최근 사기성 해킹이나 인증정보의 유출 방식이 다양해지고 중국을 통한 정보의 상거래가 거듭되면서 개인정보유출이 사회적 이슈로 떠오르면서 인증정보 보안이 이슈가 되고 있다. 이러한 문제점들을 방어하기 위해 OTP, 모바일OTP, 공인인증서 등등 인증 강화에 많은 노력을 하고 있다. 이러한 가운데 민인포가 개발한 ‘디멘터(DEMENTOR)’는 개인정보 유출방지를 위한 차세대 그래픽 인증 솔루션으로 기존의 OTP(One Time Password : 1회에 한해 사용할 수 있는 비밀번호 시스템)에서 한 단계 업그레이드된 GOTP(Graphic One Time Password) 방식을 도입한 신기술이다.

민인포의 ‘디멘터(DEMENTOR)’는 개인정보 유출방지를 위한 차세대 그래픽 인증 솔루션으로 기존의 OTP(One Time Password : 1회에 한해 사용할 수 있는 비밀번호 시스템)에서 한 단계 업그레이드된 GOTP(Graphic One Time Password) 방식을 도입한 신기술이다.

사용자가 인터넷 사이트에 접속하기 위해서는 ID와 패스워드를 입력해야만 하는데 이것이 영문과 숫자로만 구성된 텍스트이기 때문에 해커들이 개인의 정보를 훔쳐가거나 피싱 사이트로 유인되기 쉽다. 이에 디멘터는 이런 단점들을 보완해 낸 솔루션으로 텍스트가 아닌 개인이 직접 의미를 부여한 문장 키워드를 아이콘화해 본인 인증을 유도해내는 새로운 방식의 일회용 패스워드 체계가 가장 큰 특징이다. 특히 디멘터는 다양한 인증 기법들 중에서도 매우 효과적인 방어 대책이며 관리 면에서도 서비스 장애를 최소화하면서도 유지관리가 용이하다는 것이 가장 큰 장점이다.

최근의 해킹 수법은 과거의 호기심이나 과시욕에 의한 네트워크 침투/파괴/시스템 마비 등의 직접적인 공격 방식과 함께 금전을 노린 금융사기, 고의적 개인정보 누출 등의 심각한 범죄적 양상을 띠고 있다. 이의 대표적인 공격 방식이 피싱(phishing)인데 이 공격 방식은 기술적 난이도가 높지 않음에도 불구하고 그 피해 정도가 심각하고 노출 범위가 넓다는 것이 특징이다. 또한 다중 보안 시스템이 완비되어 있는 사이트라 할지라도 이러한 사기 수법의 공격에는 무력하기 마련인데 그 이유는 시스템에서 유일하게 열어 놓은 웹 사이트를 통해서 침투가 가능하기 때문이다. 이러한 모든 보안문제의 근본 원인은 바로 ID, Password라는 가장 기본적인 인증 절차에 의한 태생적 문제라 할 수 있다. 즉, 숫자와 알파벳으로 이루어진 ‘텍스트’ 에 의한 인증 체계가 문제가 되는 것이다.

국내에도 결재 정보를 안전하게 방어하기 위해 나온 대응책으로 도입되기 시작한 OTP, 모바일OTP, 공인인증서, HSM 등과 부수적 소프트웨어로서 키로깅 방지 툴, 바이러스 방지 툴 등이 있다. 각각의 특장점 들이 있지만 매체가 이원화 되어 있는 하드웨어의 불편성 및 관리비용, 망 유지비용 등 대규모 부대 설비비를 투자해야 하고 환경의 제약이 있다는 점이 있다.

3가지 제품군의 DEMENTOR

DEMENTOR는 크게 3가지 제품군으로 나눌 수 있다. DEMENTOR-SKP(가상형키보드), DEMENTOR-SGP(그래픽 2차 인증), DEMENTOR-SP2(숫자 입력기) 등으로 나누어 각각의 특징적 사항을 통해 인증정보를 보호한다.

● DEMENTOR-SKP

DEMENTOR-SKP는 가상형키보드를 통해 인증정보를 보호한다.

DEMENTOR-SKP는 비밀번호 인증정보를 마우스를 이용하여 가상형키보드에 입력하는 방식이다. 가상 커서를 통하여 클릭 되어진 값은 가변적인 비밀번호 값이 전송되기 때문에 스니핑 및 키로깅에 대응이 가능하다. 그 외에도 사이트의 진위 여부를 알 수 있도록 상단에 이미지를 설정할 수 있고 멀티 커서를 통해 마우스의 개수를 늘려 어깨너머 훔쳐보기에 대응을 할 수 있다. 기존의 비밀번호를 사용하기 때문에 별도의 회원 가입이 필요 없고 플래시로 제작되어 환경의 제약이 없는 것이 특징이고 사용자 PC에 별도의 설치가 필요 없기 때문에 NO-ActiveX 방식이다.

● DEMENTOR-SGP

DEMENTOR- SGP는 일명 GOTP

(Graphic One Time Password)로서 이미지를 이용하여 인증하는 2차 인증 방식이다.

700개 내외의 아이콘들 중에서 사용자 2개 이상의 아이콘을 설정해 인증하는 방식이다.

인증 방법은 그림 3과 같다.

DEMENTOR-SGP는 이미지간의 상대경로를 통해 인증하기 때문에 매 인증시 아이콘의 위치가 변함으로 가변적인 경로 값을 생성하여 전송한다. 보안단계를 구성하여 사용자가 선택적으로 이용할 수 있도록 제공되어 있고 보안 단계가 높아질수록 편리성이 떨어지지만 보안성이 올라간다.

보안 1단계의 Drag 입력 방식은 개인키를 홀키로 마우스 드래그를 통해 인증하도록 되어 있다. 보안 2단계의 트윈아이콘 방식은 UI상의 방향키를 마우스를 이용하여 경로를 클릭하고 이때 똑같이 생긴 작은 아이콘의 이동을 보면서 사용자의 이동 위치를 알 수가 있다. 보안 3단계는 방향키 클릭시 UI상에 움직임이 전혀 없고 사용자의 머리 속에서 경로를 그리면서 이동해야 한다. 이때 카운터를 통해 이동 횟수만 볼 수가 있고 보안 4단계는 3단계와 같은 방식이지만 멀티커서를 지원하여 방향키 클릭 또한 알 수 없도록 지원하는 방식이다.

DEMENTOR 시스템 구성

DEMENTOR의 시스템 구성은 인증 서버를 통하여 인증 하는 방식이고 추 후 통합인증 센터 적용도 가능한 시스템 구조를 가지고 있다.

향후 추진 방향

DEMENTOR는 인증이 필요한 인터넷 상에서 모든 시장에 필요한 보안군으로서 우리은행, STX조선그룹, 어린이 재단, 프리챌, 프리챌 게임, 일본 히다찌(일본 e-banking) 등 내외부 인증 시스템 및 국내외 구축 및 진행을 하고 있으며 2008년 일본 뱅킹페어, 2009년 Kotra Japan IT카페에서 DEMENTOR를 소개함으로 많은 호응을 얻고 있다. 현재 일본에서는 인증에 대해 하드웨어 보안군과 소프트웨어 보안군으로 나누어 금융 및 전자상거래의 활성화를 위한 준비를 하고 있고 DEMENTOR는 소프트웨어 보안군으로서 보안등급 으로서 최상급을 받아 진행 중에 있다.

<글 : 정보보호21c 편집팀>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>