 한다.

온라인 인증에는 다양한 위협 요소들이 존재한다. 통상 비밀번호와 같은 지식 기반 인증 방식이 널리 사용되고 있다. 이때, 이용자는 서버에게 인증 과정에서 알고 있는 지식인 비밀번호를 제공한다. 서버는 입력받은 비밀번호를 미리 보관하고 있던 비밀번호와 비교하여 비교값이 일치하면 해당 이용자를 적법한 이용자로 인정한다. 그러나 이 방식은 서버에 저장된 비밀번호를 보관하는 데이터베이스가 해커에게 탈취될 경우 모든 이용자의 비밀번호가 노출되는 취약점을 가진다. 이를 막기 위해서 서버는 이용자 비밀번호를 평문 형태로 저장하는 대신 일방향 암호화를 이용하여 저장한다. 이 경우, 서버에 저장된 암호화된 비밀번호가 해커에 의해 탈취되더라도 해커가 이용자의 비밀번호를 직접 알지 못하게 된다. 다양한 인증 관련 보호조치가 필요하다.

또 다른 공격 유형은 피싱 공격이다. 해커가 암호, 신용 카드 번호 또는 기타 민감 데이터와 같은 개인정보를 얻을 목적으로 신뢰할 수 있는 출처에서 보낸 것처럼 보이는 이메일 또는 문자 메시지를 메일 수신자에게 보내고, 이용자를 악성 사이트 등으로 유인하는 공격이다. 이메일에는 수신자를 원래 사이트와 유사한 가짜 웹사이트로 유도하는 링크 등이 포함되어 있다. 만약 가짜 사이트에 접속한 이용자가 자신의 아이디와 비밀번호를 입력하면, 해커는 해당 이용자의 정보를 탈취할 수 있다. 다른 대표적인 공격은 크리덴셜 스터핑 공격이다. 이용자가 보안이 취약한 웹사이트에서 사용하는 아이디와 비밀번호를 다른 웹사이트에서 사용하게 되면, 해커가 보안이 취약한 웹사이트를 공격해서 이용자들의 아이디와 비밀번호를 획득한 후 이용자의 정보를 이용해 다른 웹사이트에 로그인할 수 있다. 이럴 경우, 웹사이트는 여러 보호조치를 취하더라도 해당 웹사이트에 접근하는 공격자를 막을 수 없게 된다. 이러한 공격을 막기 위해서는 웹사이트는 적어도 비밀번호 외 다른 인증방식을 사용해 이용자를 인증해야 한다.

계정 탈취와 피싱 공격을 막기 위해서는 다양한 보호 조치가 필요하다. 비밀번호가 일정 시간 내에 일정 횟수 이상 다르면 일정 시간 동안 계정을 잠그는 방법이나, 공개키 암호 알고리즘을 이용한 강력한 인증 방식을 제공할 수도 있다. 또한, 비밀번호에만 OTP나 SMS 인증 등 다른 인증 요소를 추가로 사용해 특정 단말기의 소유 여부를 확인할 수도 있다. 개인정보보호위원회의 개인정보 안전성 확보 조치는 "개인정보처리자는 외부 접속에 대해 안전한 인증수단을 적용하거나 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한"하도록 요구하고 있다.

온라인 인증과 관련하여 피싱 공격이나 크리덴셜 스터핑 공격을 막을 수 있는 대표적인 인증방식으로 FIDO 인증방식이 있다. 이 방식은 공개키 암호 알고리즘을 기반으로 하며, 도전-응답 방식으로 사용자를 인증한다. 서버는 이용자 등록단계에서 이용자의 디지털 서명문 검증을 위한 공개키를 사전에 서버의 디렉토리에 저장한다. 서버는 인증 단계에서 이용자에게 임의의 난수를 보내고, 이용자는 그 난수를 자신만이 알고 있는 공개키 암호의 개인키를 이용해 서명하여 서버로 보낸다. 서버는 자신이 가지고 있는 이용자의 공개키를 이용해 이용자로부터 온 서명문 유효성을 확인하는 방식으로 이용자가 개인키를 실제로 소유하고 있음을 증명함으로써 이용자를 인증한다. 이용자의 단말이나 컴퓨터 내에서 실질적으로 인증을 수행하는 소프트웨어 에이전트가 이용자의 개인키를 사용할 수 있는 권한은 해당 이용자의 생체 인증을 통해 허용된다. 다시 말해, 이용자에게 익숙한 생체 인증을 통해 단말 내 인증 에이전트를 개인키에 접근하게 하고, 해당 에이전트가 개인키를 이용해 생성된 디지털 서명문을 서버로 전송하여 인증하는 방식이다. 이 방식은 서명문 생성을 위해 필요한 개인키가 이용자가 통제할 수 있는 단말이나 이용자의 지배 아래에 있는 보안 토큰에 저장될 수 있다는 특장점을 가진다.

미국 사이버보안 및 기반보호국(CISA, cybersecurity and Infrastructure Security agency)은 FIDO 온라인 인증이 피싱 공격으로부터 내성을 가진 MFA 중 최고 표준(글로벌 스탠다드)이라고 명확히 밝히고 있다. 기존의 다중요소 인증 방식인 비밀번호 기반 또는 SMS 기반 2차 인증만으로는 정부나 기업에서 강력한 지원을 받는 지능화된 해커들과의 대응에서 온라인 이용자를 충분히 보호하기 어렵다는 것이다.

최근 도입된 FIDO 패스키(passkey)는 기존 FIDO 인증방식의 개인키 관리 방식을 혁신적으로 변화시켰다. 이용자 개인키를 패스키 서비스 제공자에게 제공하여 관리하도록 함으로써 패스워드 없는 로그인을 가능하게 한다. 이 방식은 애플, 구글 등이 먼저 서비스 도입하기 시작했다. 전 세계의 민간과 공공기관의 참여 또한 예상된다.

글로벌 이동통신사업자 등도 패스키 제공자 서비스를 준비하고 있으며, 국내에서는 SKT가 최근 FIDO 패스키 방식을 구현하고 이를 자사의 이용자에게 적용하겠다고 밝힌 바 있다. 특히 기존의 글로벌 비밀번호 서비스 제공자가 안전한 패스키 서비스를 제공할 것을 약속하고 있다. 따라서 패스키 서비스 제공자에 의한 이용자의 크리덴셜 정보를 보호하기 위한 다각적인 보호조치의 적용이 필요하다.

글로벌 온라인 인증 방식, 인증 모델 그리고 인증 비즈니스 등으로 구성되는 인증 생태계에 커다란 변화가 이뤄지고 있다. 이러한 변화는 국내 기업에게 새로운 도전과 기회를 동시에 제공한다. 이용자 관점에서 보다 신뢰할 수 있는 인증 서비스 제공을 위해 인증 서비스 제공자의 보안과 개인정보보호, 책임성 등이 강화돼야 한다. 정부와 기업, 이동통신사업자, 정보보호 전문가는 이러한 혁신에 대응해 능동적 참여와 대응을 통해 안전한 사이버 공간 구축의 첫 열쇠가 되는 온라인 인증의 수준을 강화해야 한다.