[컴퓨터월드] 1999년, 서명 기술 시장이 활성화되기 시작했다. 그동안 제품의 성능 부족과 사용 범위의 제한으로 기업들의 외면을 받다가, 기술이 발전하면서 기업들이 주목받기 시작한 것이다. 하나의 ID와 비밀번호를 사용해 e메일부터 기업용 애플리케이션까지 액세스할 수 있는 단일 서명 시스템이 등장하면서, 기업들은 사용 편의성 때문에 시스템을 도입하기 시작했다.

2019년, ID와 비밀번호의 문제점은 지속적으로 지적되고 있다. 유출시 큰 피해를 입을 수 있다는 것과 복잡해지는 비밀번호를 외워야한다는 불편함 등이다. 기업들은 이런 ID, 비밀번호의 단점을 보완하고자, OTP(One Time Password), 생체 인증 등 다중 인증(Multi-Factor Authentication)을 도입하고 있다. 한편으로는 비밀번호를 대체하기 위한 인증 프로토콜로 FIDO를 제시하고 있다.

단일 서명 시스템으로 편의성 향상

“개념은 훌륭하지만 제품은 형편없다.”

99년 이전까지 서명 기술을 가장 잘 나타내는 말이었다. 99년 이전의 서명 기술 시장은 하나의 ID와 비밀번호로 다양한 업무를 처리할 수 있다는 기업들의 약속은 난무했으나 공허한 메아리에 불과했다.

하지만 99년 접어들면서 서명 기술 시장이 다양한 IT 하부구조를 처리하고 직원들이 하나의 ID와 비밀번호로 e메일부터 기업용 애플리케이션에 이르는 모든 것을 액세스할 수 있도록 지원하는 단일 서명 시스템이 등장하면서 시장이 본격 형성되기 시작했다.

기업들은 단일 서명 시스템을 활용해 헬프데스크의 문의를 줄이고 로그인 절차를 단순화함으로써 작업자의 생산성을 증진시켰다. 더불어 관리자들이 백오피스 시스템과 애플리케이션에 대한 액세스를 중앙에서 통제함으로써 기업의 관리 역량도 향상시킬 수 있었다. 무엇보다 단일 서명 시스템이 복수 사용자의 로그인으로 인한 고질적인 보안 문제를 해결할 수 있다는 점에서 주목받았다.

클라이언트, 서버, 애플리케이션 수가 늘어날수록, 이에 액세스하는 데 필요한 사용자 ID와 비밀번호의 수도 비례적으로 늘어난다. 더불어 문자의 길이는 가변적이며, 각각 시스템과 애플리케이션마다 비밀번호 만료기간이 다르다. 이에 사용자들은 여러 가지 ID와 비밀번호를 기억하기 위해 메모를 해야 하는 상황이 발생했다. 그러나 이런 메모는 보안 침해사고로 이어지기 쉽다. 내부직원이 기업에 불만을 갖고 고의로 데이터를 손상시키거나 삭제할 수도 있기 때문이다. 이런 행동은 기업에 치명적인 피해를 유발할 수 있다.

당시 美 컴퓨터보안협회(Computer Seurity Institute)가 520개 조직을 대상으로 조사한 결과, 18개 조직이 내부 IT 보안 손상 때문에 5,050만 달러(2019년 1월 기준 약 566억 원)의 손실을 입었다고 응답했다. 응답기업의 44%는 권한 없는 직원의 액세스로 인해 손실을 입었다고 답했다.

물론 단일 서명 시스템이 모든 보안문제를 해결할 수 있는 만병통치약은 아니다. 당시 가트너는 어떤 기업이건 모든 사용자들을 대상으로 단일 서명 로그인 절차를 확보한다는 것은 불가능한데, 이는 기업의 IT 하부구조가 이기종으로 구성됐기 때문이라고 지적했다.

또한 단일 서명 시스템을 도입한다고 해서 편의성이 획기적으로 향상되는 것은 아니었다. 특히 IT 관리자 측면에서 시스템이나 애플리케이션이 네트워크에 추가될 때마다 스크립트와 구성 지도 파일을 작성해야 하며, 사용자가 추가되거나 줄어들었을 때도 수작업으로 단일 서명 시스템을 변경해야 했다. 예를 들어 어느날 아침 라우터를 재구성한다면, 약 12%의 사용자들은 시스템 일부에 접근할 수 없게 되고, 어떤 사용자이며 시스템인지 분간하지 못하게 되는 경우가 발생할 수 있다는 것이다.

