여러 차례 발생한 대규모 정보 유출 사고...이미 개인 식별 정보는 유통 중
아이덴티티 인증의 네 가지 요소 : 지능, 수동적 식별, 인증, 향상된 고객 경험

[보안뉴스 문가용 기자] 아이덴티티 탈취와 사기는 벌써 수십 년째 우리 주변에서 도사리고 있는 위협이다. 그 세월 속에서 형태나 전략의 세부적인 요소가 계속해서 진화해왔고, IT 기술이 빠르게 변해가는 요즘 같은 때에는 진화의 속도마저 빨라지고 있다. 원래는 물리적인 방법을 동원한 위장술이었던 것이(지갑이나 신분증을 훔친다든가), 디지털 세계로 들어와 체계적이고 다양한 형태로 변모하고 있는 것이다. 게다가 많은 사람들의 일상이 사이버 공간으로 들어오면서 이런 공격은 더 ‘치명적’으로 작용하기 시작했다.


사회가 기술과 디지털 생활이라는 개념을 더 포괄적으로 받아들이기 시작하면서, 사람들의 디지털 아이덴티티와 정보를 보호하는 책임이 기업들과 기관들에 가중되고 있다. 하지만 아직 이 책임을 제대로 완수하는 곳을 찾기가 힘든데, 그건 하나의 거대한 변화 때문이다. 예전에는 개인의 아이덴티티라는 것이 개인 식별 정보와 밀접하게 관련이 있었다. 이름, 주소, 생년월일, 주민등록 번호 등과 같이 말이다. 그러나 오늘날처럼 데이터가 여기저기서 침해되고, 그 데이터가 다크웹에서 원활하게 유통되는 때에는, 개인의 아이덴티티를 구성하는 핵심 요소들도 이미 여러 번 엉뚱한 곳에 노출되었다고 보는 게 자연스럽다. 사실 ‘내 개인정보는 공공재’라는 말이 틀린 건 아니다. 그렇기 때문에 개인 식별 정보를 보호함으로써 아이덴티티를 보호한다는 발상은 더 이상 올바르지 않다. 하지만 기업들과 기관들은 아직 이를 깨닫지 못한 모양이다.

개인 식별 정보가 공공재인 냥 범죄자들의 주머니 속에서 유통되니, 오늘날의 범죄자들은 아이덴티티를 공략하고 농락할 각종 수단을 보유하게 되었다. 훔치는 것은 물론, 새로운 아이덴티티를 창조하기도 하며, 이런 행위를 통해 수많은 개인과 단체에 수십 만 달러의 손해를 입힌다. 그러므로 ‘개인 식별 정보’가 곧 ‘개인의 아이덴티티’라는 개념에서 벗어나지 못하고 있는 조직들은 더 이상 그 누구도 인증할 수 없는 처지에 봉착하게 되었다. 그런 상황에서 비밀번호마저 믿을 수 없는 인증 수단이 되어버렸으니, 그야말로 악화일로다.

개인 식별 정보를 보호하는 것만으로는 충분치 않다
결론부터 얘기하자면 개인 식별 정보는, 개인의 아이덴티티를 규정하는 한 가지 요소로서만 가치를 가질 뿐이다. 사이버 범죄자들이 사기 전략을 계속해서 계발하듯, 아이덴티티의 정의와 그 구성 요소들도 유연하게 변해야 한다. 또한 그 아이덴티티의 요소들이 기업과 고객 간에 갖는 영향력과 중요도도 그렇게 되어야 한다. 무슨 말이냐면, 기업과 기관은 디지털 공간 너머의 고객이나 사용자를 식별하고 인증하기 위한 안전하고 창의적인 방법을 끊임없이 찾아야 한다는 것이다. 디지털 환경은 계속해서 변하는데, 왜 혁신은 해커들 쪽에서만 발생하냐는 거다.

