[ET단상]디지털시대 보안위협과 사용자 인증

오늘날 현대 사회에서는 업무뿐만 아니라 일상생활의 상당 부분이 디지털과 온라인 기반으로 이루어지고 있다. 많은 사람이 가정이나 사무실에서 하루에 몇 번씩 온라인으로 자신의 개인정보를 제공하고 중요 정보에 접속하거나 교환하고 있다. 따라서 모든 기업·기관도 네트워크에서 인증을 요청하는 얼굴 없는 사용자의 정체를 확인할 수 있는 능력이 필수적이다.

　사용자 인증이 중요한 또 다른 요인은 온라인 범죄의 유형 변화다. 바이러스·웜 등을 불특정 다수에게 퍼뜨려 피해를 끼쳤던 과거와 달리 최근의 온라인 범죄는 개인정보를 도용해 각종 피해를 끼치는 방식으로 변화하고 있다. 2005년 상반기 한 은행의 인터넷뱅킹 해킹 이후 유사한 전자상거래 해킹사고와 피싱 공격으로 인한 피해는 날로 증가하고 있다. 최근에는 공공기관 홈페이지 회원 1만 여명의 개인정보가 채권 추심회사로 유출되고 재학생 개인정보가 대학 학생정보망을 통해 노출됐다. 또 국내 최대 온라인게임 업체의 대규모 명의도용 사건과 대기업 입사지원자 개인정보 유출사고가 잇따라 개인정보보호 문제가 심각한 사회문제로 대두하고 있다.

　이 같은 제반 환경 변화에 따라 기존의 사용자 인증 방식만으로는 완벽한 보안이 어렵게 됐다. 변화하는 사이버 범죄의 유형과 보안 환경에 대응해 보안 인증 정책을 변경, 적용해야 하며 다양한 사용자에게 단계별로 인증 강도를 적용할 수 있어야 한다. 결국 인증의 보안성을 위해 현재 주로 사용되는 ID와 패스워드만을 사용하는 단일요소인증에 인증요소가 추가되는 다중요소인증(Multi-factor Authentication)의 도입이 필수적이다.

　다중요소인증은 기존 사용자와 인증서버 간에 아이디와 패스워드만으로 이루어지는 단일요소인증과 달리 일회용비밀번호(OTP) 토큰, 카드, 지문인식 등 다양한 인증 툴을 동시에 적용하기 때문에 더 강도 높은 보안이 보장된다. 다만 대부분의 기업·기관이 다중요소인증의 필요성을 알고 있어도 다양한 인증요소 관리와 보안인증 환경변화에 따른 시스템 적용, 기존 네트워크에 대한 영향, 구축의 용이성, 비용 등 이유로 다중요소인증 시스템을 도입하지 못하는 것이 현실이다. 또 인증에 필요한 ID와 PW의 안전한 보관도 관건이다.

　이 같은 문제를 해결하기 위해 통합 인증관리 시스템(UAM:Unified Authentication Management)이 대두하고 있다. 통합 인증관리 시스템은 단일 플랫폼 구조에서 특정 벤더에 상관없이 다양한 인증도구를 이용한 단계별 인증을 지원하며 통합 관리하는 솔루션이다. 인증방식의 적용에 제한이 없고 기업의 규모나 요구에 따라 시스템을 자유롭게 확장할 수 있어 미래대비가 가능하고 유연하며 비용절감 효과를 가져온다. 또 보안환경 변화에 따라 사용자별, 단계별로 손쉽게 인증 난이도를 변경할 수 있고 네트워크에 별 영향 없이 기존 시스템 적용이 용이하다. 게다가 인증에 필요한 ID와 패스워드 등 중요 정보를 온라인 스위스은행과 같은 별도의 공인된 저장소에 보관하기 때문에 개인 정보 유출을 완벽하게 차단해준다.

　예컨대 대규모 사용자 개인정보가 처리되고 유료 아이템이 거래되는 온라인게임에서 통합 인증관리 시스템을 이용해 사용자를 인증할 때 사용자가 보유하고 있는 아이템 가치에 따라 차등적인 인증방식을 적용할 수 있다. 소량의 아이템을 보유한 사용자는 PC에 별도의 인증 소프트웨어를 설치해 2차 인증을 제공하고 다량의 아이템을 보유한 사용자는 소프트웨어와 함께 OTP를 이용하는 2차 인증을 적용할 수 있다. 일반 기업·기관에서도 업무와 부서에 따라 네트워크와 데이터 접근을 위한 인증을 차별적으로 적용할 수 있다.

　자신의 정보를 제공해 시공의 제약을 뛰어넘을 수 있는 디지털 시대를 살아가며 개인의 정보와 정체성을 지키기 위해서는 더욱 강력하고 안전한 사용자 인증이 필요하다. 다중요소인증을 효과적으로 적용, 관리할 수 있는 통합 인증관리 시스템은 갈수록 심각해지는 디지털 시대의 각종 보안 위협으로부터 소중한 자산과 정보를 보호해 줄 것이다.

◆김유식 인네트 사장 yskim@innet.co.kr