패스워드 보관이 필요 없는 ‘StonePASS’ 소개

[보안뉴스 김태형] 센스톤(대표 유창훈, www.SSenStone.com)은 2015년 11월에 설립된 핀테크분야 스타트업 기업이다. 하지만 이미 2건의 특허출원과 금융기관과의 MOU 체결 등으로 신인 같지 않은 스타트업으로서 금융기관 및 액셀러레이터로부터 주목을 받고 있다. 센스톤은 2-Way Dynamic Warp Password Algorithm인 ‘스톤패스(StonePASS)’와 2차 인증을 위한 4차원&2채널 인증패드인 ‘스톤패드(StonePAD)’의 올 상반기 출시를 앞두고 있다.

이러한 가운데 센스톤은 오는 3월 16일부터 18일까지 일산 킨텍스 전시장에서 개최되는 ‘전자정부솔루션페어 2016(eGISEC 2016, www.egisec.org)’에 참가해 자사의 멀티채널, 멀티팩터 인증솔루션인 ‘스톤패스(StonePASS)’를 공공기관 및 인증 보안 업계에 선보일 예정이다. 특히, 전자정부 및 공공부문 정보화 담당자가 한자리에 모이는 이번 전시회에서, 센스톤 유창훈 대표는 컨퍼런스 강연을 통해 IT 태초부터 변하지 않은 패스워드 보관·비교 방식의 문제점을 지적하고, 계정관리의 새로운 방향을 제시할 방침이다.

센스톤이 이번 전시회 기간 중 선보이는 ‘스톤패스(StonePASS)’는 스마트폰 앱에 본인만의 패턴을 가진 PIN 번호를 지정하고 암호화된 서버통신으로 발생된 OTP(One Time Password)를 통해 패스워드를 대신하여 로그인하는 방식이다. ‘스톤패스(StonePASS)’는 시스템의 패스워드의 보관·관리를 불필요하게 하고, 정보유출 사고시 발생할 수 있는 패스워드 유출을 원천적으로 차단하며, 사고 후 패스워드 교체를 간단하게 해결한다. 또 사용자 입장에서는 시스템별로 다른 패턴의 패스워드를 지정하고 기억해야 하는 일이 불필요하게 됨으로써 각각의 패스워드를 기억하지 못해 혼란을 겪게 되는 패스워드증후군을 해결한다.


특히 ‘스톤패스(StonePASS)’는 OTP, ARS, SMS 등으로 대표되는 인증기술 분야에서 요구하는 2Factor 이상, 2Channel 이상의 조건을 동시에 만족하며, 지식형과 소유형을 복합적으로 사용하는 인증 솔루션이다. 또한 ‘스톤패스(StonePASS)’는 지식형 인증기술의 특성상 매체의 분실 시에도 패스워드 유출 위험이 없으며, OTP 발급, ARS, SMS 방식과는 달리 비용이 발생하지 않으며, 지문 등 타 바이오인식 기술과도 연동이 가능한 융합형 알고리즘이다.

기존 보안인증기술 도입 시에는 보안성은 강화되나 사용자 편의성은 낮아지고 관리리스크는 증가했던 것에 반해 ‘스톤패스(StonePASS)’는 동적인 변형 매칭, 피싱 및 파밍 체크 가능, 2팩터/2채널 이상 지원 등으로 보안성을 강화하고 자신만의 패턴으로 만드는 지식형 패스워드를 사용하여 사용자 편의성을 높이고, 시스템에 패스워드를 보관하지 않아 관리 리스크는 감소한다.


이와 관련해서 센스톤 유창훈 대표는 “센스톤이 아직은 걸음마 단계의 스타트업 기업이나, 첫 번째로 시장에 런칭하는 솔루션인 ‘스톤패스(StonePASS)’가 다수의 금융기관과 전문가에게 호평을 받고 있으며, 조만간 2개 이상의 기관이 도입을 결정할 예정”이라면서, “IT산업 전반에 걸쳐 있는 패스워드 문제를 ‘스톤패스(StonePASS)’가 해결할 수 있도록 할 것이며 국내외 시스템 관리자 및 사용자 모두에 편익을 제공하는 솔루션을 지속적으로 공급할 것”이라고 밝혔다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>