[인증 보안 ②] 로그인 넘어 실시간 검증으로…OT부터 AI까지 포괄
멈추지 않는 신원 확인으로 탈취 시도 차단…안전한 권한 통제 구현 인증보안 솔루션
구글 제미나이로 생성한 이미지 / 아이티데일리
인증보안 솔루션
지난해 우리나라 사이버보안 사고는 인증 관리라는 기본이 무너졌음을 고스란히 드러냈다. 시스템에 평문으로 저장된 자격 증명은 해커가 시스템 내부를 장악할 수 있는 빌미를 제공했다. 일부 사고에서는 아이디·비밀번호를 무작위로 대입하는 ‘크리덴셜 스터핑(Credential Stuffing)’으로 인한 피해도 확인됐다.
보안업계는 비밀번호 중심 구조를 벗어나 차세대 인증 체계로 변화해야 한다는 목소리가 높다. 오랜 기간 사용된 아이디·비밀번호 기반의 자격 증명은 한계를 맞았다는 지적이다. 이에 비밀번호를 사용하지 않는 ‘패스워드리스(Passwordless)’ 인증이 대안으로 주목받고 있다. 일부 기업은 운영 기술(OT) 환경처럼 특수한 조건을 위한 인증 체계, 사용자 불편을 최소화하는 안면 인증 등 보안을 강화하는 새로운 솔루션을 선보이고 있다. 인증 체계가 맞닥뜨린 위협과 이를 해결하는 보안업체들의 움직임을 살펴본다.
보안은 강화하고, 사용자 부담은 줄이고
아이디·비밀번호 기반 인증이 한계에 달했다는 사실은 익히 알려져 있다. 이를 대체하기 위해 고안된 FIDO 표준이 나온 지도 10년이 넘었다. 그럼에도 111111이나 admin 같은 비밀번호가 기업 환경에서 여전히 쓰이는 이유는 무엇일까. 보안을 강화하는 과정에서 사용자에게 추가 행동을 요구하는 구조가 피로를 키웠다고 관계자들은 지적했다.
그간 비밀번호 인증을 강화하는 2차, 3차 인증 기술은 여러 차례 도입됐다. 하지만 대부분 OTP(One Time Password) 입력, 로그인 반복 요청 등으로 인증 단계를 추가하는 방식으로 이뤄졌다. 이러한 이유로 생겨나는 ‘보안 피로’는 사용자로 하여금 인증 절차를 번거롭게 느끼고 결국엔 이를 형식적으로 처리하거나 무시하는 현상을 유발했다.
인증보안 솔루션
옥타코의 지문 보안키 ‘이지핑거’ 제품군
보안업체들은 이 문제를 해결하고자 보안을 강화하면서도 사용자 불편을 줄이는 방안을 모색하고 있다. 옥타코는 FIDO 기반 솔루션과 지문 보안키 ‘이지핑거(EzFinger)’를 연계해 ‘사용자가 신경 쓰지 않아도 되는 안전한 구조’를 제시하고 있다. 사용자가 복잡한 비밀번호를 입력하거나 반복적인 승인 과정 없이 지문 보안키 터치만으로 인증이 이뤄지도록 했다. 보안키는 서비스와 정합성 검증을 거쳐 동작하기 때문에 불필요한 인증 요청도 최소화한다.
피앤피시큐어는 안면 인증에 기반한 ‘무자각 지속 인증(ICA)’을 대안으로 제시한다. 실시간 안면인증 솔루션 ‘페이스락커(FaceLocker)’로 사용자 안면 정보를 분석해 인증을 수행한다. 사용자는 카메라가 탑재된 노트북이나 모니터 앞에 앉아 있기만 하면 된다. 만약 사용자가 일정 시간 이상 자리를 비우거나 허가되지 않은 사용자가 컴퓨터를 이용하면 세션은 바로 차단된다.
복잡해진 인증, 통합 플랫폼 중심으로 재편
인증 보안 시장은 개별 기술 경쟁을 넘어 통합 플랫폼 중심으로 재편되고 있다. 과거에는 OTP(One Time Password), SSO(Single Sign-On) 등 기능 구현에 초점을 맞췄다면 현재는 FIDO를 비롯한 다양한 기술을 결합하는 다층 구조가 주를 이룬다. 특히 인증 대상과 더불어 위협이 늘어남에 따라 단일 인증 수단만으로는 부족하다는 인식이 확산하며 FIDO, 다중 인증(MFA), 공개키 인프라(PKI) 등 여러 기술을 복합적으로 사용하는 추세다.
드림시큐리티, 케이사인, 펜타시큐리티는 암호화 기술을 기반으로 한 인증 보안 강화 전략을 제시하고 있다. 이들 기업 모두 PKI 등 암호화 솔루션으로 오랜 기간 사업을 이어온 만큼 해당 기술력에 자신감을 내비치고 있다.
