주식회사 누리아이티

정보자산의 보안강화를 위한 2차인증 보안SW 및 지문인식 OTP/출입/보안카드 전문기업

▶ BaroSolution/기술문서

정보자산의 보안강화를 위한 다중인증

누리아이티 2018. 5. 11. 14:00

강력한 보안을 위해서는 2,3 단계의 과정을 더 거치게 되기 때문에 번거롭고 복잡하다는 생각을 할 수도 있다. 그러나 이러한 보안과정이 해킹이나 정보 유출로부터 자신의 정보를 안전하게 지켜줄 수 있다. 그래서 "최신 기술"들은 복잡하고 번거로운 과정을 조금 더 간단하고 쉬우면서도 안전하게 개인의 정보를 지킬 수 있도록 하기 위한 방법으로 발전하고 있다.

 

개인 정보 보호 및 정보 유출의 피해를 최소화 하기 위해서는 정보자산의 주기적인 비밀번호 변경이 중요한다. 그러나 보안 전문가들은 정기적인 번호변경 못지 않게 비밀번호를 설정하고 관리하는 방법이 더욱 중요하다고 말한다. 개인정보 유출사고 피해를 입은 사람들 중에는 외우기 쉽거나 유추가 가능하도록 비밀번호를 설정하거나 또는 여러 정보자산에 대해 동일한 비밀번호를 사용하는 경우가 많았기 때문이다.

 

[그림1-비밀번호 사용 현실 및 그로 인해 발생할 수 있는 사고]

 

정보자산에서 비밀번호 설정이나 변경 시 법령에 해당하는 규칙이 아니면 비밀번호를 사용할 수 없게 강제하고 있지만, 복잡한 비밀번호를 사용하다 보니 최근에는 패스워드를 잘 기억하지 못해 혼란을 겪는패스워드 증후군이라는 말까지 생겨났다.

 

최근 수년간 금융사 내부 망에 위치한 서버의 고객 금융정보 유출사고가 빈번하게 발생하자 금융감독원이 그에 대한 보안 대책을 제시하고 나섰다. 네트워크, 개인 업무용 컴퓨터의 보안을 강화시켜도 서버에 접근 권한을 부여 받은 관리자, 개발자, 외부 인력에 의해 대량의 개인정보가 유출되는 사고들이 발생하자 늦었지만 서버에 대한 보안의 중요성을 깨달았기 때문이다.

 

정보자산의 2차 인증은 외부 및 내부 인력의 무분별한 서버 직접 접속을 제한하고 실제 접속자가 누구인지를 인증하기 위해서 취해졌다. 이렇게 함으로써 보안사고 발생 시 감사 추적을 용이하게 하고 사고 발생 시점에 서버에 접속한 사용자(개발자, 운영자, 외부 인력 등)를 식별 함으로써 개인정보 및 중요 정보의 유출 피해를 줄일 수 있다.

 

정보자산 중 하드웨어나 네트워크 운영체제의 계정 접속에 대한 2차 인증 구현을 위해서는 운영체제의 기능만으로는 불가능하다. 이는 운영체제의 인증과정이 추가적인 인증모듈을 강제로 삽입하여 구현하여야 하는데, 이는 운영체제에 대한 깊은 이해가 있어야 가능한 기술이다.

 

그러나, Mac/Linux/Unix의 경우 운영체제에서 “PAM(Pluggable Authentication Module)”이라는 2차 인증을 적용할 수 있는 모듈을 제공하며, Windows/NT-Server의 경우 “GINA/CP”라는 추가 인증을 적용할 수 있는 모듈을 제공하고 있다.  

 

[그림3-정보자산에 대한 2차 인증 구성도]

 

그 동안 네트워크에 연결되어 있는 서버의 2차 인증 "금융감독원 전자금융감독규정"에 의하여 그나마 금융기관은 진행되어 왔으나, 서버 이외의 네트워크 장비, 스토리지 같은 폐쇄적인 운영체제를 사용하는 정보자산은 제공업체의 말만 믿고, 계정 관리는 서버에 밀려서 관리의 사각지대에 놓여 있다.

 

조사 결과 폐쇄적인 운영체제를 사용하는 정보자산은 대부분 공개 소스 기반의 임베디드 리눅스(Embedded Linux)를 기본으로 하며, 임베디드 리눅스 환경하에서는 정보자산의 제어 및 관리가 하나의 시스템 S/W로 운영되고 있는 것이 확인 되었다. 

 

폐쇄적인 운영체제를 사용하는 정보자산에 대해서 전문적 지식이 부족한 정책 입안자들의 입장에서는 그나마 쉽게 접근할 수 있는 서버의 보안을 우선 시 할 수 밖에 없었을 것이고, 정보자산에 접속하는 운영자 입장에서는 스스로의 발목을 잡는 보안 이슈는 쉽게 제기할 수 없었을 것이다.

 

하지만 정보자산이 해커에게 노출될 경우 이와 연결된 정보자산에 미칠 영향은 그 동안 발생한 서버 해킹보다 상상할 수 없이 큰 피해를 발생시킬 수 있다. 그러므로 정보자산의 보안에 대한 중요성을 자각하는 데서 그치지 않고 보안강화를 위한 조치가 신속하게 취해져야 한다.

 

최근 들어, 금융권에서 네트워크 장비에 대한 보안의 중요성을 인지하고 이에 대비하기 위하여 스스로 네트워크 장비에 2차 인증을 도입하여 시행하는 업체가 늘어나고 있다.

 

이는 업체들이 내부적으로는 정보자산의 계정도용 방지, 정보자산 보호, 해킹 및 정보유출을 방지하고 이용자들에게는 비밀번호를 주기적으로 변경하고 기억해야 하는 불편함을 해소시키고, 대외적으로는 업체의 신뢰도를 높이기 위한 것이다.

 

정보보안을 위하여 각종 정보자산에 대한 2차 인증은 반드시 필수로 적용되어야 할 보안 대비책이며, 이를 통하여 각종 정보자산에 대한 해킹 위협으로 부터 안전해질 것이다.

 

참고로 일반 사용자(고객)는 현재 금융결제용으로 발급 받은 OTP 토큰, OTP 카드를 그대로 사용할 수 있도록 인증키 검증 부분에 검증 알고리즘을 사용할 수 있도록 하며, 내부 사용자(직원)에게는 별도로 발급한 인증키 생성기를 발급 받아서 사용한다.

 

 

특히, 지문인식 인증카드는 보안이 한층 더 강화된 것으로 USB로 충전이 가능한 방식으로 지문을 인증 서버에 별도로 관리하는 것이 아니라 인증키 관리자가 사용자의 지문을 지문인식 인증카드에 등록하는 프로그램으로 개별적으로 지문인식 인증카드에 등록한 후 발급한다.

 

발급 받은 지문인식 카드를 사용할 때는 먼저 지문인식 카드에 사용자의 지문을 인증 받으면 그때 인증키가 표시되는 방식이다.

 

-유도전류를 이용한 무충전 방식의 지문카드

 

-충전방식의 지문인식 OTP카드