본문 바로가기
비밀번호 없는 로그인 ‘패스워드리스’로 진짜 직원 가린다
김인환 기자|kih2711@kidd.co.kr
페이스북 트위터 카카오스토리 네이버블로그 프린트 PDF 다운로드

비밀번호 없는 로그인 ‘패스워드리스’로 진짜 직원 가린다

인증 방식 결합해 네트워크, 기기, 사용자까지 인증…강력한 보안 확보

기사입력 2023-09-22 13:11:03
페이스북 트위터 카카오스토리 네이버블로그 프린트 PDF 다운로드
비밀번호 없는 로그인 ‘패스워드리스’로 진짜 직원 가린다
김동현 시큐어레터 실장

[산업일보]
비밀번호를 이용한 인증 방식의 보안 취약성이 드러나면서 비밀번호를 입력하지 않고 로그인하는 ‘패스워드리스’가 대안으로 떠올랐다.

김동현 시큐어레터 실장은 20일 서울 코엑스에서 진행된 ‘ISEC 2023(제17회 국제 시큐리티 콘퍼런스)’에 연사로 참여해 ‘패스워드리스기반 사용자 인증시스템’을 주제로 발표했다.

재택근무가 확산되면서 VPN을 받아 ID와 비밀번호를 입력해 사내 시스템에 접속하는 경우가 많아졌다. 기존 로그인 방식으로는 사용자가 누구인지 파악할 수 없는 게 문제다. 아이디와 패스워드만 알면 모두가 접속할 수 있다.

김동현 실장은 “정말 회사 직원이 맞는지, 허가된 접속 기기인지까지 모두 확인해야 한다”라고 말했다.

사용자 인증 방식 종류는 크게 지식기반, 소유기반, 생체기반 인증으로 나뉜다. 지식기반 인증은 사용자만이 알고 있는 비밀번호나 PIN번호를 이용하는 로그인 방식이다. 구현이 쉽고 저렴하지만 사용자의 망각이나 외부 노출 위험이 높다.

소유기반 인증은 사용자가 소유한 것을 기반으로 로그인하는 것이다. 대표적으로 OTP(One Time Password)와 인증서가 있다. 그 자체로 강한 보안 시스템이지만 복제나 분실, 고장의 우려가 있다.

생체기반 인증은 얼굴, 지문, 목소리, 홍채 등 고유의 생체적 특징을 기반으로 로그인하는 것이다. 분실이나 도난의 위험이 없고 위변조가 어려운 장점이 있지만 인식기 오류의 불편함 문제, 개인정보 노출의 거부감 등 해결 과제가 남아있다.

패스워드리스 방식은 아이디와 비밀번호 대신 얼굴 인식, 지문, OTP, 인증서 등으로 로그인하는 것이다. 여러 방식을 조합해 강력한 보안성을 확보하기도 한다.

김 실장은 소유, 지식, 생체 기반 인증서를 연계한 패스워드리스 보안 시스템을 소개했다. 스마트폰의 보안 영역에 기기인증서, 사용자인증서, 생체인증서를 탑재해 한 번의 로그인을 반복 점검하는 것이다.

사전에 등록된 기기인지 상호 확인하고, 서버 서명과 TLS 클라이언트 인증서를 점검하고, 생체인증으로 로그인 권한 획득 후 전자서명과 사용자 인증값까지 확인한다. 김동현 실장은 “단순히 ID와 비밀번호로 인증하는 것이 아니라 네트워크, 기기, 사용자까지 인증해 보안성이 높다”며 “대형 금융사 등 강력한 보안이 필요한 곳에 적용할 수 있다”라고 설명했다.

그는 “패스워드리스가 필요한 가장 큰 이유는 ‘보안’”이라며 “사용자는 생체정보를 이용해 편안히 로그인하고, 사내 시스템은 정말 우리 직원이 맞는지 체크할 수 있다”라고 강조했다.
다아라 온라인 전시관 GO
현장의 생생함을 그대로 전달하겠습니다.


0 / 1000
주제와 무관한 악의적인 댓글은 삭제될 수 있습니다.
0 / 1000






산업전시회 일정