인증보안 솔루션
드림시큐리티의 ‘매직 MFA’ 구조도. (출처=드림시큐리티)
드림시큐리티는 아이덴티티 접근 관리(IAM)와 인증 체계를 아우르는 제품군을 앞세우고 있다. ‘매직 IAM(Magic IAM)’으로 계정 수명주기와 권한을 관리하며 ‘매직 MFA(Magic MFA)’로 강력한 인증 기술을 제공한다. 이를 통해 FIDO 기반 패스키와 mOTP를 결합함으로써 MFA 체계를 구성했다. 국내 공공, 금융 부문에서 주를 이루는 망분리 및 폐쇄망 환경도 지원한다.
펜타시큐리티는 ‘아이사인 패스워드리스(iSIGN Password-less)’로 인증 전 과정을 통합적으로 통제하는 데 초점을 맞추고 있다. 이용자가 업무를 시작하는 PC 운영체제 로그인 단계부터 인증이 이뤄지고 이를 SSO와 결합함으로써 하나의 흐름으로 연결했다. 특히 인증 후에도 상태를 지속 검증해 비정상 접근을 탐지하고 차단한다.
인증보안 솔루션
케이사인의 ‘케이사인 액세스 포 SSO(KSignAccess for SSO)’ 구조도. (출처=케이사인)
케이사인은 ‘케이사인 액세스(KSignAccess)’로 통합된 인증 환경을 구현한다. 사용자의 로그인 정보를 기반으로 암호화된 토큰을 생성해 추가 인증 절차 없이 시스템 간 인증이 가능하다. 특히 케이사인은 케이사인 액세스와 SSO, IAM 및 권한 관리(EAM)를 연계함으로써 여러 환경을 아우르는 인증 플랫폼을 제공하고 있다.
폐쇄망의 벽을 넘어라…OT 환경에 최적화된 인증
계정 기반 공격이 확산하며 IT 환경을 넘어 운영 환경(OT)에서도 인증 보안의 필요성이 커지고 있다. IT와 OT 간 결합이 확대되며 산업 현장을 표적으로 삼은 사이버 공격이 증가하고 있다. 하지만 산업 현장은 폐쇄망으로 구성되는 데다 운영 안정성을 이유로 레거시 시스템이 유지되고 있어 MFA나 FIDO 같은 IT 기반 인증 기술을 그대로 적용하기 어렵다.
센스톤의 ‘OTAC 트러스티드 액세스 게이트웨이(Trusted Access Gateway)’ (출처=센스톤)
센스톤은 이처럼 제한된 환경에서도 적용할 수 있는 인증 보안 솔루션을 제공한다. 이를 위한 핵심 기술은 ‘OTAC(One-Time Authentication Code)’다. OTAC는 단말 자체에서 생성되는 일회성 인증 코드로 사용자와 기기를 인증하는 기술이다. 네트워크 연결이나 상시 통신이 불가한 환경에서도 사용할 수 있다. 이를 통해 고정값 비밀번호에 의존할 수밖에 없던 환경에서 탈취 및 재사용 공격을 차단한다. 기존 설비 교체 없이 적용할 수 있어 운영 가용성을 유지한다는 점도 강점이다.
센스톤 관계자는 “국가 기반시설 및 제조 산업을 중심으로 사이버 위협이 현실화하며 OT 환경에서도 인증 보안 강화의 필요성이 높아지고 있다”며 “OTAC는 단방향 네트워크 환경, 사용자 식별, 코드 중복 방지 측면에서 산업 환경에 적합하다”고 말했다.
이어 “비밀번호를 제거하는 것을 넘어 접속 단계에서부터 사용자와 단말을 명확히 식별하는 보안 체계가 중요해지고 있는 상황”이며 “센스톤은 OTAC로 고정된 인증 정보를 제거하고 접속 자체를 통제할 수 있는 구조를 지향한다”고 덧붙였다.
로그인 이후 ‘신뢰의 공백’을 메워라
인증 보안이 강화되고 있지만 과제는 여전히 남아 있다. 일단 인증이 성공하면 시스템은 사용자를 신뢰할 수 있다는 전제하에 동작한다. 세션과 권한은 사용자가 로그아웃할 때까지 유지된다. 이러한 상황을 ‘신뢰의 공백’이라 부른다. 공격자가 신뢰의 공백 구간에서 권한을 탈취한다면 세션이 유지되는 동안의 모든 행위는 정상으로 여겨진다. 인포스틸러 악성코드가 자격 증명뿐 아니라 세션 쿠키까지 탈취할 수 있는 이유다.
피앤피시큐어의 ‘무자각 지속 인증’ 플로우. (출처=피앤피시큐어)
업체들은 신뢰의 공백 구간을 보호하기 위해 인증을 특정 순간이 아닌 연속된 과정으로 재정의하고 ‘제로 트러스트(Zero-trust)’를 구현하는 전략을 취하고 있다. 우선 피앤피시큐어는 안면 인식에 기반한 ‘무자각 지속 인증(ICA)’을 강조한다. 이는 사용자가 인지하지 못한 사이에 웹캠 등 카메라로 안면 정보를 실시간 인증해 로그인 이후의 신뢰를 지속적으로 확인하는 기술이다. 이에 더해 ‘ZT 락커(ZT Locker)’로 명령어 실행 시 실제 하드웨어 입력(물리적 개입)이 있었는지까지 검증한다.
