A-1. 이에 대해서는 멀티 팩터 인증과 멀티채널 인증을 도입하는 것이 필요하다. 이러한 도입은 보호되어야 할 정보에 대한 위험을 평가해서 인증의 실패로 인해 위험이 클 경우, ID/PW + 스마트카드, 또는 ID/PW + OTP 토큰 등의 멀티 팩터 인증과 ID+PW + SMS 인증 등의 멀티채털 인증 방법을 이용하는 것이다.

(염흥열 순천향대학교 정보보호학과 교수/hyyoum@sch.ac.kr)

A-2.최근 온라인 서비스 업체에서 저장하고 있던 사용자 정보가 해킹 등을 통해서 외부에 유출되는 사고들을 심심치 않게 접할수 있다. 만약에 본인이 사용하는 ID와 패스워드를 인증이 필요한 복수의 서비스에 동일하게 등록해두고 쓴다면, 개인정보가 유출이 되었을 때 등록한 다른 사이트에도 악용될 수 있기 때문에 문제가 심각해질 수 있다.

사용자 정보유출이 발생하는 원인은 개인정보 저장 시에 암호화하지 않아서 생기는 경우도 있지만, 암호화를 한다고 하더라도 이것이 외부 해킹에 대해서 완벽히 안전하다고 볼 수는 없다.

일단 안전하게 사용자 정보를 관리하는 측면에서 보면 가능한 한 사용자의 ID나 패스워드와 같은 식별 정보를 최소화하는 것이다. 예를 들면 사용자의 패스워드가 서비스 업체의 DB에 저장되지 않고, 다른 외부에서 사용하는 인증 서비스를 통해서 인증을 하고 서비스를 제공하는 것이다.

이렇게 하면 사용자 입장에서는 외부의 인증 서비스를 통해서 특정 사이트를 이용할 수 있으며 해당사이트가 보안과 관련해서 신뢰도가 높지 않다고 하더라도 자신의 개인정보를 노출하지 않고 이용할 수 있게 되는 것이다. 다시 말해 서비스 업체의 DB에는 사용자가 서비스와 관련해서 저장하는 정보만이 기록되는 것이다.

서비스의 관리자 입장에서도 사용자 패스워드와 같은 보관 시에 암호화가 필요한 개인정보를 직접관리하지 않아도 됨으로써, 보안과 관련한 부담을 일정 부분 덜 수 있게 되고, 사용자가 패스워드를 잊어버려서 요청하더라도 이를 변경하기 위한 처리를 관리 입장에서 할 필요가 없어지게 된다.

(전승준 한국산업기술보호협회 관제운영팀 연구원/sjun@kaits.or.kr)

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>