[보안칼럼]패스워드부터 없애야 당신이 안전해 진다

진성광 에프엔에스벨류 기업부설연구소장.(에프엔에스벨류 제공)

인공지능(AI) 발달 속도가 실로 눈부시다. 사람 대신 거의 모든 분야에서 활약 중인 AI가 인간의 영역을 대체하는 가운데 최근 정보통신기술(ICT) 분야 최고의 권위를 자랑하는 국제기구인 국제전기통신연합(ITU) 회의에서도 최근 AI는 '핫'한 주제다.

특히 통신분야 세계표준을 연구하는 ITU-T 정보보호연구반(SG17)에선 AI를 활용해 더욱 정교해지는 해킹에 대한 보안이 중대한 주제로 부상했다. AI 등장에 따른 이러한 변화로 제로 트러스트 보안 모델의 중요성이 더욱 강조되는 가운데, 기업은 보안 인프라 강화에 촉각을 기울일 수밖에 없다.

글로벌 정보기술(IT) 커뮤니티와 기업이 사이버보안 대응 전략에 머리를 맞대는 추세는 국내라고 다르지 않다. 우리나라 역시 사이버보안에 대한 사회적 인식과 준비 상태에 대한 재점검이 시급하다. 매일매일 쏟아지는 보안 관련 사건 뉴스를 보는 것이 일상이 돼가는 때에 국가적 차원의 보안 강화는 물론 국제적 협력을 통한 보안 위협 대응은 절실하다. 지난해 9월 과학기술정보통신부가 나서 '정보보호산업의 글로벌 경쟁력 확보 전략'을 발표하고 'K시큐리티 얼라이언스' 추진에 속도를 내는 것은 그러한 노력의 일환이다.

스마트폰이 인간의 라이프스타일 축소판이 된 현실에서 '내 휴대폰이 털린다'는 것은 상상 이상의 피해를 유발한다. 사람은 여전히 해킹에 취약한 표적으로 해커는 사람의 심리적, 사회적 약점을 이용해 점점 더 복잡하고 세련된 공격을 시도하고 있다. 비밀번호가 해킹됐다는 서비스 제공업체의 사과 메일을 받고도 종전의 비밀번호를 좀처럼 바꾸지 않으려는 사람의 행동 패턴은 공격자에겐 아주 좋은 타깃의 '급소'다.

이러한 사람 중심의 위협에 효과적으로 대응하기 위해선 보안교육과 인식 향상이 선행돼야 한다. 특히 여러 사이트에 동일한 아이디와 비밀번호를 사용하는 사람은 크리덴셜 스터핑에 최적의 환경을 만들어 주고 있다. 여기에 메모리 해킹을 비롯한 보안카드 실수 입력 등 보안사고의 유형 또한 다양해지고 있다. 이렇듯 취약한 사회적 보안 환경에서 금융사를 포함해 결제 시스템을 사용하는 서비스 플랫폼 기업의 보안은 사실상 인증부터 시작돼야 한다. '누가 누구인지' '이 사람이 그 사람이 확실한지' 신원인증부터 보안성을 확보해야 한다는 얘기다.

그렇다면, 잘 변하지 않으려는 성향, 잊어버리는 습성 등 사람이 공통적으로 갖는 행동 패턴을 이용해 발생하는 해킹을 효과적으로 대응하는 기술은 없는 것인가. 이 질문에 대한 현 시점 가장 근접한 대답은 블록체인 기술이다. 필자가 근무하고 있는 회사가 세계 최초로 개발한 인증기술은 그러한 혁신성과 보안성을 인정받아 4월 초 금융위원회로부터 현행법 테두리로 들어가게 되는 유권해석을 받았다.

국내 금융 관련 가이드라인에선 초유의 일로 국제기구로부터 먼저 인정받은 혁신적인 보안인증 기술이 정작 원천 기술국인 우리나라에서 다소 늦게 제도권 내로 진입하게 된 데는 아쉬움이 크지만, 금융사를 비롯해 통신, 이커머스, 공공, 교육, 연구기관 등 다양한 분야에서 빈번하게 발생하고 있는 해킹사고를 미연에 방지하는 데 혁혁한 역할을 할 것으로 기대를 모으고 있다.

블록체인 검증 기반 패스워드리스 보안인증 기술(BSA)은 하이브리드 블록체인을 활용해 인증정보를 안전하게 관리하고, 패스워드를 서버에 저장하지 않으며, 실시간으로 인증을 진행함으로써 탈취의 위험을 최소화한다. 해당 솔루션 기술은 ITU에 의해 세계표준기술로 개발 중이며, 말레이시아에서의 성공적인 상용화를 통해 그 효용성이 입증된 바 있다.

AI를 뛰어넘는 해커, 그 해커를 뛰어넘는 사이버 보안기술. 사회도 사람도 더욱 스마트해질 때다.

진성광 에프엔에스벨류 기업부설연구소장 skjeen@fnsvalue.co.kr

[Copyright © 전자신문. 무단전재-재배포금지]