보안강화를 위한 2차 인증 솔루션의 도입의 필요성 및 기대 효과

1. 개요
 
□ 도입의 필요성
 
○ 정보자산의 불법적인 접근을 제한하여 2차 인증으로 보안을 강화할 필요(추세)
   * OTP(One Time Password) : 일회용 비밀번호
 
○ 기존 ID와 비밀번호는 사용자의 지식인증 방식으로 예측 가능하고 유출 가능성 큼
 
○ 개인정보보호법 “개인정보의 안전성 확보 조치 기준” 제6조(접근통제) 의 안전한 접속수단을 적용하거나 안전한 인증수단을 적용 대응
 
○ 금융감독원 전자금융감독규정 제14조 9항(정보시스템의 운영체제 계정으로 로그인(Log in)할 경우 계정 및 비밀번호 이외에 별도의 추가인증 절차 의무화 시행
 
○ 재택근무 관련 금융감독원의 전자금융감독규정 시행세칙을 보면, 제2조의2 제1, 2항 개정안(<별표 7> 망분리 대체 정보보호 통제)
   -원격접속에 대한 인증은 이중 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단
   -인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합
 

□ 기대 효과 

○ IT Compliance 및 관련 법규 준수에 대한 대응 기반 마련

○ 스마트워크, 망 분리 사업 등에서 추가인증 수단으로 사용.

○ 내외부적 정보보안 체계를 높은 수준으로 강화

○ 계정정보 유출 등의 보안 사고 시에도 2차 인증을 통한 방어가 가능.

○ 비밀번호를 주기적으로 바꾸지 않아도 안전한 관리가 가능.

○ 정보자산에 접속/로그인 시 일회용 비밀번호 사용으로 아이디/비밀번호 유출에도 안전

○ 일회용 비밀번호는 재사용할 수 없어 해킹 공격에 강력한 보안성 제공

○ 내.외부 인력의 허가 받지 않은 정보자산의 접속을 제한하여 중요 정보 유출 차단

○ 악의적인 목적으로 만들어진 프로그램인 악성코드에 의한 불법적인 우회접속 및 원격접속을 차단
 

2. 주요 기능 및 특장점 

□ 주요 기능
 
○ 각 정보자산별 OTP인증 방식 (별도 추가 인증서버 불필요)

○ 전세계적으로 인정된 표준 해쉬 함수(HMAC-SHA512) 사용 및 인터넷 보안 표준인 IETF RFC 6238 준수

○ OTP인증은 시간동기방식으로 제공 (이벤트 및 질의응답 방식 불가)

○ 빈번하게 발생하는 통신 장애 또는 보안 지역에서도 인증 가능

○ OTP 코드 입력 방식 이외의 다양한 간편 인증 방식 제공 (모바일, 응급 일회용 인증키 입력, Web OTP 등)

○ 정보자산별 (윈도우계열, 리눅스, 유닉스 등)로 정적 HMAC Key 및 OTP 생성주기(3~60초)를 개별로 부여 할 수 있는 기능 제공

○ 2차 인증을 허용 / 제외할 수 있는 계정에 대한 ACL 기능 제공

○ 정보자산 접속 시 시간 및 회수를 제한하는 기능 제공

○ 환경 설정 파일의 내용을 암호화할 수 있는 기능 제공

○ 중간자 공격(Man-in-the-middle attack)에 대비하는 기능 제공

○ Application 자동 로그인과 Windows의 자동 로그인/화면 보호기 화면의 잠금을 방지/해제하는 기능 제공

○ 발급된 OTP 인증매체를 이용 불가 시, OTP 인증이 가능하도록 대체 방안 제공 (응급 일회용 인증키, Web OTP 등)

○ 모바일 OTP는 Android 및 iOS를 지원. 

○ iOS는 자체적으로 본인 확인 할 수 있는 기능 제공

○ 모바일 분실 시 타인이 설정된 OTP 정보의 유출을 대비한 모바일 OTP의 Lock On/Off 기능 제공

○ 모바일 OTP 이외의 다양한 OTP 인증매체를 적용할 수 있도록 기능을 제공 (OTP 토큰, OTP 카드, 지문인식 OTP카드 등)

○ 현재 운영 중인 시스템과 완벽한 호환성 보장


□ 특장점 

○ 별도의 추가적인 인증서버가 필요 없어 비용절감 및 보다 높은 보안성 제공 (인증서버 해킹 방지)

○ 빈번하게 발생하는 통신 장애 또는 보안 지역에서도 인증이 가능하여 서비스 중단 사고 방지

○ BaroPAM 앱 터치 한번으로 정보자산의 보안은 강화하고 사용자의 불편함을 최소화

○ 사용자 소지기반의 모바일 OTP 제공으로 손쉬운 사용, 영구 사용, 안전한 보안 기능 2차 인증이 필요한 OS, Language, Application, Database, Network 장비, ARM system 등의 다양한 개발 및 운영환경을 지원(손쉽게 적용)

○ 국가, 공공기관에서 도입하는 정보보호제품의 보안적합성과 안정성을 사전 검증하는 국정원 보안 적합성 검증절차를 통과하여 안정성과 신뢰성을 검증 받은 제품.


3. 참고 자료 

□ 시스템 구성도

 

사용자가 일회용 인증키를 생성하는 장치, 일회용 인증키를 적용하는 정보자산, 일회용 인증키를 검증하는 모듈, 앱과 Bluetooth/애플리케이션간 통신하는 BaroBLE로 구성되어 있음.

 

□ 지원환경 

누구나 손쉽게 적용할 수 있는 다중인증이 필요한 OS, Language, Application, Database, Network 장비, ARM system 등의 다양한 개발 및 운영환경을 지원함.

 

 

□ 적용방안 

모든 정보자산 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 대체 또는 추가 인증(2차 인증)할 수 있는 새로운 적용 방안(추가 인증, 비밀번호 대체, 새로운 비밀번호)이 필요함.

 

 

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
 
결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.
 

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

 

앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.