본문 바로가기
AhnLab Inside

안랩의 AOS, 무엇이 달라졌나?

by 보안세상 2020. 4. 1.

2012.07.12

 

안녕하세요. 안랩인입니다. 일반 기업 홈페이지는 물론 인터넷 뱅킹, 온라인 쇼핑 등 전자상거래 사이트 및 애플리케이션 이용 시 필수적으로 인증 과정을 거치게 됩니다. 이러한 인증 과정에서 사용되는 패스워드는 대부분 ‘정적 패스워드(Static Password)’입니다. 정적 패스워드란 고정된 패스워드로, ID(User name)와 비밀번호(Password)를 입력하는 방식이 이에 해당합니다.

[그림 1] ID와 비밀번호로 구성되는 정적 패스워드 입력 방식

정적 패스워드 및 주요 인증 기술의 한계

하지만 정적 패스워드는 ▲사용자의 개인정보(생년월일, 전화번호, 이름)를 이용한 추측 가능한 패스워드를 사용한다는 점 ▲사용자가 패스워드를 일일이 기억하고 있어야 한다는 불편함 때문에 동일한 패스워드를 여러 곳에서 사용한다는 점 ▲패스워드가 유출된 경우에도 금전적인 피해를 입기 전까지는 유출 여부를 확인하기 어렵다는 점 등의 약점 때문에 해커의 주요 공격 목표가 됩니다.

이러한 이유로 더욱 안전한 인증 기술이 요구되었고, 지금까지 [표 1]과 같은 여러 보안 기술이 개발되었습니다.

 

[표 1] 주요 인증 기술


그러나 이러한 주요 인증 기술에도 다음과 같이 단점과 한계가 존재합니다.

기업에서 SSL을 구축하려면 키 교환 과정을 고려해야 하기 때문에 기존 비즈니스 로직의 변경이 필요하며, 구동 시 부하 연산을 초래하게 됩니다. 또한 클라이언트 구간에 대한 추가적인 보안 조치가 필요합니다.

둘째, PKI는 인증 기관을 통해 사용자에게 인증서를 발급하기 때문에 PKI 업체(공개키 인프라)가 필요하고 설치와 유지관리에 많은 비용이 듭니다. 특히 금융권에서는 키보드 보안 제품과 PKI 제품을 연동하여 이른바 E2E(End to End) 보안을 제공합니다. 이는 보안성은 높지만 PKI 제품을 모든 사이트에 적용하기 힘들다는 단점이 있습니다. 

셋째, OTP 방식과 관련해 보안 업계에서는 표준 방식인 TOTP 방식(RFC6238)을 많이 사용하고 있으나, OTP 방식은 소프트웨어 또는 하드웨어 기반에 따라 보안성에 차이가 있습니다. 우선 소프트웨어 OTP 방식은 OTP를 생성하는 과정에서 사용하는 하드웨어 정보가 변조 가능하다는 문제점이 있습니다. 이에 반해 하드웨어 OTP 방식은 보안 전문가들 사이에서 가장 강력한 인증 수단의 하나로 인정받고 있습니다.

[IETF RFC6238] TOTP

(Time-based One-time Password Algorithm)
자동 검색 및 관리, 유휴 시간 동작, 암호 입력 최소화와 직관적인 현황판 제공 등의 기능은 실무자들을 번거롭게 하지 않으면서도 안전한 개인정보보호 시스템을 구축할 수 있게 해준다.


지금까지 정적 패스워드의 취약성과 이를 보완하기 위해 개발된 기술과 그 한계에 대해 살펴보았습니다. 그렇다면 정적 패스워드의 약점과 주요 인증 기술의 단점을 극복하고 안전하게 인증하는 방법은 없을까요?

AOS, 인텔 IPT로 기존 인증 기술의 한계를 넘다

최근 안랩 온라인 시큐리티(AhnLab Online Security, 이하 AOS)는 인텔의 IPT(Identity Protection Technology)와 결합, 더욱 강력한 인증 과정을 구현했습니다. IPT는 개인정보보호 기술로, RFC6238 표준을 준수하고 있습니다. 인텔은 별도의 칩셋이나 [그림 2]의 코어 프로세서(Core Processor)를 통해 IPT를 제공합니다. 일부 2세대 인텔 코어 및 코어 vPro 프로세서에 탑재되어 다양한 사이트에 불법적인 접속을 유도하는 피싱 공격을 방지합니다.

 

[그림 2] 인텔 IPT 지원 환경

IPT의 주요 기능은 크게 OTP 생성, 개인 키 저장, 화면 캡처 방지 기능 등 세 가지로 압축할 수 있습니다.
IPT의 가장 대표적인 기능은 바로 OTP 생성 기능입니다. IPT는 인텔 하드웨어 칩셋과 연동돼 일정 시간 마다 숫자 코드(One Time Password)를 생성합니다. 이렇게 생성된 숫자 코드는 일정 시간이 지나면 유효하지 않으며 같은 시간에 다른 단말기(데스크톱/노트북 등)에서 만들어지는 숫자 코드와도 구분됩니다. 이로써 강력한 기기 인증이 가능합니다. 예를 들어 해커가 사용자의 단말기를 해킹하여 사용자의 OTP 값을 추출했다 하더라도 해커는 자신의 단말기에서는 이 값을 사용할 수 없습니다. <Ahn>

* 더 자세한 내용은 안랩홈페이지를 참고하세요.