'일회용 인증코드' 제로 트러스트 핵심 인프라로 만든다
디지털 전환을 넘어 AI 트랜스포메이션 시대입니다. 디지털 인프라의 근간은 사이버 보안입니다. 급변하는 환경 속에서 언제나 변화해야만 살아남는 방패를 만드는 사람들. 창의적인 아이디어와 기술로 안전한 사이버 세상을 만들고 신뢰 기반을 쌓는 사람들. 사이버 보안 전문가들과 대화에서 최신 기술과 인사이트를 전달합니다. [편집자주] 제조 공장에서 운영되는 자동제어시스템(PLC). 공장 직원이 PLC 관리를 위해 사용자 로그인을 한다. PLC 시스템 한대를 직원 여러명이 작동시킨다. ID와 비밀번호는 1개다. 내부 인력은 ID와 비밀번호를 공유하고 심지어 외부 인력에게도 이 내용을 알려준다. 산업 현장에 디지털 전환이 가속화되면서 제조 공장에 PLC 사용이 증가했다. PLC는 각종 센서에서 받아들인 신호를 기반으로 장비를 움직이는 역할을 한다. 이같이 중요한 장치의 로그인 정보가 허술한 보안 관리에 놓인 경우가 많다. 센스톤(대표 유창훈)은 단방향 다이내믹 인증기술로 이런 위험을 줄인다. 인가된 사용자에게 매번 바뀌는 인증 코드를 제공한다. 비인가자가 PLC에 무단으로 접속하는 것을 막는다. 로그인 비밀번호를 외울 필요도 없고 유출돼도 인증되지 않는다. 클라우드 서비스 가속화로 '사용자 인증'이 핵심으로 떠올랐다. 아무도 믿지 말고 항상 검증하라는 '제로 트러스트' 아키텍처를 구현하려면 강력한 '사용자 인증'이 기반돼야 한다. 센스톤은 사람과 기기, 가상세계까지 안전하고 간편하게 사용자를 식별하는 OTAC(One-Time Authentication Code)를 개발했다. 센스톤을 이를 '단방향 다이내믹 인증 기술'로 부른다. 이 기술은 통신이 안되는 환경에서도 실시간으로 매번 변경되는 일회성 인증 방식을 제공한다. 사용자와 기기를 동시에 인증한다. 생성된 인증 코드는 중복되지 않는다. 유창훈 대표는 "센스톤은 지금까지 전혀 찾아볼 수 없던 새로운 인증방식인 OTAC를 개발했다"면서 "기존 인증 방법의 한계를 뛰어 넘는 새로운 기준을 제시한다"고 말했다. 센스톤이 기존과 다른 인증방식을 개발한 건 유 대표의 다양한 경험에 기반한다. 유 대표가 이런 기술을 개발하려했을 때 기존 연구자들은 어렵다고 손사레를 쳤다. 그는 포기가 아니라 단방향 다이내믹 인증 기술을 구현할 창의적인 생각을 멈추지 않았다. 유 대표는 암호학도 컴퓨터공학도 아닌 조선공학과 출신으로 OTAC 알고리즘 설계 아이디어를 영화 인터스텔라의 한 장면에서 얻었다고 설명했다. ■ OTP와 QR코드 단점을 없앴다 센스톤이 개발한 OTAC은 인터넷뱅킹 등을 할 때 사용하는 일회용비밀번호(OTP)나 QR코드와 비슷해 보이지만 다르다. 유 대표는 "OTP는 로그인 후에 2차 인증으로 주로 사용한다. 시스템은 OTP를 입력하면 사용자가 누구인지 구별할 수 없다"고 설명했다. 이어 "QR코드도 양방향 통신을 해야 한다. 통신이 제약된 환경에서 쓸 수 없다"고 덧붙였다. OTAC은 QR코드와 달리 통신이 안되는 환경에서도 매번 바뀌는 다이내믹 코드를 생성하고 이를 기반으로 인증한다. OTP와 달리 사용자를 구별할 수 있다. 생성된 코드는 일회성으로 특정 시간대에 특정 사용자만이 사용하도록 허용된다. 다른 사용자에게 유출돼도 안심할 수 있는 이유다. OTAC를 생성하고 검증하는 모듈 사이즈는 4KB 미만이다. 스마트폰은 물론이고 스마트카드 칩에 OTAC를 넣을 수 있는 초소형 알고리즘 사이즈다. 0.4초 미만으로 연산을 끝낸다. 유 대표는 "스마트폰 유심부터 스마트카드칩, 사물인터넷(IoT) 기기 등에 모두 넣을 수 있는 크기로 구현했다"면서 "사용자 인증이 필요한 다양한 산업 적용 가능하다"고 말했다. ■ 신용카드부터 스마트홈, PLC까지 센스톤은 OTAC 적용 범위를 확대하고 있다. OTAC를 처음 적용한 분야는 신용카드였다. 신용카드 정보 유출로 인한 피해를 막기 위해 사용할 때마다 변하는 카드 번호를 제공했다. 지문인식카드에 OTAC를 접목한 생체 인증 디스플레이 카드다. 일반 결제용 카드에 지문 인식 기능과 OTAC 알고리즘이 함께 탑재됐다. 카드는 사용자의 지문이 인식될 때만 카드번호, 유효기간, CVC 등의 일회성 정보를 생성한다. 토스뱅크의 체크카드에도 센스톤 기술이 들어갔다. 유 대표는 "1초당 1217개 새로운 사물인터넷(IoT)이 인터넷에 연결되는데 이들은 5분 이내 사이버 공격에 노출된다"면서 "사양이 낮은 IoT를 보호할 가벼운 인증이 필요하다"고 설명했다. 해커는 IoT 펌웨어를 조작해 악성코드를 감염시켜 좀비로 악용한다. IoT에 OTAC를 적용하면 비인가 시스템에서 전송되는 명령이 실행되지 않아 불법 소프트웨어 다운로드를 원천 차단할 수 있다. 센스톤은 운영기술(OT)까지 적용 분야를 확대했다. 통신이 원할하지 않은 제조 환경에서 PLC를 안전하게 운영할 수 있는 인증을 제공한다. 이 회사는 글로벌 PLC 선도기업인 독일 피닉스컨택트(Phoenix Contact)의 디지털 소프트웨어 마켓플레이스 PLC넥스트스토어(PLCnext Store)에 모듈형 사용자 인증 고도화 솔루션 'OTAC auth - MFA for PLCnext'를 정식 출시했다. ■ AaaS(Algorithm as a Service) 시장 연다 센스톤은 인증 알고리즘을 서비스하는 기업으로 도약을 노린다. 센스톤은 금융과 기기 인증 이어, OT영역에서 새로운 기회를 발굴해 2024년 하반기 기술특례 상장을 목표로 한다. 유 대표는 "인증에 사용되는 공개키기반구조(PKI)가 상용화된지 20년이 지났다"면서 "2017년 개발한 OTAC는 이제 AaaS(Algorithm as a Service)로 진화할 것"이라고 강조했다.