제한적이었던 제품 선택범위

당시 단일 서명 시스템을 사용하거나 도입하려는 기업들은 제품 선택범위가 제한적이라는 점에 불만을 토로했다. 가디언생명보험(Guardian Life Insurance)의 경우, 95년 이후 30개 이상의 단일 서명 시스템 공급기업을 평가하는 작업을 진행했다. 이 때 약 50% 기업의 솔루션은 복수 플랫폼에서 작동하지 않았으며, 나머지 업체의 솔루션도 윈도우 NT, 노벨 네트웨어, IBM AIX, 썬 솔라리스, IBM 시스템/390 메인프레임 및 복수의 데이터베이스로 구성된 가디언생명보험의 혼합 환경을 지원하지 못했다.

당시 어네스트 리틀(Ernest Little) 가디언생명보험 정보보안과장은 “단일 서명 시스템 공급기업들 모두가 이것도, 저것도 할 수 있다며 못하는 것이 없는 것처럼 주장했지만, 직접 테스트해보니 1주일만에 시스템 일부가 마비되는 현상이 발생했다”고 설명했다.

가디언생명보험은 멤코소프트웨어(Memco Software)의 단일 서명 시스템 ‘프록시마(Proxima)’를 도입했다. ‘프록시마’는 가디언생명보험의 혼합환경을 지원할 수 있는 몇 안되는 제품으로 꼽혔다. 또한 멤코소프트웨어는 ‘프록시마’로부터 PC와 호스트를 연결할 수 있는 애플리케이션인 오픈 커넥트를 함께 제공했다.

당시 전문가들은 단일 서명 시스템 공급이 활발해지면, 연말에는 약 1만 명의 사용자가 이 시스템에 연결될 것으로 예상했다. 그러나 시장조사업체인 메타그룹은 규모가 크지 않은 단일 서명 구현 사례는 흔하지만, 2천 명 이상의 사용자를 대상으로 한 경우는 드물다고 지적했다.

2천 명 이상의 단일 서명 구현 사례로는 CNAM(Ca-isse Natioanle d’ Assurance Maladie)라는 프랑스 의료보험기업을 들 수 있었다. ‘그룹 불 ISM 액세스마스터(Groupe Bull ISM AccessMaster)’ 단일 서명 시스템은 CNAM의 약 43,000명 사용자를 지원했다. 이 시스템은 세계 최대로 알려졌으며, CNAM IT부는 2000년에 5만 명을 지원하는 것이 목표라고 설명했다. CNAM은 5천만 명 이상에게 의료보험 서비스를 제공하고 있었으며, 1,500개 이상의 대리점을 운영했다.

CNAM의 단일 서명 시스템 또한 광범위한 플랫폼과 애플리케이션을 지원했다. 불의 GCOS8과 IBM MVS 시스템을 포함한 15대의 메인프레임과 1,500대의 NT 서버, AIX. HP-UX, SCO 유닉스 등을 동작하는 300~400대의 서버가 모두 포함됐다. 이 시스템은 수많은 사용자들이 메인프레임과 서버에 흩어져 있는 e메일, 금융, 회계, 인사자원, 생산 및 기타 애플리케이션에 액세스할 수 있게 지원했다.

그러나 이 시스템도 운영하는 데 어려움이 있었다. CNAM의 수많은 애플리케이션은 대부분의 대규모 조직과 같이 바로 쓸 수 있게 준비돼 있지 않았으며, 애플리케이션 보안에 대한 전체적인 지침도 없었다.

장기적인 지원 계획 필요성 강조돼

불(Bull)의 단일 서명 시스템 계획에는 애플리케이션 보안 지침을 업그레이드하는 것도 포함됐다. 모든 애플리케이션은 액세스마스터가 지원하는 애플리케이션 프로그래밍 인터페이스 표준과 호환돼야 했다. 레거시 애플리케이션을 위해 CNAM은 액세스마스터의 액세스 명령어를 애플리케이션의 보안 액세스 명령어가 이해할 수 있도록 번역하는 프론트엔드 게이트웨이를 개발했다. 불은 또한 CNAM을 위한 맞춤 작업도 담당한다는 계약을 체결했다.

