1. 아이디어
- 기존의 인증은 계정정보(ID/PW)를 사용해 정당한 권한을 지니고 있음을 증명
- 계정정보를 대상으로한 공격의 증가 및 비밀번호 관련 취약점으로 인해 Passwordless 인증방식이 대두
- Passwordless 도입 전 개선사항 및 준비사항이 필요
2. 근거
2.1 비밀번호 생성 규칙
- 『개인정보의 안전성 확보조치 기준』 제5조(접근 권한의 관리)
> 인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다
- 『개인정보의 안전성 확보조치 기준 해설서』
> 당한 접속 권한을 가지지 않은 자가 추측하거나 접속을 시도하기 어렵도록 문자, 숫자 등으로 조합·구성하여야 한다고 규정
- 『개인정보의 기술적·관리적 보호조치 기준』 제4조(접근통제) 제7항. 제8항
> 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
> 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용ㆍ운용하여야 한다.
- 한국인터넷진흥원 패스워드 선택 및 이용 안내서
> 안전한 패스워드란 ① 제3자가 쉽게 추측할 수 없고, ② 공격자가 알아내는데 많은 시간이 요구되며, ③ 대문자, 소문자, 특수문자, 숫자 중 두 종류 이상의 문자구성과 8자리 이상 또는 10자리 이상의 길이로 구성된 문자열을 의미
> 또한 각 사이트별로 상이한 비밀번호를 설정하도록 권고
2.2 비밀번호 인증 방식의 문제점
| 구분 | 설명 |
| 취약한 계정 보안 |
① 2020년 한국인터넷진흥원의 계정관리 보안실태 설문조사 결과 ⒜ 사용 목적별 계정 생성 방식 - 업무용 계정과 개인 계정을 구분한다고 응답한 사용자는 62.38%(1,313명) - 서비스마다 다른 아이디를 사용하는 사용자는 3.09%(65명) - 업무 및 개인 계정을 구분하지 않고 완전히 동일한 계정을 사용한다 또한 26.46%(557명) ⒝ 사용 계정별 비밀번호 설정 방식 - 각 계정마다 비밀번호를 완전히 다르게 설정한다에 답한 사용자는 41.52%(874명) - 완전히 동일하게 설정하는 사용자는 18.95%(399명) ⒞ 비밀번호 설정 시 참고 정보 - 생일, 주민등록번호, 전화번호, 이름 등 사용자의 개인정보를 이용하거나, 유추하기 쉬운 비밀번호를 설정 55.91%(1,244명) |
| 취약한 비밀번호 설정 |
① Nordpass는 2019년부터 전 세계적으로 가장 많이 사용되는 비밀번호의 순위를 공개 ⒜ 2022년 전 세계적으로 가장 일반적인 비밀번호 - ① password ② 123456 ③ 123456789 ④ guest ⑤ qwerty ⑥ 12345678 ⑦ 111111 ⑧ 12345 ⑨ col123456 ⑩ 123123 등 ⒝ 2019년부터 2021년까지 Top 10 - 12345, qwerty, password 등 간단하게 설정된 비밀번호가 꾸준히 상위권을 기록 |
| 계정 정보 탈취 위협 증가 |
① InfoStealer 악성코드 증가 - 피싱 메일의 첨부파일 등을 통해 유포되며 - 사용자 PC에서 웹 브라우저에 저장되어있는 계정정보, 신용정보, 파일 등 사용자 정보를 탈취하는 것이 목적인 악성코드 ② 범죄 발생 비율 대비 낮은 검거율 - 경찰청에서는 계정도용, 단순침입, 자료유출, 자료훼손 항목을 해킹으로 구분 > 2021년 기준 발생한 전체 해킹 중 계정도용 비율은 약 50% > 검거율은 과반에도 미치지 못함 (공격 기법의 고도화 원인) ③ 해킹 그룹이 자주 사용한 침해 전술 - 공통적으로 공격자들은 알려진 취약점, 피싱, 유효한 크리덴셜을 악용하여 기업의 내부 네트워크에 침입 및 데이터를 탈취 ④ 국내외 침해 사고 원인을 분석한 결과 80% 이상이 사용자의 비밀번호 탈취나 도용에 의해 발생한 것으로 확인 |
| 비밀번호 관리 비용 및 시간 문제 |
① 평균적으로 비밀번호 입력 또는 재설정에 1주당 12.61분을 소모하며, 이를 연간 비용으로 환산할 경우 약 520만 달러에 달하는 것으로 조사 |
3. Passwordless
- Passwordless란 사용자들이 비밀번호를 기억하거나 입력하지 않고 시스템에 로그인할 수 있는 인증 방법
> NordPass의 2022년 연구에 따르면 한 사람당 평균적으로 약 100개의 비밀번호를 사용
> 2020년 한국인터넷진흥원의 계정관리 보안실태 설문조사 결과 비밀번호 관리를 위해 여러 방법을 사용
> 메모, 별도 저장장치 이용, 자동저장, 비밀번호 관리 프로그램 이용 등
3.1 동향
| 구분 | 설명 |
| 정부 차원 | ① 미국 바이든 행정부 ‘국가 사이버 안보 전략(National Cybersecurity Strategy)’ 발표 - 안전한 사이버 생태계 구축 목적으로, 인증 시스템에 대한 투자 및 개발을 강조 ② 국내 국정원 ‘국가용 보안요구사항(Security Requirement for Government)' - 국정원은 국가기관 IT 운영 관리의 안전성 강화를 위해 사용자 인증체계 개편안을 발표 > 개정 전: 지식 기반 인증 기본 체계 - 생체인증 추가 제공 > 개정 후: 생체 인증, FIDO 인증 기본 체계 - PIN 번호, 지식 기반 인증 추가 제공 |
