계정 정보가 외부 유출돼도 보안성과 안전성을 유지하는 차세대 인증 기술 `스톤패스`가 시장에서 주목받는다. 알고리즘 하나로 다양한 생체인식 기술과 간편결제, 아이핀, 보안카드, 공인인증서, OTP(일회용 비밀번호 생성기) 등 서로 다른 인증 팩터에 적용 가능해 시스템 도입·운영 비용도 절감한다.
센스톤(대표 유창훈)은 헌법재판소 차세대 전자재판서비스에 스톤패스(StonePASS)를 공급한데 이어 금융권 고객 여러 곳과 도입 논의를 진행 중이라고 3일 밝혔다. 사용자 인증 보안 분야는 물론이고 보안 알림 문자 대체 수요와 앱 간 통합 인증 등 다양한 형태로 활용될 전망이다.
스톤패스는 센스톤이 자체 개발한 `양방향 동적 키 매칭 알고리즘`을 적용했다. 정보 유출에 취약한 일대일 매칭과 중앙집중식저장, 별도 인증센터 운영 등 기존 인증기술이 갖는 문제점을 해결한다.
사용자 계정정보를 감추고 지키는데 집중하는 기존 보안 개념에서 탈피했다. 계정정보를 공개하되 로그인이 이뤄지는 클라이언트와 필수 인증 팩터로 사용되는 스마트폰, 서버 간 통신이 지속 변화하는 간접 매칭 방식으로 이뤄진다. 인증 정보가 송수신되는 통신구간에는 개인정보 대신 7번에 걸쳐 OTP만 전달되기 때문에 중간자 공격 등 해킹으로 인한 피해 위험이 낮다.
계정 탈취를 위한 각종 피싱 공격이나 정보 유출, 스마트폰 분실 상황에도 상대적으로 안전하다. 아이디와 비밀번호 유출로 비정상적인 접속 시도가 이뤄지면 단순 알림 수준을 넘어 스마트폰에서 바로 접속 차단과 인증방식 변경이 가능하다.
새로운 인증 알고리즘을 적용했지만 사용자 단에는 익숙한 기존 접속 방식을 그대로 제공한다. 그동안 서비스 제공자가 일방적으로 지정해 제공해온 인증 방식 종류도 사용자가 본인 선호도와 환경에 맞게 직접 선택 가능하다. 도입 기관 역시 다양한 인증팩터 추가에 따른 관리 체계 구축과 설치·운영비용을 절감한다.
주요 공공기관과 금융권 등에서 발생하는 기존 인증 기술 대체 수요를 우선 공략할 계획이다. 인증 서비스 제공 업체와는 경쟁보다는 기술 제휴 형태로 알고리즘을 시장에 제공한다. 향후 사물인터넷(IoT) 분야 사용자 인증과 블록체인 환경에서 싱글사인온(SSO) 서비스로 확장이 목표다.
유창훈 센스톤 대표는 “정보유출을 완벽히 막을 수는 없다는 전제 하에 사용자 계정정보가 노출되더라도 안전한 알고리즘과 보안 체계를 구현한 것”이라며 “국내뿐만 아니라 해외에서도 다양한 논의를 진행 중”이라고 말했다.
박정은기자 jepark@etnews.com