<시리즈> 급부상하는 정보보안기술 (4);인증기술

전자인증이란 사용자 신분을 확인해 네트워크 사용권한을 결정하고 이행하는 과정을 말한다. 사용자는 인증확인 절차를 거쳐 접속시간 및 환경에 따라 특정 자원에 접속할 수 있는 권한을 부여받게 된다.

기업을 예로 들면 네트워크 관리자는 인증과정을 거쳐 경리부장이 근무시간에 회계자료를 볼 수 있는 권한을 부여하지만 업무외 시간에 자료를 열람하거나 인사자료와 같은 업무와 관련없는 자료에 접근하는 것을 금지하게 된다. 이에 반해 사장의 경우에는 언제 어느 곳에서도 회계, 엔지니어링, 인사 데이터베이스에 접근할 수 있는 권한을 가진다.

따라서 전자신분 시스템의 핵심은 사용자들의 신분을 정확히 확인하는 능력에 달려 있다고 할 수 있다. 인가된 사용자의 신분을 위조할 수 있다면 누구나 네트워크를 통해 데이터에 접근할 수 있을 것이다.

인증은 크게 「알려진 것」 「갖고 있는 것」 「고유한 것」 등 3가지를 이용해 이뤄진다.

알려진 것이란 패스워드처럼 본인만이 알고 있는 지식에 의존하는 것이며 갖고 있는 것은 열쇠, 신분카드 등 물리적인 도구가 있다. 또 고유한 것은 생물학적 특징처럼 모방하기 어려운 것을 이용하는 방법이다.

이 가운데 패스워드를 이용한 인증시스템이 일반적이지만 종이에 적어놓는 등 사용자들의 부주의로 인해 유출될 위험이 있으며 또 패스워드를 자동으로 유추해 계산하는 프로그램도 많이 나오고 있어 안심할 수 없다.

물리적인 장치는 패스워드를 사용하는 경우에 비해 안전하다고 할 수 있지만 잃어버리거나 복사당할 우려가 있다. 일단 네트워크 접속을 시도한 사용자가 접속장치를 훔치거나 혹은 복사했는지를 확인하는 것은 거의 불가능하다.

고유한 것을 이용하는 방법은 지문인식시스템처럼 물리적 장치와 사용자를 결합하기 위한 시도라고 볼 수 있지만 기술 자체가 초기 개발단계에 있기 때문에 가격이 대단히 비싼데다 실제 업무에 적용하기 어려운 약점이 있다.

각각의 인증 방법이 저마다 장단점이 있기 때문에 업계에서는 두 가지 이상의 인증 요소를 결합해서 인증 기능을 강화하고 있다. 침입자가 불법 인증 확인을 얻기 위해서는 두 개의 독립적인 인증 시스템을 파괴해야 한다. 그만큼 불법 침투가 어려워지는 것이다.

알려진 것과 갖고 있는 것 즉, 패스워드와 물리적 장치를 결합하는 방법이 보편적으로 많이 사용되고 있다. 기술적으로는 두가지 방식을 결합하는 방법에 따라 사건동기, 시간동기, 질의응답(challenge/respose) 방식 등이 있다.

최근 인터넷에서 관심을 끄는 전자 인증은 신뢰성 있는 단체에서 거래 객체의 신분을 확인해준다는데 초점을 맞추고 있다. 서로 상대방의 신분을 확인할 수 있다면 얼마든지 믿고 거래할 수 있기 때문이다. 현재 이 분야에서는 미국 베리사인(Verisign), GTE, Entrust 등 수십개의 기업들이 인증서비스를 제공하고 있다. 그러나 미국에서는 특허 등의 문제로 CA관련 개발도구는 RSA사 만이 제공하고 있으며 국내에서는 이니테크가 이 분야 제품 개발에 나서고 있다.

<함종렬 기자>