정보자산의 보안강화를 위한 BaroPAM의 보안전략

개인 정보 보호 및 정보 유출의 피해를 최소화 하기 위해서는 정보자산의 주기적인 비밀번호 변경이 중요하다. 그러나 보안 전문가들은 정기적인 번호변경 못지 않게 비밀번호를 설정하고 관리하는 방법이 더욱 중요하다고 말한다. 개인정보 유출사고 피해를 입은 사람들 중에는 외우기 쉽거나 유추가 가능하도록 비밀번호를 설정하거나 또는 여러 정보자산에 대해 동일한 비밀번호를 사용하는 경우가 많았기 때문이다.

 

공공기관이나 기업 등 정보자산에 대하여 아주 철저하게 보호하고, 정보자산 접속 시에는 1차 로그인(ID/Password) 뿐만 아니라 2차 인증(일회용 인증키)을 적용하여 정보 유출 방지를 위해 여러 인증단계를 거치고 있다.

 

개인정보보호법의 '개인정보 안전성 확보조치 기준' 제5조 비밀번호 관리에 대한 해설서에도 마찬가지로 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 비밀번호를 구성하도록 명시하고 있다.

 

이처럼 서버에서 비밀번호 설정이나 변경 시 법령에 해당하는 규칙이 아니면 비밀번호를 사용할 수 없게 강제하고 있지만, 복잡한 비밀번호를 사용하다 보니 최근에는 비밀번호를 잘 기억하지 못해 혼란을 겪는 '비밀번호 증후군' 및 일정기간이 지나면 비밀번호 재설정에 대한 '비밀번호 리셋 증후군'이라는 말까지 생겨났다.

 

개인정보가 포함된 로그인 방식은 크게 4가지로 나누어지고 있습니다. IP 접속 제한, 공인인증서, 생체인식, 일회용 인증키 등이며, 이중 간편한 인증방식을 거치며 보안성 높은 안전한 인증 수단으로 "일회용 인증키" 방식이 적합하다.

 

IP 접속 제한 방식은 정보자산에 고정IP가 필요하기 때문에 유동IP를 사용한다며 접속 제한에 의미가 없으며, 공인인증서 방식은 솔루션 비용이 비싸며 공인인증서 인증 모듈의 불편함 때문에 사용하기가 힘들고, 공인인증서 의무화가 폐지되어 대체할 대안이 필요하며, 생체인식 방식은 솔루션 비용이 비싸며, 생체정보가 유출되는 순간 평생 사용할 수가 없다.

 

그에 비해서 일회용 인증키는 누구나 사용하기 쉽고, 시간과 장소의 제약을 받지 않으며, 인증매체를 따로 소지하고 다닐 필요 없이 모바일 앱을 다운받아 스마트 폰에서 일회용 인증키를 생성하기 때문에 간편한 인증방법인 동시에 강력한 보안 기능을 제공한다.

 

일회용 인증키는 단순한 랜덤값 생성이 아닌 해시값을 생성하여 HMAC를 구현하는 키지정 해시 알고리즘을 사용한다. 그러기 때문에 사용자 인증을 받기 위해서는 매번 새로운 인증키를 사용하여야 하며, 휘발성으로 1회에 한해서만 사용 가능하여 ID/PW 유출 되어도 안전하다.

 

한번 사용된 인증키는 재사용할 수 없으며 인증키 유추가 어려워 다양한 해킹 공격에도 강력한 보안성을 제공한다.

 

인증키는 인증서버 및 Hard 방식의 1st 인증키 (1세대 인증키)와 별도의 인증서버가 존재하지 않는 소프트웨어 방식(모듈인증 방식)의 2nd 인증키 (2세대 인증키)로 구분한다

 

Hard 방식의 1st 인증키는 인증 폭주 시 인증속도 저하 및 인증서버 장애 시 서비스 중단 발생하지만 별도의 인증서버가 존재하지 않는 소프트웨어 방식(모듈인증 방식)의 2nd 인증키는 인증 폭주 시 부하분산으로 응답속도 보장 받을 수 있으며, 인증서버가 존재하지 않기 때문에 장애에 대한 부분은 발생하지 않기 때문에 서비스를 보장 받을 수 있다.

 

 

모든 정보자산에 대한 2차 인증 정책은 선택이 아닌 반드시 필수로 적용되어야 할 보안 대비책으로 이로 인하여 보다 안전하게 정보자산을 보호할 수 있다.

 

 

따라서 정보자산을 안전하게 보호하기 위해서는 정보자산의 환경에 따라서 다른 보안전략이 필요하다.

 

 

비밀번호 하나로 인하여 관련 규정 및 관리에 공공기관이 기업들이 많은 투자를 하고 있는 게 사실이다. 비밀번호 대신에 단순하면서도 보안성이 뛰어난 일회용 인증키로 대체하는 기업들이 늘어 나고 있다.

 

이처럼 정보보안을 위하여 각종 정보자산에 대한 2차 인증은 반드시 필수로 적용되어야 할 보안 대비책이며, 이를 통하여 각종 정보자산에 대한 해킹 위협으로 부터 안전해질 것이다.

 

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

 

앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.