보안과 편리함을 모두 갖춘 기술이 존재할 수 있을까? 인증 솔루션 기업 지코드이노베이션의 임용훈 대표는 "가능하다"고 단언한다.
임 대표는 "우리가 개발한 기술은 보안이 취약한 키보드를 사용하지 않고 아이콘 대시보드를 사용해 강력한 보안을 제공합니다. 그럼에도 사용자는 특수문자를 섞은 복잡한 비밀번호가 아닌, 그저 아이콘 4개만 누르면 되는 간편한 기술입니다"라고 밝혔다.
지코드이노베이션은 최근 '패스콘(PASSCON)' 인증기술을 적용한 비밀번호 관리 앱 ‘아이돌(IDall)’을 출시했다. '패스콘'에 대해 임 대표는 "진정한 멀티팩터(Multi-Factor) 인증을 원 프로세스(One-Process)에서 처리하는 세계 유일의 기술”이라고 강조했다.
'아이돌'은 구글, 네이버, 다음 등 이용하는 웹사이트의 아이디와 패스워드를 하나의 앱, 즉 아이돌 계정에 등록해 매번 아이디와 패스워드를 입력하지 않고 아이돌 앱을 통해 자동으로 로그인해 이용할 수 있게 하는 앱 서비스다.
아이돌 앱에 한 번만 로그인하면, 앱 안에 담아놓은 웹사이트에 따로 로그인하지 않고 이용할 수 있는 것이다. 지코드이노베이션은 아이돌 앱 로그인 단계에서 ‘패스콘’ 인증 기술을 적용했다.
임 대표는 “보안 문제 때문에 BYOD(Bring Your Own Device) 환경이 확산되지 못하고 있는데, 그 문제 중 하나가 비밀번호”라며 “패스콘은 비밀번호의 위험에서 벗어나 개인 기기로 업무를 봐도 안전하며, 원 아이디(One ID)로 모든 서비스를 이용할 수 있게 하는 환경으로 가는 데 있어 아주 유용하다”고 인증 기술을 소개했다.
패스콘은 흔히 쓰는 키보드에 비밀번호를 입력해 본인을 인증받는 방법이 아닌 ‘아이콘 대시보드’라고 하는 일종의 가상 키보드를 통해 아이콘을 입력해 본인을 인증받는다.
임 대표는 “가상 키보드라는 말을 쓰지 않고 대시보드라고 표현하는 이유는 보이는 값과 입력되는 값이 다르기 때문”이라며 “은행에서 쓰는 가상 키보드와 유사해 보일 수 있지만, 아이콘 대시보드는 A와 B가 똑같이 ‘5’라는 값을 눌러도 개인마다 해당 값 ‘5’에 매칭되는 문자가 달라 개인화된 입력값으로 뒷단에 전달된다”고 가상 키보드와 대시보드의 차이점을 설명했다.
대시보드에는 0부터 9까지 10개 숫자와 10개의 그림으로 총 20개의 아이콘이 있다. 이 중 4개를 조합해 입력한다. 아이콘 대시보드에 있는 20개 아이콘에서 4개의 아이콘 키를 선택하는 경우의 수는 16만 가지다. 우리가 주로 쓰는 숫자, 영어 대소문자, 특수문자 등을 포함한 비밀번호 8자리의 조합 수에 비하면 훨씬 적은 경우의 수다.
조합할 수 있는 경우의 수가 적으면 보안이 더 떨어지는 것 아닐까. 그는 “조합 수는 적지만 오히려 아이콘 대시보드가 보안이 더 강력하다”고 설명했다. 대다수의 계정 해킹이 이뤄지는 키보드 기반 인증에서 탈피했기 때문이다.
현재 주로 사용하는 비밀번호는 키보드를 통해 입력한다. 그는 “사용자 계정을 해킹하는 사례 중 대다수가 비밀번호 해킹을 통해 이뤄진다”며 “우리가 주로 사용하는 키보드를 이용한 비밀번호 인증은 무작위 대입 공격(Brute Force Attack)이나 SQL 인젝션 공격을 막지 못하는 태생적 한계를 갖고 있어 보안에 취약하다”고 설명했다.
