주식회사 누리아이티

정보자산의 보안강화를 위한 다계층 인증SW (BaroPAM) 전문기업.

▶ BaroSolution/기술문서

보안 강화를 위한 개방형OS인 하모니카OS에 다중인증 솔루션인 BaroPAM 연동

누리아이티 2019. 6. 15. 15:38

한글을 사용하는 우리나라의 특성상 컴퓨터 운영체제의 한국어 사용자를 위한 지원은 매우 중요한 문제라 할 수 있다. 기존의 리눅스 운영체제에서도 한국어 지원을 지속적으로 하고 있으나, 리눅스 운영체제의 개발 기업들 또한 해외 기업들이 대다수다.

 

이러한 환경 속에서 국내 리눅스 운영체제의 대중적인 보급을 높이고자 리눅스 OS를 국내 상황에 적용할 수 있는 리눅스OS 빌드 체계 및 한글화 개선을 지속적으로 수행 가능한 "오프소스 한글화 지원 체계" 및 리눅스OS의 국내 보급 확대를 위한 기반을 마련하고자 2014년 한국정보통신산업진흥원(NIPA)에서 관련 프로젝트가 진행되었다.

 

이 프로젝트 진행 중 한글화 서비스 및 개발 빌드 체계 테스트를 위해 사용성이 높은 "리눅스 민트(Mint)" 버전을 활용하게 되었으며, 이를 개선하여 발표한 리눅스 운영체제가 하모니카OS다.

 

2020년까지 공공기관 데스크톱 PC의 대다수를 독자 운영 체제로 전환하기 위해 추진됐다. 2016년 시점에는 국가에서 하는 프로젝트 연속성은 없어졌고 하모니카 커뮤니티(https://hamonikr.org) 참여자들 중심으로 자발적으로 수정, 배포 활동을 하고 있다. 자바, 플래시 웹 플러그인이 포함돼 있어 설치가 쉬운 리눅스 민트 17 마테 버전을 기반으로 개발된 리눅스 민트의 배포판이다. 하모니카는 한글화 서비스, 사용자 인터페이스, 사용자 경험 등을 중점적으로 개선하여 별도의 한글 설정 없이 바로 설치해 사용할 수 있다는 장점이 있다. 또한 하모니카는 오픈 소스이며, 개방형 운영 체제임을 중시하고 있다.

 

또한, 처음 하모니카 베타 버전이 나왔을 때 우리은행 인터넷 뱅킹이 불가능했으나 하모니카 커뮤니티 참여자가 문제를 해결했고 이에 대한 성공사례를 공유하기도 했으며, 공식 홈페이지에서 100% 한글화를 위해 리눅스 민트의 원본 문장을 올려 누구나 번역할 수 있게 만들었다.

 

하모니카(HamoniKR)의 운영 목적을 요약하면 다음과 같다.

 

☞ 컴퓨터 운영체제의 특정 벤더에 의한 기술 종속성 탈피

☞ 처음 사용자들도 쉽고 편리하게 사용할 수 있는 한국어에 특화된 리눅스OS 보급

☞ 한국어 사용의 편의성과 지속적인 한글 지원 체계 마련

☞ 오픈소스 SW개발자와 사용자들의 커뮤니티 활성화

 

마이크로소프트 윈도우 운영 체제를 대체할 국산OS인 하모니카OS에 접근제어 2차 인증 솔루션인 BaroPAM을 적용한 인증 테스트가 완료 되었다.

 

1. BaroPAM 설치 및 환경 설정

 

"정보자산에 대한 접근제어 2차 인증을 위한 BaroPAM 가이드(Linux)" 참조(http://www.nurit.co.kr)

 

2. 하모니카OS 로그인 화면에 일회용 인증키 입력

 

 

"Verification code"란에 지문인식 인증카드나 스마트폰(BaroPAM 앱)에서 생성한 일회용 인증키를 입력한 후 Enter 버튼을 친다. 그러면 다음과 같이 "비밀번호"를 입력하는 화면이 나타난다.

 

3. 비밀번호 입력

 

 

"비밀번호"란에 사용자에 대한 비밀번호를 입력 한 후 Enter 버튼을 친다. 그러면 다음과 같이 하모니카OS의 메인 화면이 나타난다.

 

참고로 자동로그인인 경우 비밀번호를 입력하는 화면은 나타나지 않고, 곧바로 "4.하모니카OS의 메인 화면"으로 넘어 간다.

 

4. 하모니카OS의 메인 화면

 


 

누구나 손쉽게 적용할 수 있는 플러그인 가능한 인증모듈 방식(PAM, Pluggable Authentication Module)의 2차 인증 방식으로 별도의 인증서버가 필요 없고, 통신하지 않고, 별도의 인증서버도 필요 없고, 누구나 휴대하고 있는 스마트폰을 인증키 생성 매체에서 본인이 생성한 일회용 인증키를 본인이 직접 입력하는 방식인 BaroPAM 솔루션은 사이버 범죄에 악용되지 않는다.
 

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
 
결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.
 

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

 

앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.