이스톰
서울--()--국내 은행이나 증권사에서 활용 중인 이스톰의 패스워드리스 기술(자동패스워드)이 UN 산하 국제표준기구인 ITU-T에서 국제표준기술 X.1280으로 제정됐다.
온라인 서비스에서 자동패스워드가 표시되고, 사용자사 스마트폰에서 자동패스워드를 확인하는 실시 예시
패스워드리스 기술은 사용자가 온라인 서비스에 패스워드 OTP, 인증서, 생체인증 정보 등을 입력하는 대신 온라인 서비스가 사용자에게 자동패스워드를 제출하고, 사용자가 자신의 스마트폰에서 온라인 서비스가 제출한 자동패스워드를 검증하는 기술이다. 이를 통해 온라인 서비스가 사용자에게 자동패스워드를 출력하고 사용자가 이를 스마트폰 앱에서 확인하는 방식으로 인증 방향을 반대로 전환할 수 있다.
본 표준기술은 사용자가 접속한 온라인 서비스의 진위 여부를 확인할 수 있고, 온라인 서비스 역시 스마트폰 생체인증 기술을 이용해 사용자를 확인할 수 있는 유일한 상호인증 기술이다.
상호인증이 중요한 이유는 네트워크에서 연결된 사용자와 온라인 서비스가 상대방을 확인할 수 있어야 한다는 데 있다. 현재 사용자 인증 기술은 사용자가 온라인 서비스를 확인하지 않은 상태에서 온라인 서비스만 사용자를 여러 번 확인하는 상황이다. 이러한 반복적인 확인은 보안 수준에 도움 되지 않는다.
또한 기존 사용자만이 확인하는 인증 방식은 온라인 서비스가 모든 신원 입증의 책임을 사용자에게 전가한다. 네트워크상에서 사용자는 자신도 모르게 가짜 온라인 서비스에 접속될 수 있고, 가짜 온라인 서비스에 속아 자발적으로 사용자 인증 정보를 입력할 수도 있다. 따라서 사용자 역시 온라인 서비스를 제공하는 상대방을 확인할 수 있는 방법이 필요하다.
본래 온라인 서비스를 확인하는 기술로 ‘서버인증서 확인방법(브라우저의 자물쇠 확인방법)’이 있지만, 사용자가 온라인 서비스에 접속하면 서버 인증서를 확인하지 않고 사용자 인증값을 입력하기 때문에 쉽게 탈취될 수밖에 없었다. 사용자가 사용하기 어렵거나 인지하기 어려운 기술은 실질적인 보안성을 제공하기 어렵다. 연결된 상대방을 확인하지 못한 채 가짜 온라인 서비스에 접속해 자신의 패스워드나 OTP 코드, 인증서 정보 등을 입력하는 경우 그대로 모든 인증 정보가 탈취·도용된다.
본 표준은 기존의 지문이나 안면 생체인증 기술과 비교해서도 탁월한 경제성을 갖고 있다. 기존 생체인증 기술 역시 사용자만 인증하는 제한적인 사용자 인증 기술이면서도 생체인증 센서가 없는 PC나 스마트 TV 등에서는 작동하지 않는 문제가 있다. 하지만 본 표준 기술은 스마트폰에 장착된 생체인증 센서를 이용해 생체인증 센서가 부착되지 않은 PC나 스마트 TV 등에서 대역 외 생체인증을 사용할 수 있어 가장 경제적인 생체인증 방법을 제공할 수 있다는 점에서 효과가 크다. 이미 대규모 사용자를 보유한 은행이나 증권사 등에서 생체인증 센서 도입 없이 사용자의 스마트폰 생체인증 센서를 이용한 대역 외 생체인증 기술을 사용 중이다.
본 국제표준 개발을 주도한 우종현 이스톰 대표는 “보안 기술은 보안성뿐만 아니라 편리성이 함께 강조돼야 한다”며 “사용자 패스워드를 외우고, 입력하고, 변경하는 책임을 온라인 서비스에 전가하는 자동패스워드 기술이 국제적으로 인정받을 수 있게 돼 기쁘다”고 말했다.
이스톰 소개
이스톰은 23년차 소프트웨어 개발기업으로 자동패스워드, 자동OTP, QR패스워드매니저, 오픈카드, 오픈터미널 등과 같은 인증기술과 핀테크 기술을 개발해왔다. 제로트러스트와 패스워드리스가 사이버보안의 핵심으로 부각되면서 자동패스워드와 자동OTP기술이 주목받고 있다. 우리은행, 유안타증권과 같은 금융기관뿐만 아니라 조달청 혁신물품으로 등재되면서 사용자 계정보안이 필요한 국가기관에서 도입하고 있다. 자동패스워드 기술은 대한민국 인터넷 대상을 수상했을 뿐만 아니라 2023년 9월 ITU-T 국제기술표준기구에서 X.1282로 사전 채택되면서 국내뿐만 아니라 해외에서도 주요 패스워드리스 기술로 대두될 것으로 예상되고 있는 상황이다. 자동패스워드 기술을 국내 및 해외에 전문적으로 보급·확산 하기 위해서 한국과 미국에 듀얼오스(DualAuth) 자회사를 설립하며, 글로벌 시장 진출을 적극 준비 중이다.
자동패스워드:
http://www.autopassword.com
CISO워크숍_패스워드리스에 대한 이해와 적용사례 ITU-T 국제표준 동향과 금융권 적용사례:
https://youtu.be/hXRiOqcN1jE
웹사이트:
https://www.estorm.co.kr