이어 “비밀번호 8자리를 16자리로 늘리면 해킹이 어려울 수 있지만, 사람이 기억하긴 어렵다”며 키보드 기반 인증 방식의 취약점을 설명했다.
또 “아이콘 키 네 자리는 서버와 디바이스, 어디에도 저장되지 않는 영지식증명(ZKP·Zero Knowledge Proof)을 사용해 서버가 해킹돼도 사용자의 아이콘 키를 알 수 없다”고 강조했다.
아이콘 대시보드는 스토리도 넣을 수 있다. 대시보드에 있는 그림 아이콘 10개는 모두 스포츠를 테마로 한 그림이다. 그는 “향후 테마를 스포츠뿐만 아니라 음식, 레저, 취미 등으로 무한히 늘려갈 수 있으며, 이를 통해 유저가 직접 스토리를 메이킹해 비밀번호의 완벽한 개인화를 이뤄낼 수 있다”고 덧붙였다.
패스콘은 아이콘 외에도 사진, 개인키, 기기 정보, 오쓰토큰(Auth Token)을 이용하는 5팩터 멀티 인증이다.
아이돌 앱에 회원가입을 할 때 사진을 선택해, 사진을 통해 ‘디지털 잉크’를 생성한다. 임 대표는 "패스콘은 사용자가 선택하는 특정 사진으로부터 디지털잉크 값을 생성해 인증팩터로 추가하기 때문에 아이콘과 사용자 선택 사진으로 만드는 신개념 인증팩터라 할 수 있다"고 설명했다.
디지털 잉크 값과 아이콘 키를 합성해 나온 값은 다시 PKI 공개키 기반의 암호화 방식을 이용해 사용자의 공개키로 암호화해 서버에 보관한다. 이후 본인 인증을 할 시, 개인키로 복호화한 다음 그 안에 기기 정보만 추출해 현재 인증하려는 기기 정보가 기존 기기 정보와 같은지를 검증한다. 기기에는 개인마다 고유한 공개키가 생성돼 있다.
이에 따라 아이돌에서 사용하는 아이디와 비밀번호는 자신이 설정한 기기에서만 유효하다. 임 대표는 “설령 아이디와 비밀번호를 안다 해도 기기를 훔쳐 가지 않는 한 계정을 해킹하는 것은 불가하다”고 덧붙였다.
마지막으로는 오쓰 토큰(Auth Token)을 인증에 활용한다. 오쓰 토큰은 유효 시간을 가진 일회용 인증 토큰이다. 서버와 클라이언트 간 인증 정보를 송수신할 때, 개별 송수신하는 트랜잭션마다 오쓰 토큰이 첨부돼 보안성을 높인다.
임 대표는 "패스콘은 어떤 OS, 하드웨어와도 호환이 가능하고, API 가이드도 제공해 신속하게 솔루션을 적용할 수 있다"며 "서비스 제공자는 우리의 API를 사용해 무료로 비밀번호 인증을 패스콘 인증으로 바꾸는 효과를 가져갈 수 있다"고 강조했다.
관련기사
- 인스타그램, 개인정보 내려받으면 비밀번호 그대로 표출2018.12.05
- 빗썸, 비밀번호 변경하기 캠페인 실시2018.12.05
- 최악 비밀번호…올해도 '123456'2018.12.05
- IP카메라 초기 비밀번호 변경해야 작동2018.12.05
지코드이노베이션의 첫 번째 타깃은 동남아 시장이다. "12달러가 넘는 기존 암호관리 서비스는 개발도상국에서 사용하기 어렵다"며 "우리는 보다 저렴한 가격으로 서비스를 제공해, 베트남, 인도 등 15억 인구의 동남아 시장을 먼저 목표로 한다"고 설명했다.
임 대표가 꿈꾸는 세상은 "비밀번호가 없는 세상"이다. 그는 "혁신적이면서도 모든 사람이 쓸 수 있는 보편적 기술을 만들어 내는 게 우리의 철학"이라며 "장기적으로는 아이돌의 비밀번호 관리서비스를 소셜인증 서비스로 확대 발전시키고 싶다"고 포부를 밝혔다.
