[e테크]스마트카드와 공개키 인증-대체기술

공개키 인증의 대체기술에는 암기해 놓은 패스워드, 일회용 패스워드(OTP) 인증 토큰과 생체 측정 인증 등 세 가지가 있다.

　여러 상황에서 암기해 놓은 패스워드는 적절한 수준의 보안을 제공할 수 있다. 이러한 패스워드는 보안조치가 취해진 사무실 환경에서 신뢰할 만한 네트워크를 통해 정보 시스템에 접속할 때 또는 사용자의 워크스테이션과 웹 서버 사이의 연결이 보안 소켓 계층(SSL)과 같은 것을 사용해 암호화한 상태에서 인터넷을 통해 접속할 경우에 암기해 놓은 패스워드가 유용하다. 하지만 기업이 이를 사용할 경우 기술적이거나 직원들의 부주의로 문제가 발생할 우려가 없는지 유의해야 한다.

　토큰과 같이 사용자가 갖고 있는 것과 4∼8자리 PIN과 같이 사용자가 알고 있는 것과 결합해 사용자 인증을 할 수 있는 제품을 공급하는 업체가 많이 있다. 여기에서 토큰은 소형 포켓용 계산기나 신용카드 만하면서 그보다 약간 두꺼운 금속카드 또는 키 주머니 등과 같은 것이 될 것이다. 이들은 특별한 판독기가 필요 없고 한 사람의 사용자를 위해서만 키가 작용한다.

　이런 토큰의 시스템은 다양하겠지만 이들은 한번만 사용할 수 있는 인증 코드인 일회용 패스워드(OTP)를 생성하는 데 사용된다. OTP 토큰은 강력하고 저렴한 보안수단이지만 사용절차가 약간 복잡하다. 일부 업체는 이러한 복잡한 절차를 자동화할 수 있는 소프트웨어를 공급하고 있다. 또 사용자의 PC가 토큰이 되는 경우에는 공용키 인증에서와 마찬가지로 휴대가 어려운 것이 문제가 되는데 이 경우는 팜 OS 장치나 스마트카드 또는 USB키를 사용해 사용자의 개인키를 PC 이외의 장치에 저장함으로써 문제를 해결할 수 있다.

　생체 측정 시스템은 지문, 홍채무늬, 얼굴, 음성 등 여러가지를 이용하는데 이들 시스템은 어느 것을 사용하느냐에 따라 가격과 성능이 다양하다. 생체 측정 방법은 스마트카드보다 쉽지만 스마트카드보다 기술이 덜 성숙돼 있다. 그렇지만 가장 효과적인 생체 측정 시스템은 스마트카드만큼 가격이 비싸다. 일부 지문과 음성 측정 시스템은 가격이 좀 낮지만 그만큼 취약하다. 그런데 생체 측정 인증 방식도 개인 비밀 유출에 대한 우려와 문화적·종교적 이유로 사용을 기피한다는 문제가 있다.

　또 생체 측정 방식은 사용자가 시스템에 접근할 수 있도록 인증을 할 수는 있으나 시스템이 사용자에 접근하도록 하는 인증은 못하며 증명과 키를 저장하거나 데이터를 암호화할 능력이 없다. 생체 측정을 스마트카드나 USB키와 함께 사용하면 보안과 휴대성에서 몇 가지 이점이 있다. 생체 측정 방식은 스마트카드를 유효화하기 위해 PIN대신 사용할 수 있으며 생체 측정 데이터는 사용자의 워크스테이션이나 서버대신 스마트카드에 안전하게 보관할 수 있을 뿐 아니라 생체는 스마트카드로 판독할 수 있다.