일반 웹사이트에서부터 그룹웨어, 서버관리자용 계정까지 ID와 비밀번호를 모두 접속할 때마다 달라지는 일회용으로 사용할 수 있는 기술이 개발됐다. 사이트마다 서로 다른 ID와 복잡하거나 중복된 비밀번호 외울 필요가 없도록 해 보안성과 편의성을 동시에 잡겠다는 것이다.
공격자가 사용자 ID와 비밀번호를 확보하고 있었다고 하더라도 매번 로그인 할 때마다 비밀번호는 물론 ID까지 바꿔버리는 방식을 적용, 공격에 노출될 가능성을 최소화했다.
금융권 개인정보보호, 내부정보유출방지, 사기적발 등과 관련된 위기관리 솔루션을 제공해 온 코리아엑스퍼트는 기존 ID, 비밀번호 방식의 사용자 인증 문제를 개선하기 위해 2년간 기술개발 및 검증을 거쳐 '아이루키(IRUKEY)'라는 솔루션을 출시했다고 21일 밝혔다.
이날 서울 영등포구 소재 코리아엑스퍼트 사옥에서 개최된 간담회에서 이 회사 기술영업팀 유인지 팀장은 "비밀번호는 물론 ID까지 랜덤한 값을 생성해 로그인할 수 있게 하는 기술을 개발한 것은 처음"이라고 설명했다.
사용법은 어렵지 않다. 로그인창에 처음 등록한 ID와 비밀번호 대신 스마트폰에서 아이루키 전용 앱을 통해 접속하려는 사이트, 그룹웨어 등을 선택한 뒤 화면에 표시되는 숫자, 영어 대소문자, 특수문자 등으로 이뤄진 일회용 ID와 비밀번호를 입력하면 된다.
언뜻보면 스마트폰과 IC카드를 근거리무선통신(NFC) 기술로 태그해 일회용비밀번호(OTP)를 생성한 뒤 사용자를 인증하는 '스마트OTP'와 비슷한 것처럼 보인다. 그러나 이 기술을 총괄개발한 안영택 코리아엑스퍼트 이사는 "비밀번호만 바꾸는 방식과 달리 항상 노출돼 있는 ID까지 랜덤한 값으로 바꾼다는 점에서 차별화된다"고 설명했다. 핵심은 외부에 공개된 자신의 고유 ID를 입력하지 않고서도 해당 사이트, 그룹웨어 등에서 자신이 접속한 것이 맞다는 사실을 증명할 수 있게 했다는 설명이다.
이 회사는 특허를 등록한 고유 알고리즘을 사용해 ID와 비번을 세계표준시(UTC)에 따라 랜덤한 값을 생성한다. 해당 정보를 입력받는 서버에서도 아이루키를 구동하기 위한 별도 장비를 통해 랜덤한 값을 생성하며 이 둘을 비교해 일치하는지 여부를 확인하는 과정을 거친다.
이를 통해 ID, 비번 입력이 필수인 온라인쇼핑몰에서부터 회사 내 그룹웨어 접속, 금융사이트에 더해 심지어는 서버관리자 계정까지 안전하고 편리하게 관리할 수 있게 했다.
일반 기업들의 경우 서버에 관리자 권한으로 접속할 수 있는 ID와 비밀번호들을 액셀파일로 정리해 놓고, 3개월 마다 한번씩 갱신하는 경우도 흔하다. 이런 경우 해당 파일이 유출됐을 때 공격자들의 먹잇감이 되기 쉽다. 반면 "아이루키는 ID, 비번 자체를 설정한 시간마다 랜덤하게 생성하기 때문에 따로 기록해두거나 갱신할 필요가 없다"고 안 이사는 강조했다.
카드사 고객정보유출사건과 같이 외부협력업체나 내부 임직원을 통한 정보유출 가능성도 줄일 수 있다. 일반적으로 협력업체 직원들이 고객사 시스템에 접속할 때는 몇 개 ID와 비번을 공용으로 사용하게 된다. 문제는 이런 방식은 누가 해당 계정을 사용했는지에 대한 기록이 남지 않아 정보유출 등에 대비한 모니터링이 어렵다는 점이다.
아이루키는 가상계정에 여러 개의 하위 ID를 등록할 수 있게 하는 방법으로 이런 문제를 해결할 수 있다고 안 이사는 설명했다. 협력업체가 사용할 수 있는 대표 가상계정을 만든 뒤 그 아래에 접속하는 사용자별로 하위 계정을 관리자가 등록할 수 있도록 해 협력업체에서 어떤 사람이 언제 접속했는지 등 로그기록을 확인할 수 있도록 한다는 것이다. 이러한 방식을 내부 임직원들을 대상으로도 동일하게 활용할 수 있다.
이 솔루션을 활용하기 위해서는 먼저 기존 ID와 비번을 입력해 로그인 한 뒤 해당 사이트와 연동된 고객사 서버를 거쳐 아이루키 구동 전용서버에 사용자를 등록한다. 그 다음 아이루키 서버는 암호화된 QR코드를 전송, 스마트폰으로 해당 QR코드를 스캔하면 등록이 완료된다.
일회용 ID, 비번을 생성하는 아이루키 구동용 앱은 구글 플레이 스토어, 애플 앱스토어를 통해 다운로드받으면 된다. 여기서 사전에 사용자 등록을 완료한 사이트, 그룹웨어 리스트에서 원하는 곳을 클릭하면 스마트폰 앱 화면에 일회용 ID, 비번이 표시된다. 이 정보를 해당 사이트나 그룹웨어 등에 입력하기만 하면 로그인 과정이 끝난다.
앱을 사용하는 탓에 공격자가 해당 앱을 분석해 유사한 악성앱을 올려 일회용 ID, 비번을 탈취해 실시간으로 접속을 시도하거나 다른 악성코드에 감염시켜 스마트폰 앱을 구동했을 때 표시되는 화면을 캡처하는 등 방법으로 ID와 비번을 탈취해 갈 가능성도 배제할 수 없다. 그러나 접속할 때마다 로그인에 필요한 값이 달라지기 때문에 이 정보가 유출된다고 하더라도 실시간으로 악용하지 않는 이상은 2차 피해가 발생할 가능성은 적은 것으로 판단된다.
해당 앱은 현재 국내 주요 대기업 그룹웨어 접속용을 포함해 7곳~8곳에서 파일럿 형태로 개념증명(POC)을 위한 테스트가 진행 중이다.
2015.07.21.16:41 / 손경호 기자 sontech@zdnet.co.kr [기사원문 바로가기]