| 기업 차원 | ① 가트너 보고서 - FIDO2 프로토콜을 이용한 인증 시스템이 2021년 5% 미만에서 2025년 25%로 성장을 예상 ② 22.05 Apple, Google, Microsoft - 서비스하는 OS 플랫폼이나 브라우저에 관계없이 모바일 장치에서 FIDO를 기반으로 한 인증 시스템을 도입할 것이라는 계획을 발표 ③ 국내 Passwordless 동향 - 한국정보인증의 SaaS형 OTP 서비스 싸인플러스(SignPLUS) 도입 등 |
3.2 고려사항
| 구분 | 설명 |
| 다중인증(MFA)의 필요성 | - 패스워드가 없는 인증만 적용할 경우 사용자를 식별하거나 검증할 수 있는 단계가 부족 - 보다 강력한 보안을 위해 4가지의 다중 인증 요소를 고려 > '소유’, ‘속성’, ‘행위’, ‘장소’ 기반의 인증 방식 > 각 장단점을 고려하여 두 가지 이상의 인증방식을 결합하여 적용 |
| 사용자 프라이버시 침해 | - 생체정보의 해킹으로 인한 개인정보 침해 가능성이 존재 > 고유한 특징을 반영하기 때문에 도용되거나 복제되는 경우 중대한 보안문제로 이어질 수 있음 - 생체정보 처리 시스템의 보안성 강화 및 라이프사이클 전반에 걸친 규정 마련 |
| 사용자 접근성과 편의성 | - Passwordless의 목적은 비밀번호 관리와 관련된 부담의 절감 - 인증 수단의 변화에 따른 접근성과 편의성을 보장해야할 필요성 > 사용자의 기기와 환경에서 인증방식이 호환되지 않거나 복잡한 방식으로 로그인 인증을 적용할 경우 본 목적 퇴색 |
| 제도적 준비 | - 현행법상 중요 정보가 저장된 시스템에 접근하기 위해서는 비밀번호는 필수 - Passwordless의 근본적인 차이가 존재하므로 관련된 규정 및 표준 등 마련 필요 > Passwordless 시스템은 비밀번호를 사용하지 않고, 비밀번호를 사용하더라도 서버에서 생성한 일종의 OTP를 사용 |
| 연동 문제 | - 휴대폰을 사용한 인증은 사전에 등록한 휴대폰(하드웨어)에 종속 > 인터넷상에서 주민등록번호 입력을 최소화하기 위한 목적으로 도입 및 제공자 측의 간단한 도입과 사용자의 편리한 사용 등의 장점 - 휴대폰 변경, 분실 등에 따른 연동을 유지 및 변경할 수 있는 수단이 필요 |
| E-mail 인증 | - 매직 링크를 통한 사용자 인증은 하드웨어에 종속되지 않음 - 매직 링크의 안전한 전송을 위한 수단 및 피싱 공격으로부터 보호할 수단이 필요 > NIST는 VoIP(Voice-over-IP) 또는 이메일과 같이 특정 장치의 소유를 증명하지 않는 방법의 경우 사용자 인증에 적용을 금지 |
| FIDO 오류 | - 인증 정보의 입력 방법이 단순화된 것으로, 아직 사용자는 비밀번호를 사용 - 생체인증 정보를 단독으로 사용하기 위해서는 비밀번호와 결합하거나 비밀번호에 준하는 정보를 요구해야 할 필요 > Tencent와 Zhejiang University에서 학습용 지문 데이터를 활용하여 휴대전화의 지문인식을 우회하는 ‘브루트 프린트’ 연구 결과가 발표 |
| 서드파티 | - 단일 인증 요소만을 탈취하여도 로그인이 불가능하도록 다중 인증 도입 - 인증코드 발급시에도 일회용 인증코드를 발급하는 등 공격자가 사전에 알아낸 정보로는 접근할 수 없도록 구현 |
4. 기대효과
① 보다 안전한 인증 시스템의 구현 기대
- 관련된 규제 및 표준, 최소요구사항 등을 다방면으로 고려하여 사전에 마련
> 통일화된 시스템으로 보안성을 높일뿐더러 관리의 용이성 및 사용자의 편의성을 함께 충족
② 사용자 신뢰도 향상
- 인증 시스템의 신뢰도는 서비스 제공측 뿐만 아니라 사용자측면에서도 중요
- 새로운 환경으로의 변화에 따른 기술에대한 사용자의 여러 우려가 존재
> Passwordless는 사용자 인증을 위한 기술이기 때문에 더욱 고려해야할 문제
③ 비밀번호 관련 취약점 등 문제점 개선
- 사용자들은 많은 계정 정보를 관리하며, 이전 비밀번호를 재사용하거나, 한 두자를 변경하여 비밀번호 변경
> 공격자들은 특히 비밀번호를 대상으로 잘 알려진 취약점, 사회공학적 공격 등으로 비밀번호 탈취를 시도
- Passwordless는 비밀번호를 사용하지 않는 인증이기 때문에 이러한 문제점을 개선
'대외활동' 카테고리의 다른 글
| 소프트웨이브 2023 (0) | 2023.11.30 |
|---|---|
| 제로트러스트 가이드라인과 성공적 구현 방안 (0) | 2023.10.12 |
| 제2회 사이버안보 정책 포럼 (0) | 2023.07.25 |
| 제22회 세계 보안 엑스포(SECON 2023) (0) | 2023.03.31 |
| 2023 CONCERT FORECAST (0) | 2023.03.03 |