각 비밀번호의 입력시간 차를 다르게 하면 보안성 높일 수 있어

[보안뉴스 민세아] 많은 인터넷 사용자들은 비밀번호를 기억하는데 매번 어려움을 겪는다. 이전에는 4자리로 충분했던 비밀번호가 이제는 8자리를 넘어 10자리, 12자리까지 길어지고 있다. 어디 그뿐인가? 비밀번호를 일정 기간마다 바꿔야 할뿐만 아니라 기업의 경우 과거에 사용했던 비밀번호를 사용하지 못하는 경우도 더러 있다.

이러한 가운데 최근 기존 단순 비밀번호 입력에서 한 단계 더 나아가 문자 간의 입력 시간정보를 이용한 기술이 주목받고 있다.

보안과 편의성은 반비례

사용자들은 온라인상에서 무수히 발생하는 해킹공격이나 내부자 및 협력사 유출 등에 따른 수많은 개인정보 유출사례를 지켜봐 왔다. 비밀번호나 인증서에 대해 ‘어쩔 수 없이 사용하고 있지만 한편으론 불안하고 사용하기도 불편’해 하고 있지 않을까? 게다가 얼마 전 주민번호 대체수단인 ‘아이핀’의 대규모 부정발급은 사용자들에게 커다란 충격으로 다가왔다.

최근 정부의 액티브X 폐지 유도정책과 함께 공인인증서도 의무사용도 폐지됐다. 하루아침에 바뀌지는 않겠지만, 앞으로는 다양한 개인인증방법이 등장할 것으로 보인다. 바이오인식(지문, 홍채, 정맥, 목소리)을 통한 인증이나 휴대폰을 이용한 인증 등 보안인증 시장의 획기적인 변화가 예상된다.

그중 간단하지만 보안효과를 극대화 할 수 있는 기술이 등장했는데, 비밀번호 입력 시 각 문자들 입력 시간정보를 이용한 일명  ‘시간차비밀번호’가 그것이다.

문자 간의 입력 시간정보를 이용한 ‘타임패스워드’

예를 들어 ‘1234’라는 4자리 숫자를 비밀번호로 사용할 경우 보안성은 매우 떨어진다. 이때 사용자가 숫자 사이에 최대 몇 초 이내 또는 몇 초 이상이라는 조건을 부여한다면 보안성이 달라진다.

예를 들어 1을 입력 후 0.2초 이내에 2를 입력해야 하고, 3을 입력한 후 3초 이상을 기다렸다가 4를 입력해야 하는 시간조건을 준다면 보안성은 높아지게 된다. 이러한 시간정보는 관리자·사용자의 선택사항으로 운용할 수 있는데, 사용자가 원하지 않다면 기존의 비밀번호처럼 똑같이 사용하면 된다.

시간정보를 기억해야 하는 약간의 불편함이 있지만, 시간정보를 사용한 4자리 비밀번호는 기존 10자리 이상의 비밀번호만큼의 보안성을 갖고 있다는 장점이 있다. 즉 문자는 그대로 두고 시간정보만 바꾸는 사용자 편의의 방식이며, 별도의 단말기도 필요하지 않게 된다. 이러한 시간정보는 사용자가 잊었을 경우(또는 삼진아웃에 걸렸을 때), 별도의 본인 인증을 거쳐 간단히 지워주거나 변경할 수 있다.

시간정보를 오프라인에 빗대자면, 아파트 출입 시 이용하는 주 열쇠가 아닌 보조열쇠이기 때문에 보조열쇠(시간정보)는 주 열쇠(문자정보)가 없이는 무용지물이며 보조열쇠는 그만큼 관리의 편이성을 갖게 된다.

수년 전 IBM 사에서는 비슷한 형태의 리드믹-패스워드를 특허 등록(US 20130055381 A1)한 바 있다. 이는 인증서나 보안카드 없이 오직 비밀번호 하나로 모든 결제가 수행되고 있는 해외 인증 시스템 상황과 보안시장의 트렌드를 대변하고 있다.

액티브X의 의무사용 폐지는 많은 것을 시사하고 있다. 날로 증가하고 있는 휴대폰결제나 정부의 행정전산화를 통한 문서결제, 그리고 인트라넷이나 산업체 기술보호, 학교의 성적처리·군사용 출입검증 등 일정수준 이상의 보안이 요구되는 분야에는 보다 강화된 인증 절차가 요구됨에 따라 앞서 설명한 타임패스워드 등 다양한 형태의 인증기술이 계속 등장할 것으로 기대된다.

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>