당시 전문가들은 업체들을 목록화해 검토하는 것이 단일 서명 시스템 작업의 관건이라고 강조했다. 제품들이 이전보다 업그레이드되는 것은 아니지만, 기업들이 제품을 구현하기 위한 방법에서 현명해지고 있다는 것이었다. 고객들에게 제품과 약간의 교육을 제공하면 그만이며, 고객이 나머지 프로젝트를 완성할 것이라는 인식은 전반적으로 실패했다는 평가를 받고 있었다.

가디언생명보험 또한 멤코 제품을 도입하면서 지원을 강조했다는 후문이었다. 가디언생명보험 측은 멤코를 선택하게 된 큰 요인이 지원 부분에 있었다고 설명했다. 대부분의 기업들이 제품을 팔고 나면 지원은 나몰라하는 것을 관행처럼 여기고 있는 상황에서 멤코는 달랐다는 것이다.

오브젝트 인터셉터로 메커니즘 변화

당시 단일 서명 시스템은 최종사용자와 목적 애플리케이션 혹은 시스템을 연결시킬 다리를 구축하기 위해 다양한 메커니즘을 사용했다. 특히 레거시 시스템을 위해서는 보통 시스템의 로그인 및 인증절차와 직접 통신하는 스크립팅 인터페이스를 사용했다. 하지만 이런 스크립트를 작성하는 데는 많은 시간이 소요되고, 애플리케이션의 변경이 생기면 스크립트 또한 변경돼야 하는 경우가 많았다.

99년에는 단일 서명 시스템에 개체 가로채기(Object Interceptor)라 불리는 시스템이 사용되기 시작했다. 이 시스템에서 겨냥 시스템이 사용자의 ID와 비밀번호를 일련의 사용자 인터페이스 컴포넌트를 통해 요청, 표시했다. 이 단일 서명 시스템은 데이터를 사용자 ID 및 비밀번호와 연계해 객체 인식기에 저장했으며, 이 객체 인식기가 로그인을 시도하는 사용자에 의해 호출돼 인증을 진행했다. 이를 통해 IT 담당부서는 단일 서명 시스템을 백엔드 시스템 및 애플리케이션과 연계하기 위해 많은 일을 처리해야할 필요가 없게 됐다.

한편으론 챌린지 핸드쉐이크 인증 프로토콜(Challenge Handshake Authentication Protocol)과 같은 표준 인증 방식 및 기타 방법을 추가하면 시스템간의 상호작용성이 높아졌다. 또한 당시 기업들은 단일 서명 시스템에 LDAP(Lightweigt Directory Access Protocol)을 토대로 한 디렉토리 지원을 추가하고 있었다. 이 지원을 통해 단일 서명 시스템은 관리자기 리포지토리에 적절한 사용자 정보를 넣지 않더라도 LDAP 기반의 디렉토리에 저장돼 있는 정보를 호출할 수 있게 됐다.

보안 관리 및 액세스 제어에 관심 증가

98년 ‘글로벌 사인온(Global Sign-On)’ 제품을 발표한 IBM은 99년 주요 업그레이드를 진행할 예정이었다. 차기 버전에서는 지문 판독기나 기타 생체적 메커니즘 뿐만 아니라 스마트 카드 등 대체 인증방법을 지원할 계획이었다. IBM은 이외에도 SAP와 기타 엔터프라이즈 애플리케이션도 지원할 방침이었다.

98년 유명한 단일 서명 시스템으로는 플래티넘 테크놀로지의 ‘오토시큐어(AutoSecure)’, CA의 ‘유니센터 SSO’를 들 수 있었다. 이외에도 불, 패스고 테크놀로지, 유니시스, 시큐리티 다이내믹스 등이 단일 서명 시스템을 공급했다.

그러나 당시 기업들은 단일 서명 보다는 보안 관리나 액세스 제어에 더욱 많은 관심을 보였다. 패스고 테크놀로지스의 경우 83년 설랩돼 ‘마이넷’이라는 단일 서명 제품을 유럽에서 공급했지만 99년부터 비밀번호 동기화, 보안 및 정보 액세스 등을 포괄하는 시스템을 공급하기 위해 변신을 꾀하고 있었다.

