<이종일 누리아이티 대표>
대부분 기업에서 업무를 위한 정보시스템을 사용해 각종 업무를 디지털로 처리하고 있다. 그러다 보니 시스템 로그인 때 다양한 보안 절차를 구비, 인증을 하고 있는 상황이다. 최근에는 해커에 의한 시스템 침입이나 개인정보 유출도 비일비재, 더 이상 미룰 수 없는 문제로 대두되고 있다.
시스템이 고도화됨에 따라 보안 및 인증 수단도 발전하고 있지만 해킹 기술도 발전하고 있어 보안 시스템 담당자 고민은 늘어가고 있는 상황이다.
이러한 정보시스템 로그인 때 사용되는 인증수단에 대해 알아보고자 한다. 보통의 정보시스템은 아이디와 패스워드로 접근통제가 이뤄지고 있는 데 별도의 추가적인 인증 절차를 두는 방식을 2차 인증 방식이라고 한다. 이중 게이트웨이-프록시 방식이나, SMS 또는 이메일 등 문자기반 인증방식은 해커 공격에 취약하다고 할 수 있고, QR코드 방식은 피싱 공격의 수단으로 활용될 우려가 있는 방식이다.
또한 2차 인증은 2팩터 인증과 2채널 인증으로 구분할 수 있다.
우선, 2팩터 인증은 소위 '지식기반 인증'이라고 하는 데 기존의 아이디와 패스워드와 더불어 OTP, 스마트폰, 보안카드, 보안토큰 등을 사용해 인증하는 방식이다.
2채널 인증은 2팩터 인증을 포함한다고 보는 것이 일반적이며, 인증과 서비스를 수행하는 통신망을 서비스 채널과 인증 채널로 물리적으로 분리한 형태를 말한다. 2채널 인증은 2팩터 인증을 포함하고 서비스 채널과 인증 채널이 분리되어 있어서 보안에 강한 것 같으나 인증할 때 마다 통신망을 사용하기 때문에 보안지역이나 통신장애로 서비스가 안될 수도 있다.
정보시스템 보안에서 중요한 것은 해커의 우회 접속이나 원격접속 및 로그인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용되는 중간자 공격을 어떻게 차단하고 방어할 것인가라고 할 수 있다. 최근 해커들은 리버스 프록시나 지속적 푸시 알림으로 상대방을 지치게 만드는 피로공격 등을 활용하고 있다.
정보시스템 보안을 강화하기 위해 각각의 컴포넌트를 보호하는 방안의 일환으로 2차 인증을 적용해 보다 안전하게 보호할 수 있으며, 높은 보안성과 관리의 편의성, 장애발생률도 낮아 누구나 손쉽게 곧바로 적용해 사용할 수 있으므로 정보시스템의 신규 도입 때 적용해 시너지 효과를 볼 수 있다.
무엇보다도 2차 인증에 사용되는 인증키는 본인이 소유하고 있는 수단을 사용해 본인이 직접 인증키를 생성해 본인이 직접 입력해야 그나마 정보보안 사고를 예방할 수 있는 최선책이다.
필자는 정보자산의 보안 강화를 위한 기본적인 확인 사항을 제시하고자 한다.
첫째, 우회접속을 어떻게 차단할 것인지?
둘째, 원격접속을 어떻게 차단할 것인지?
셋째, 중간자 공격을 어떻게 방어할 것인지?
넷째, 2차인증의 우회기술을 어떻게 차단할 것인지?,
마지막으로 2차인증의 피로공격을 어떻게 방어할 것인지를 스스로 질문하고 이를 기반으로 보안 인증체계를 마련해야 할 것이다.
단순히 다양한 정보시스템에 “2차 인증을 도입했다”는 것이 아니라 기술 및 보안성 등을 고려해 “어떤 2차 인증을 도입했느냐”가 관건이라고 할 수 있다.
이종일 누리아이티 대표 mc529@nurit.co.kr
출처: 전자신문 https://www.etnews.com/20231004000019