[체험] "지문 10여번 터치로 사용...보안 막강한데 쓰기도 간편"
일반적으로 보안과 편의성은 반비례한다. 보안성을 높이려면 인증 숫자를 늘리거나 다차원 인증을 해야 한다. 업무 환경을 제한, 효율성이 낮아진다. 옥타코 스마트 지문인증 보안키인 '이지핑거'는 달랐다. 보안성은 높였는데, 편의성은 더 좋아졌다. 기자는 개인 PC를 로그인하려면 총 10자리의 비밀번호를 입력해야 한다. 알파벳 대·소문자에서부터 특수기호까지 포함돼 있다. PC를 켤 때마다 매일 입력하던 비밀번호여서 이지핑거를 사용하기 전까지는 불편한 행위인지조차 인식하지 못했다. PC 로그인뿐 아니라 구글, G메일, 메타, 유튜브 등 다양한 서비스에서도 인증이 호환된다. 심지어 네이버, 카카오 등 '윈도우 헬로(Windows Hello)'를 지원하는 환경에서도 손쉽게 로그인이 가능하다. 윈도우 헬로는 윈도우 OS(운영체제)에서 얼굴·지문·PIN 등으로 로그인 할 수 있는 비밀번호보다 더 안전한 인증이다. 일반적으로 사용하는 비밀번호를 입력해 로그인하는 기존의 체계는 안전해 보이지만 사실은 여러 위협에 취약할 수밖에 없다. 다크웹 등에서 거래되고 있는 개인정보만 수십억 건에 달하는 만큼 언제든 내 계정정보에 제3자가 접근할 수 있는 환경인 셈이다. 특히 '1234', '1q2w3e4r' 등 유추하기 쉬운 비밀번호 패턴은 공격에 더욱 취약하다. 또 한번 유출된 개인정보를 여러 웹사이트나 계정, 기업 관리자 시스템에 무차별적으로 대입해보는 공격, 즉 '크리덴셜스터핑' 공격에도 쉽게 노출될 우려도 있다. 인증 전 구간에서 암호화가 되지 않아 중앙 서버에서 계정정보가 평문으로 저장돼 있는 구간이 공격자로부터 탈취되면 공격을 더욱 치명적이다. 더구나 쿠팡, 롯데카드 등 대규모 유출사고가 빈번해지고 있는 만큼 비밀번호는 더 이상 안전한 로그인 체계가 아니다. 안전하지 않은 로그인 방법인데도 불구하고 주기적으로 변경해야 하거나 특수기호를 포함하는 등 비밀번호에서 요구하는 보안 수준은 점차 '수고로움'이 들고 있다. 비밀번호를 관리하는 관리자 입장에서도 계정정보 보호를 위해 비용을 투입해야 하는 단점이 있다. 이에 글로벌 빅테크 기업들은 지문, 얼굴 등을 통한 로그인 체계를 계속해서 도입·확산하는 추세다. 실제 마이크로소프트는 지난 6월 '마이크로소프트 어센티케이터'에 새 비밀번호를 저장할 수 없도록 조치하고 7월에는 저장된 모든 비밀번호와 결제정보를 삭제했다. 패스키 기반의 인증 체계를 도입하기 위함이다. 국내에서도 네이버, 카카오 등 대형 플랫폼 기업에서도 비밀번호 로그인 체계를 유지하면서 패스키 로그인 환경을 더불어 지원하고 있다. 지문 10여번 터치 만으로 빠른 등록…곧바로 사용 가능 '이지핑거'는 사용법도 간단했다. 우선 유선으로 PC에 연결한 뒤, PC 설정에서 '지문 로그인 설정' 탭에 들어가면 된다. 이어 보안키를 등록하는 과정을 거치는데, 지문 센서에 로그인에 사용할 손가락을 10여번 반복해서 터치하면 등록이 완료된다. 손가락 지문이 제대로 인식되지 않을 만약의 상황을 대비해 PIN 번호까지 등록할 수 있다. 등록을 완료하면 곧바로 사용이 가능하다. 