기타 업체들 또한 자사의 단일 서명 소프트웨어를 대형 제품 스위트의 일부로 마케팅하고 있었다. 대표적인 예로 불은 자사의 단일 서명 툴을 액세스마스터 보안 스위트의 일부로 판매하고 있었으며, 이 스위트는 ISM 시스템 관리 플랫폼에 통합돼 있었다.

단일 서명 시스템을 성공적으로 구현한 기업들은 비용절감과 생산성 향상을 감안할 경우 투자에 따른 효과가 매우 크다고 주장했다. 포레스터 리서치는 헬프데스크 호출의 80%가 비밀번호와 관련된 것이라고 발표하기도 했다. 단일 서명 시스템을 통해 기업들은 헬프데스크를 약 40% 정도 줄일 수 있었기 때문에 포레스터 리서치는 사용자가 2만 명 정도의 기업이 사용할 경우 약 440만 달러를 절감할 수 있다고 분석했다.

‘Bye Password, Hello FIDO’

20년 전 단일 ID와 비밀번호를 통해 e메일, 애플리케이션에 로그인하는 단일 서명 시스템이 도입되기 시작했다면, 2019년에는 비밀번호를 대체하기 위한 FIDO(Fast Identity Online)가 주목받고 있다. 특히 웹 표준 지정이 확실시 되는 FIDO2가 본격 보급되면서 기업 환경에서의 활용도 기대되고 있다.

FIDO는 ‘Bye Password, Hello FIDO’라는 슬로건에서 볼 수 있듯이, ID, 비밀번호 조합 대신 지문, 홍채, 안면, 목소리, 정맥 등 생체인식 및 OTP와 같은 다양한 인증 방법을 지원하는 인증 시스템이다.

기존 비밀번호 기반 인증은 시간이 지나면 비밀번호를 잊기 쉬운데다가 모바일 기기에서 복잡한 비밀번호 입력이 쉽지 않아 피로도가 높다는 단점이 있다. 이를 보완하기 위해 제시된 생체인증체계는 생체정보 전송의 위험과 서버에 저장된 생체정보가 해킹될 가능성이 있어 신뢰도가 낮은 편이었다. 이를 극복하기 위해 제안된 사용자 중심 인증 프레임워크가 FIDO다.

FIDO는 다양한 생체인증 수단을 활용한 인증정보를 서버가 아닌 사용자 개인 소유의 디바이스에 저장한다. FIDO의 핵심아이디어는 인증 기법과 인증정보를 주고받기 위한 프로토콜을 분리하는 것이다. 이 둘을 분리함으로써 생체정보 전송의 위험과 저장된 생체정보에 대한 해킹 가능성을 원천 차단한다.

FIDO는 2014년 12월 국제 협의체 FIDO 얼라이언스에 의해 표준이 제정됐다. FIDO 얼라이언스는 생체인증체계의 생체정보 전송 위험과 서버에 저장된 생체정보 해킹 가능성 등의 단점을 극복하고 편의성과 보안성을 갖춘 새로운 인증방식을 만들기 위해 삼성전자, 구글, 마이크로소프트 등 200여 개 글로벌 기업이 만든 연합체로, 2012년 인피니언, 레노버, 페이팔, 밸리디티 등이 합작해 설립했으며 이후 구글, 삼성전자, BC카드 등이 회원으로 참여하면서 세력을 넓혔다.

FIDO 얼라이언스는 FIDO 표준을 통해 크게 2가지 프로토콜을 지정했다. 첫 번째는 UAF(Universal Authentication Framework) 프로토콜로, 사용자 기기에서 제공하는 인증방법을 온라인 서비스와 연동해 인증하는 기술이다. 두 번째는 U2F(Universal 2nd Factor) 프로토콜로, 기존 아이디와 비밀번호 기반 온라인 서비스에서 추가로 인증을 받고자 할 때, 추가할 수 있는 프로토콜이다.

FIDO2, 기업용 애플리케이션에서도 활용 기대

FIDO 1.0이 스마트폰 등 모바일 디바이스 중심의 생체인증으로 보급됐다면, FIDO2는 웹표준으로 추진됨에 따라 엔터프라이즈 애플리케이션 등 다양한 분야에서 활용될 것으로 기대되고 있다. FIDO2는 월드와이드웹컨소시엄(W3C)과 협업을 통해 표준화를 진행하고 있다.

