• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

본인 인증, 언제까지 ID와 암호로 해야 하는가 2014.07.18

탈도 많고 문제도 많은 암호 입력 방식, 이젠 구시대 유물

신용카드 사용법 응용해 통일되고 쉬운 인증방식 도입 필요


[보안뉴스 문가용] 사용자가 ID와 암호를 사용해 인증하는 방법은 이제 구시대의 유물처럼 보이는 때다. 소비자는 물론 서비스 제공자, 사업자, 보안전문가 등 모두가 이 고리타분한 암호 시스템에 대한 불만이 많다. 온라인 서비스에 대한 접근성 혹은 인증 방법에 대해 처음부터 다시 생각해볼 필요가 있다. 새로운 사이트나 서비스에 가입할 때마다 개인정보를 입력해 넣는 과정이 필수의 요소일까? 신용카드가 이에 대해 미래를 제시하고 있다.

 

 ▲ 세계 최초의 암호 인증 방식. 쉽게 뚫렸다


먼저 이런 상황을 상상해보자. 가게에 들어가 물건을 살 때마다 신용카드를 바꾸어야 하는 시스템 말이다. 신발 살 땐 신발 카드, 아이스크림 살 땐 아이스크림 카드, 커피 살 땐 커피 카드를 따로따로 내야 한다. 그러면 물건을 사고 싶어질까? 아마 소비자는 카드를 여러 개 들고 다니는 대신 쇼핑을 최소한으로 줄일 것이다. 그러니 카드사들끼리 뭉쳐 하나의 통합된 시스템을 구축한 것이다.

 

여기엔 여러 주체들이 이해관계에 놓여 있다.


1. 금융기관 : 실제로 돈을 유통함으로써 카드 발급사의 뒤를 든든히 받쳐주는 역할을 담당한다. 또한 정보보안과 접근성 강화에 아낌없는 투자를 하는 편이다.


2. 카드 발행사 : 신용을 든든히 받고 있는 주체로 고객들의 자산 및 금융 정보를 맡아 운용하면서 그들의 소비활동을 돕는다. 매장들도 카드 발행사를 믿고 소비자들에게 물건을 판다. 역시 철통같은 보안을 유지하려고 애쓴다.


3. 신용카드 : 카드에 적혀 있는 카드번호만으로 이 카드가 합법적이고 인증이 되었다는 증거가 된다. 은행, 사업자, 소비자 모두 어떻게 사용하는지, 어떤 시스템으로 운영되는지 이해하고 있으며 이에 동의한다. 사용이 쉽고 간단하다.


4. 판매자 : 온라인 판매자가 있고 오프라인 판매자가 있다. 어떤 형태이든 요즘은 대부분 신용카드의 사용이 가능하다.


5. 소비자 : 소비자들은 그냥 필요한 물건을 살 뿐이고, 그 수단으로 신용카드라는 쉬운 방식을 채택하고 있다. 소비자들은 정보 보안보다 카드 자체의 보안(분실 및 도난)에 많은 신경을 쓰고 있다.


이게 신용카드 시스템의 기본 뼈대라고 볼 수 있다. 그렇다면 이게 어떤 식으로 현재의 ID 및 암호 인증방식을 대체할 수 있을지 살펴볼 차례다.


1. 금융기관 및 인증서 발행기관 : 소비자들은 이미 금융기관에 대한 이해도가 높고 신뢰를 충분히 가지고 있다. 게다가 신뢰받는 금융기관들은 보안에 최고 수준으로 투자한다. 그러니 미래에 사용자 인증을 이 기관이 담당하게 하는 게 자연스럽다. 지금도 은행에서 온라인 인증서를 발급해주긴 하지만 아직 암호를 입력하는 방식에서 벗어나지는 못하고 있다


2. 모바일 기기 : 신용카드만큼이나 소비자들의 손에 항상 걸려있는 물건이다. 모바일 기기 없이 돌아다니는 사람을 찾기가 힘들 정도다. 이 기기를 활용해 소비자를 인증할 수 있는 방법은 이미 활발하게 개발되고 있다. 모바일 인증서라는 것이 시중에 나온 지도 오래됐다. 그러나 여전히 암호 입력방식에 머물고 있어 그 이상은 없을까 고민이 필요한 시점이다.


3. 판매자 : 금융기관과 연계된 인증서가 통용되고 모바일 기기로 본인 인증이 활발하게 이루어진다면 판매자들은 인증서를 가입된 회원에게 배포하는 입장에서 회원의 모바일 기기가 인증해주는 것을 확인만 하면 된다. 거래는 알아서 이루어질 것이다. 판매자로선 회원약관이나 인증 계약을 개별적으로 운영할 필요가 없으니 자금마저 든든한 인증기관을 업고 있는 것과 다름없게 되며, 이로써 할 수 있는 일이 더 많아질 것이다.


4. 소비자 : 인증방법이 쉬우면 쉬울수록 반가운 사람들이다. 모바일 기기로 인증이 다 된다면 소비자로서는 어떤 기기에 인증서를 담을까와 어떤 금융기관에서 발행하는 인증서를 선택할지만 고민하면 된다. 사이트마다 들어가 정보를 입력하고 승인을 받는 게 아니라 최초에 한 번만 하면 되는 것이니 수고가 줄어들고 소비가 촉진될 것으로 보인다.


인증분야는 신용카드의 지불 시스템을 응용해 미래의 인증수단의 방법을 모색해야 한다. 그래서 소비자가 더 쉽고 간편하면서도 안전하게 구매 행위를 할 수 있도록 해야 한다. 사실 이미 이런 노력들이 시행되고 있다. 은행 사이트에서 인증서를 받는가 하면, 그걸 모바일에 이식하는 것도 이미 가능하다. 하지만 여전히 암호 입력 방식에서 벗어나지 못하고 있으며 보안성 또한 그리 탄탄한 것은 아니다. 만족하지 말고 미래를 좀 더 꾸려야 할 때다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>