조금 이상하게 들릴 수 있지만, ‘사기 방지’와 ‘아이덴티티 보호’라는 개념은 데이터와 정보를 보호하는 것 이상이 되어야 한다. 고객이 각종 서비스의 기능적인 측면을 통해 느끼는 경험마저 포함시켜야 하는 것이다. 이는 곧 보안이 경쟁 요소의 일부가 된다는 뜻으로, 엑스페리안(Experian)의 ‘세계 아이덴티티 사기 보고서’에 의하면 소비자들의 74%가 이미 “온라인 서비스 경험 중 가장 중요한 요소는 보안”이라고 답했다고 한다. 그 다음이 편리였다.

그러므로 아이덴티티라는 것은 이제 지능, 수동적 식별, 인증, 향상된 고객 경험이라는 네 가지 요소를 전부 포함하고 있어야 한다. 이미 우리는 인공지능(머신 러닝, 딥러닝 등)과 같은 기술을 통해 정상 행위와 비정상 행위를 구별할 수 있다. 또한 물리적 혹은 행위적 생체 인증 기술(안면 인식, 전화기 잡는 습관, 데이터 입력 시 나타나는 행동 패턴 분석 등), 장비 지능(device intelligence, 장비의 핑거프린팅, 특성 및 히스토리 정보 분석 등), 문서 확인 및 인증(자동 채우기(autofill), 비교 분석 등)과 같은 고급 인증 기술들도 이미 시장에 나와 있다. 이미 소비자의 77%는 금융 산업에서 사용하는 생체 인증 기술을, 다른 보안 기술에 비해 더 신뢰하고 있는 상태다.

인증은 새로운 개척지다
아이덴티티를 위에 언급한 것처럼 창의적으로 보호할 수 있는 게 가능해진 것은 ‘인증 과정이 배경에서 은밀히 진행되기 때문’이다. 사용자 ID와 비밀번호를 사용자가 직접 입력하던 것과 전혀 다른 개념인 것이다. 그래서 사용자는 자기가 인증이 제대로 되었다는 걸 느끼지도 못한다. 그저 거래 시 요구되는 지문 한 번 찍었을 뿐이라고 생각한다. 그 뒤로 두 번째와 세 번째 인증 절차를 통과되었다는 건 까맣게 모르고 말이다. 이 두 번째, 세 번째 인증이라는 것은 ‘행동 패턴 분석’, ‘해당 장비 내 다른 애플리케이션 분석’ 등의 방법으로 이뤄진다.

이런 식의 접근은 사용자 경험을 향상시켜줄 뿐만 아니라 사기 가능성도 낮춰준다. 여러 번 인증이 들어간다는 것만으로도 사기꾼들이 아이덴티티를 훔치거나 남용하는 걸 힘들게 만들 수 있다. 그러므로 기업은 소비자들에게 비쳐지는 기업 이미지에 대해 좀 더 자신감을 가질 수 있게 된다. 아이덴티티를 제대로 보호했을 때 얻을 수 있는 보상이다.

꼭 기억해야 할 것은, 아이덴티티 보안을 한 번에 영원히 해결해줄 방법은 존재하지 않는다는 것이다. 앞서 강조했지만 아이덴티티 보호라는 것은 유연하게 바뀌고, 항상 연구되어야 하는 주제다. 왜 보안은 그렇게 계속 공부하고 고민하고 변해야 하냐고? 공격자들이 이미 그렇게 하고 있기 때문이다. 그들을 뒤쫓아 가기만 해서는 방어를 할 수가 없다. 한 발 앞에서 그들의 수를 읽어낼 수 있어야 한다. 개인 식별 정보가 곧 아이덴티티라고 아직까지 착각하고 있다면, 한 발 앞서 긴커녕 열 발은 뒤쳐져 있다고 볼 수 있다.

그러니 지금 당장 고민을 시작해보자. 아이덴티티란 무엇인가?

글 : 캐서린 피터스(Kathleen Peters), Experian

3줄 요약
1. 예전 같으면, 개인 식별 정보가 아이덴티티 인증의 가장 중요한 요소인 게 맞음.
2. 하지만 개인 식별 정보가 이미 여러 차례 유출된 상태에서는, 아이덴티티 인증에 다른 요소가 추가되어야 함.
3. 다양한 신기술들 이미 등장. 중요한 건 인증이 ‘편리’해야 한다는 점. 안전과 편리를 다 잡는 게 현재 인증 사업의 핵심.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>