기자는 곧바로 윈도우 헬로를 지원하는 카카오의 잠금을 풀어보기로 했다. 보안키가 등록되면, 카카오톡 기존 잠금모드 상태에서 표시되지 않던 윈도우 헬로로 잠금해제하겠냐는 탭이 생성된다. 탭을 누르면 윈도우 헬로 창이 열리며, 지문 판독기에 손가락 지문을 스캔하라는 안내가 표시된다. 손가락을 오래 대고 있을 필요도 없이 스치듯 보안키에 지문을 터치하니 곧바로 카카오톡에 로그인이 가능했다. 카카오톡 외 유튜브, 구글, 지메일 등의 환경에서도 동일하게 로그인이 가능했다. 비밀번호가 탈취될 위험도 없이 보다 쉽게 로그인이 완료됐다. '더 쉽고, 더 안전한' 로그인이었다. 유선 환경뿐 아니라 무선도 지원한다. '이지핑거'의 윗부분을 가볍게 눌러 열면, C타입으로 된 지문 센서가 있다. 이를 뽑아 노트북 등 다른 기기에 연결해도 등록만 완료했다면 동일한 기능을 지원한다. 현존 최강 보안 표준 FIDO2 인증 제품…"피싱 레지스턴트 MFA 보안키" 옥타코가 지원하는 '이지핑거'는 보안도 강력하다. 윈도우 헬로 인증을 받는 국내 최초의 지문 인식 보안키이기도 하다. 현존하는 가장 강력한 보안 국제 표준인 'FIDO(Fast Identity Online)2' 인증도 받았다. 마이크로소프트(Microsoft)에 따르면 FIDO2는 사용자가 온라인 서비스에 로그인하는 방식을 강화해 전반적인 신뢰를 높이는 것을 목표로 하는 사용자 인증에 대한 공개 표준이다. FIDO2는 피싱 방지 암호화 자격 증명을 사용해 사용자 ID의 유효성을 검사해 보안을 강화하고 사이버 범죄로부터 개인과 조직을 보호하는 표준이다. 마이크로소프트는 2014년에 피싱 방지 MFA(다단계 인증)를 도입한 FIDO 1.0 인증 표준을, 2018년에는 최신 암호 없는 인증 표준인 FIDO2를 출시한 바 있다. '이지핑거'가 획득한 인증으로는 FIDO2, FIDO U2F 등이 있다. PKI 인증서 및 OTP도 안전영역에 내장돼 지문인증을 실행할 수 있어 네트워크, 사용자인증, 서버인증, 데이터 인증, 문서보안 인증, 클라우드 인증 등 다양한 인증에 손쉽게 지문인증을 적용하는 것도 가능하다. 옥타코에 따르면 '이지핑거'는 비밀번호를 사용하지 않는 경우 계정탈취 공격으로부터 완전히 자유로운 것으로 나타났다. 비밀번호를 잊어버릴 위험도 거의 없다. 또한 사용이 간편하기 때문에 업무 효율도 20%가량 상승되는 것으로 조사됐다. 글로벌 IT 리서치 기업 가트너에 따르면 옥타코는 이런 기술을 바탕으로 3년 연속 FIDO2 보안키 분야 글로벌 대표 업체로 선정되기도 했다. 세계 무대에서 독보적인 보안 기술을 인정받았다는 평가다. 이에 삼성생명, SK하이닉스, 국방부 등 다양한 기업 및 기관에서도 옥타코의 보안키 제품을 도입해 사용하고 있다. 이재형 옥타코 대표는 "2021년 미국은 사이버 행정명령으로 '제로 트러스트 아키텍처 전략의 일환으로 '피싱 레지스턴스(Phshing-Resistant)에 기반한 MFA(다중 인증)를 사용해야 된다'고 명시한 바 있다"며 "이지핑거야 말로 피싱 레지스턴트 기반 MFA 보안키로, 인증 시점만 보호하는 것이 아니라 인증 전 구간에 걸쳐 보안을 제공하고 있다"고 설명했다.