드림시큐리티는 사용자와 기기의 무결성을 지속 검증하는 통제 체계를 구축한다. 인증이 완료된 정상 세션이라 해도 IP가 급변하거나 대량의 데이터를 비정상적으로 다운로드하는 등 이상 행위가 감지되면 즉각 세션을 차단하고 재인증을 강제한다. 애플리케이션에 따라 세션 유효 시간을 통제해 자동 로그아웃 및 토큰 갱신 주기를 단축, 인포스틸러에 의해 세션이 탈취돼도 악용될 수 있는 시간을 최소화하고 있다.
펜타시큐리티의 ‘아이사인 패스워드리스(iSIGN Password-less)’ (출처=펜타시큐리티)
펜타시큐리티는 토큰을 전달 수단으로만 제한하고 서버 세션에 기반한 검증 구조를 구현한다. 실제 인증은 서버 세션상 유효성을 검증하며 세션 상태와 인증 맥락을 함께 확인한다. 이 때문에 공격자는 토큰 탈취만으로는 인증 과정을 통과할 수 없다. 또 세션 상태 변화나 비정상 접근 감지 시에는 즉시 접근이 제한되도록 설계됐다.
옥타코는 지문 보안키를 통한 강한 초기 인증과 함께 세션 수준에서도 신뢰 상태를 유지하는 방향으로 기술을 고도화하고 있다. 로그인 이후에도 사용자와 기기, 세션 간 정합성을 확인하며 이상 징후가 발생하면 추가 인증이나 접근 제어가 이뤄지도록 했다. 특히 제로 트러스트 체계를 위해 다른 솔루션과의 연계 체계를 마련, 다른 영역에서 일어난 비정상 행위에 추가 인증을 요구하도록 구현했다.
다가오는 ‘에이전틱 AI’ 시대…핵심은 지속적 검증
인증 보안은 더 이상 비밀번호를 어떻게 관리하느냐의 문제가 아니다. 탈취·재사용 가능한 요소를 제거하는 것이 핵심이다. 더욱이 생성형 AI 발전으로 인증 보안을 둘러싼 위협 환경은 빠르게 변화하고 있다. 딥페이크를 활용한 음성·영상 기반 사칭, 정교한 피싱 메시지 등은 점점 더 실제 사용자와 공격을 구분하기 어렵게 만들고 있다.
옥타코 이재형 대표는 “인증 기술은 구조적으로 속일 수 없는 보안으로 이동하고 있다”며 “비밀번호나 OTP 같은 입력 정보가 아니라 생체 정보라 해도 단순 비교 방식으로는 충분치 않다. 공격자가 개입할 수 없는 인증 구조 자체가 중요하다”고 강조했다.
펜타시큐리티 관계자는 “많은 보안 사고가 시스템 취약점보다 계정 탈취에서 시작한다”며 “인증을 단순한 로그인 절차가 아닌 조직 보안의 출발점이자 핵심 통제 영역으로 인식하는 접근 방식의 전환이 필요하다”고 말했다.
아울러 ‘에이전틱(Agentic) AI’ 확산은 인증 보안의 새로운 변수로 떠오르고 있다. 에이전틱 AI는 업무를 자율적으로 수행하기 위해 자격 증명이나 권한을 위임받는다. 이 정보가 안전하게 보호되지 않는다면 또 다른 ‘신뢰의 공백’을 초래할 수 있다. 따라서 늘어나는 에이전틱 AI가 위험 요인이 되지 않도록 통제하는 기술이 인증 보안의 핵심 과제가 될 전망이다.
최근 사례로 오픈AI가 최근 FIDO 얼라이언스 이사회에 합류했다. 오픈AI 측은 소셜 미디어를 통해 “에이전틱 AI를 위한 인증 기술을 발전시키기 위해 FIDO에 합류했다”며 “AI 에이전트가 사람을 대신해 행동하기 시작함에 따라 에이전트가 신뢰와 검증을 바탕으로 사용자 의도에 맞게 관리되도록 보장하려면 안전한 신원 프레임워크가 필수”라고 밝혔다.
국내에서는 라온시큐어가 업스테이지와 협력해 에이전틱 AI의 신원 검증과 권한 통제를 위한 ‘에이전틱 AI 매니지먼트(AAM)’ 기술을 개발하고 있다. AAM은 에이전틱 AI별로 검증 가능한 신원과 역할 범위를 설정하고 허용된 권한 안에서만 작동하도록 제한하는 모델이다.
케이사인 관계자는 “AI가 빠르게 확산하며 신원은 가장 위험한 지점이 되고 있다”며 “이제 사람뿐 아니라 AI와 비인간 신원까지 인증 체계에 포함되는 통합 관리가 핵심 과제로 부상할 것”으로 전망했다.
[기사 원문 보기: 아이티데일리]