보안

기본이 된 ‘멀티 팩터 인증’··· 보안성·편의성 함께 잡는다

이종현

[디지털데일리 이종현기자] 지난 몇 년 사이 기존 ID와 패스워드로 인증하는 방식에 더해 다른 인증 방법을 결합한 멀티팩터 인증(Multi-Factor Authentication, 다중단계 인증) 방식이 빠르게 도입됐다. ID와 패스워드에 더해 지문·홍채·얼굴·정맥 등 생체인식이나 모바일 일회용패스워드(OTP) 등의 인증 절차를 결합한 것이다.

멀티팩터 인증은 디지털 ID의 중요성이 높아지면서 자연스레 주목받게 됐다.

1단계 인증의 경우 한계가 명확하다. 대부분의 이용자가 다수의 사이트에서 유사한 ID와 패스워드를 사용하기 때문이다. 특정 사이트, 서버의 보안을 철저히 하더라도 생각지 못한 곳에서 ID와 패스워드가 유출될 수 있다. 해커는 알아낸 정상적인 ID와 패스워드를 입력해 접속하기에 보안체계를 무력화할 수 있다.

이에 많은 기업들이 멀티팩터 인증을 도입했다. ID와 패스워드를 입력한 뒤 지문·홍채·정맥·얼굴 등 생체인식이나 OTP를 통한 인증을 추가로 하는 방식이다. 특정 인증 방식이 아니더라도 스마트폰의 맥(MAC) 어드레스 방식을 활용하는 경우도 있다. ID, 패스워드를 통한 1단계 인증과 함께 스마트폰 맥 어드레스로 2단계 인증을 하는 방식이다.

이런 멀티팩터 인증을 쉽게 경험할 수 있는 분야는 금융권이다. 공인인증서로 로그인한 뒤 ‘보안카드’를 이용하는 것 역시 멀티팩터 인증이다. 최근에는 보안카드 자체를 디지털화하거나 이를 대체하는 생체인식을 활용하는 추세다. 온라인 쇼핑몰 등에서 결제에 사용하는 ‘간편결제’도 멀티팩터 인증을 기반으로 한다.

최근 멀티팩터 인증이 주목받는 보안 사고가 발생했다. 1월 초 발생한 ‘연예인 스마트폰 정보유출 사건’이다.

다수 연예인의 스마트폰에 저장돼 있는 정보를 습득한 해커가 이를 빌미로 금전을 요구한 해당 사건은 삼성에서 제공하는 ‘삼성 클라우드’의 아이디와 패스워드 유출로 인한 것으로 알려졌다. 다른 곳에서 ID와 비밀번호를 습득한 해커가 삼성 클라우드에 접속해 해당 스마트폰의 정보를 백업한 것. 당시 삼성 클라우드는 멀티팩터 인증을 도입했으나 이용자에게 적용 여부를 맡겼다. 사고 이후 삼성 클라우드는 이용자에게 멀티팩터 인증 기능을 활용하길 권고한 상태다.

이와 유사한 사고가 애플 아이폰에도 있었다. 2014년 할리우드 배우 제니퍼 로렌스의 ‘아이 클라우드’가 해킹돼 누드 사진이 유출되는 사고가 발생한 바 있다. 애플은 해당 사고 이후 보안성을 강화하기 위해 로그인 과정에서 멀티팩터 인증을 의무화했다.

멀티팩터 인증이 대두한 것은 어제오늘의 일이 아니다. 보안업계는 생체인증을 돕는 외장형 기기나 블록체인을 이용한 분산 ID(DID) 등 한 단계 더 나아간 상태다. 하지만 기술이 있더라도 이를 활용하지 않으면 의미가 없다. 전문가들은 “서비스 제공자와 이용자 양측의 사이버 보안 의식 강화가 필요하다”고 말한다.

보안업계 관계자는 “디지털 ID는 이용자 개개인이 관리해야 하는 것이라는 인식이 강했다. 좋은 기술이 있더라도 활용되지 않았던 것”이라며 “최근에는 분위기가 바뀌었다. 데이터 활용이 늘고 디지털 정보의 중요성이 커지면서 멀티팩터 인증 시장은 급격하게 성장하고 있다”고 전했다.

이어서 그는 “멀티팩터 인증을 도입하면 편의성을 크게 해치지 않는 수준에서 보안성을 높일 수 있다”며 “앞으로도 보안성과 편의성을 함께 겨냥한 기술이 많이 등장할 것으로 예상된다”고 밝혔다.

<이종현 기자>bell@ddaily.co.kr

이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널