FIDO2과 FIDO 1.0의 차이는 클라이언트 유무에 있다. FIDO 1.0은 FIDO 클라이언트에서 인증장치를 연동해 인증절차를 진행한다면, FIDO2는 별도의 클라이언트 없이 웹브라우저에서 바로 인증장치를 연동할 수 있다. FIDO2는 웹브라우저 상에서 인증을 구현하기 위해 인증 API가 추가됐다. 웹 인증 API는 웹 앱에서 웹브라우저의 FIDO 기능을 호출하기 위해 사용되는 자바스크립트 API로, 인증장치를 FIDO 서버에 등록 및 인증하기 위한 기능을 제공한다.

또한 인증장치로 외부 인증장치를 활용할 수 있는 CTAP(Client-To-Authenticator Protocol)을 지원한다. CTAP은 외부 인증장치를 위한 플랫폼 독립적인 범용 API 및 프로토콜을 정의한 것으로, 이를 활용하면 USB, NFC, 블루투스 등으로 외부 장치를 연결해 인증이 가능해진다. 예를 들어 스마트폰의 인증장치로 USB, NFC, 블루투스 등을 연결해 PC 등 다른 디바이스에서 인증이 가능한 것이다.

FIDO2가 본격적으로 적용되기 시작하면 활용범위가 크게 늘어날 것으로 예상된다. FIDO2는 웹브라우저 등 다양한 플랫폼에서 활용할 수 있다. 특히 현재 사용되고 있는 공인인증서를 대체할 수도 있어, 정부의 ‘노 액티브X, 노 플러그인’ 정책의 대안으로도 주목받고 있다.

이외에 기업에서 애플리케이션이나 시스템 접근 시 인증 절차로도 활용할 수 있다. 최근 노트북에 적용되고 있는 ‘윈도우 헬로’ 등 생체인식 기능이 기업환경에도 보급되면서 PC를 작동시키면서부터 생체인식을 통한 인증 절차를 진행할 수 있고, 그룹웨어를 사용하거나 사내망에 접근할 때도 FIDO2를 통한 생체인식 등이 활용될 것으로 예상된다.

사용자 편의성 높이기 위해 발전한 서명·인증 시스템

서명·인증 시스템은 사용자를 구분해 보안성을 높이면서도 사용자 편의성을 높이기 위해 발전해왔다. 99년에는 하나의 ID, 비밀번호 조합으로 e메일, 시스템, 엔터프라이즈 애플리케이션 등에 접근할 수 있도록 지원하는 단일 서명 시스템이 주목받기 시작했으며, 최근에는 비밀번호의 불편함마저 해결할 수 있는 FIDO가 각광받고 있다.

또한 FIDO2 표준이 지정되면서 스마트폰 등 모바일 디바이스를 넘어 시스템, 엔터프라이즈 애플리케이션 등 FIDO 적용 영역이 확장되고 있다. FIDO가 적용되면 인증, 서명에 있어 큰 변화가 있을 것으로 예상된다. 보안을 이유로 대·소문자, 특수문자, 숫자 등을 포함한 10자리 이상의 비밀번호를 기억하지 않고, 생체인식, OTP 등 다양한 기술을 통해 인증 및 서명을 진행할 수 있을 것이다.

더불어 안면 인식 등 인식 기술이 발전하면, 무자각 인증의 단계로 나아갈 것으로 전망된다. 현재 모든 서명·인증 방식은 사용자가 ID, 비밀번호를 입력하거나 지문 인식기에 손을 가져다대고, 카메라를 쳐다보는 등 인증을 위한 행위가 필요하다. 하지만 안면 인식 등의 기술이 발전한다면, 사용자가 자각하기 전에 디바이스가 알아서 사용자를 인식해 인증 및 서명이 가능할 것으로 보인다.

인증 및 서명 기술은 우리 삶에 밀접하게 다가와 있다. 이 기술은 밀접하게 다가온 만큼 편의성을 높이기 위해 발전해왔다. 99년에는 하나의 ID. 비밀번호만 기억하면 되는 단계였다면, 이제는 비밀번호 자체를 기억하지 않아도 되는 단계까지 왔다. 앞으로는 인증 요청만 한다면, 인증 절차를 의식하지 않아도 되는 단계까지 갈 것으로 전망된다. 앞으로의 인증 및 서명 기술의 발전이 기대되는 대목이다.