• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

아직 벽이 없는 우리의 새로운 갈 바, 상황 기반 인증 2014.12.07

2중 인증이 대세이지만, 가격 대비 효용성은 아직 미지수

정보 사용 자체보다 그것이 이루어지는 주변 상황도 귀중한 정보


[보안뉴스 문가용] 기업의 지적재산과 금융 관련 정보를 지킬 수 있는 최고의 방법은 무엇일까? 현재 이 부분에 대해 가장 ‘핫’한 답은 2중 인증이다. 2중 인증이 도입되면 해커들이 계속해서 노리는 사용자의 개인정보, 특히 로그인 정보 혹은 식별 정보라는 게 거의 무가치하게 된다. 즉, 애초에 로그인 정보를 노릴 이유가 없어진다는 것이다. 로그인 정보를 모르면 우회 공격도 큰 제한을 받게 되고 원격에서의 공격도 제한을 받을 수밖에 없게 된다.

 


하지만 2중 인증은 비싸다는 아주 큰 단점이 있다. 단지 시스템에 도입하는 것만을 말하는 게 아니다. 2중 인증은 사용자들을 귀찮게 할 수밖에 없고, 이는 짜증을 유발하는 등의 이유로 생산성을 낮추게 된다. 그런데다가 2중 인증이 완벽한 것도 아니다. 얼마 전 2중 인증을 시행하고 있는 스위스와 독일 은행들이 다 뚫렸던 것에서 볼 수 있듯 말이다. 이 경우 사기범들은 2중 인증이 전송되는 고객들의 핸드폰 메시지를 전부 훔쳐감으로써 2중 인증을 무력화시켰다.


하지만 아직 절망할 단계는 아니다. 그들이 여러 방법을 개발하는 만큼 우리쪽에서도 아직 남은 방법이 제법 있기 때문이다. 그중 오늘 이야기 하고 싶은 건 상황 기반 인증(context-based authentication)이다. 이 상황 기반 인증이란 무엇일까? 먼저 정보보안에서 ‘상황’이란 단어는 다음의 정보들을 가리킨다.


기기 등록과 기기 지문화

‘기기 지문화’는 주로 두 단계로 이루어진다. 최초의 등록 단계에서는 인증 솔루션에 엔드포인트 기기에 대한 각종 정보를 등록해야 한다. 그래야 그 다음부터 로그인 및 인증을 할 수 있는 근거가 마련된다. 기기 지문화는 그러나 단순히 기기의 모델명이나 인증번호를 말하는 게 아니다. 기기의 고유한 지문 정보가 될 수 있는 건 다음 여러 정보들을 합칠 때 만들어진다.


- 웹 브라우저 설정환경

- 언어

- 설치된 폰트

- 브라우저 플러그인

- 기기의 IP 주소

- 화면 해상도

- 브라우저 쿠키 세팅

- 시간대


IP의 ‘명성’에 관한 정보

회사로 접속할 수 있는 IP 주소에 대한 옵션을 설정하는 것도 가능하다. 예를 들어 토르를 통한 익명의 네트워크 주소, 널리 알려진 봇넷 혹은 그밖에 나쁜 행위와 관련된 여러 가지 사실이 얽힌 IP 주소 등이 바로 그것이다. 그러려면 업계에 돌아다니는 나쁜 IP 주소에 대한 정보를 계속해서 수집해야 할 것이다.


위치 정보

상황 기반 인증은 사용자의 현재 위치를 ‘나쁜 지역’ 혹은 ‘청정 지역’ 데이터베이스와 비교해 그에 따라 적절한 대응을 할 수 있도록 해준다. 예를 들어 회사 내에서 접속하는 사용자보다 회사 바깥에서 접속을 시도하는 사용자가 덜 안전할 수 있다. 그런 다양한 경우를 수집하고 정리해 위치에 따라 접속을 제한할 수 있다.


위치 방어

이는 위와 비슷하지만 접속을 시도하는 거리에 따른 접속 제한 및 허가에 대한 것이다. 예를 들어 몇 킬로미터 반경 내에서의 접속은 몇 천 킬로미터 바깥에서의 접속보다 안전할 가능성이 더 높을 수 있다는 걸 정의하라는 것이다.


위치 간 속도

사용자가 서울에서 오전 10시에 접속을 했다면 그 로그인 히스토리가 어딘가에 남게 된다. 그런데 얼마 지나지 않아 같은 사용자가 30분 뒤에 남미에서 로그인을 했다면 이는 무슨 뜻일까? 30분이라는 시간 내, 두 지역 간에 사람이 낼 수 있는 속도를 고려해보는 것도 좋은 방법이다.


행동 분석

오랜 시간을 들여야만 수집할 수 있는 정보를 수집하는 기능을 솔루션에 삽입한다. 어떤 정보냐면 키스트로크 다이내믹, 마우스 움직임 패턴, 제스처와 터치법, 모션의 패턴 등이다. 그래서 이런 정보들을 모아 행동 패턴이라는 새로운 인증 정보를 생성하고, 이와 맞지 않는 새로운 행동 패턴에 대해 적절한 대응을 할 수 있다.


중요한 건 위에 열거한 이 모든 정보들이 각기 따로 따로는 별 다른 효력을 발휘하지 못한다는 것이다. 하지만 몇 개를 합쳐서 동시에 사용할 때 여태까지 나왔던 그 어떤 보안 솔루션보다 강력한 기능을 발휘할 수 있다. 또한 보안성뿐 아니라 사용자의 편리성도 높일 수 있다는 것도 크나큰 장점이다. 예를 들어 ‘위치 간 속도’ 변수와 ‘행동 분석’을 합친다면 단순히 거리가 멀다는 이유로 접근을 차단하지 않고 보다 조심스럽게 사용자와 사기꾼을 분별할 수 있게 된다.


그렇다보니 상황 기반 인증의 큰 장점은 유연함이라는 걸 알 수 있다. 기업 및 조직의 여러 가지 상황을 고려해 어떤 것을 도입시킬지 취사 선택하고, 도입시키는 과정에서도 여러 가지 세부 사항들을 조정하는 게 가능하다. 또 상황 기반 인증이라는 것이 인간에 대한 보다 깊은 이해를 바탕으로 하는 것이기 때문에 상황마다 장소바다 환경마다 다 다른 게 맞다.


아직도 우리에겐 튼튼한 벽이 없는 상태다. 신문지와 TV, 각종 매체가 우리에게 끊임없이 상기시켜 주듯이 말이다. 이런 때 상황 기반 인증이 우리에게 모자란 무언가를 채워줄 지도 모르겠다. 튼튼한 벽이 마련되지 않았을 때, 우린 오히려 우리 자신을 더 돌아봐야 하는 것 같다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>