[보안베어의 IT 주저리 #1 ] 말도 많고 탈도 많은 본인인증방식 이야기 

         1

안녕하세요? 보안베어 입니다.

앞으로 IT보안, 핀테크 등 다양한 IT 이야기를 전달 드리려고 합니다.

그 중 오늘은 요즘 말도 많고 탈도 많은 본인인증 방식에 대해 알아보겠습니다.

  1. 아이핀(i-PIN)

 2

**아이핀(i-PIN ; internet Personal Identification Number)

한국인터넷진흥원이 주도하는 주민등록번호 대체 인증수단입니다. 주민등록번호 기반의 아이디/

비밀번호 생성 절차를 거쳐 본인인증 시 주민등록번호 대신 아이디/ 비밀번호를 통해 본인임을 확인

받을 수 있는 방법입니다.

 3

아이핀(i-PIN)은 본인인증 할 때 공인인증서나 주민등록번호를 쓰지 않으려고 도입된 것이 그 취지이지만, 근본적으로 고정된 별도의 개인식별자(identifier)를 본인인증용(authentication)으로 사용하려고 한다는 점에서 보안적 한계점이 있습니다.

결국 개인정보 유출을 막아준다며 주민등록번호 대신 쓰라고 정부가 권장해 온 아이핀(i-PIN)은 해커들에게 탈탈 털렸습니다.

주민번호를 도용해 소량의 아이핀(i-PIN)을 부정 발급한 사고는 종종 있었지만, 해커의 침투로 75만 명이라는 대규모의 아이핀(i-PIN) 부정 발급 사태는 이번이 처음이었죠.

더불어 정부는 이달 중으로 아이핀(i-PIN) 2차 인증시스템을 도입한다고 발표했습니다.

새 조치가 시행되면 민간 아이핀(i-PIN)을 발급하는 신용평가 3개사는 OTP(일회용 비밀번호), OR코드(스마트폰 앱으로 정보를 인식하는 마크), 2차 비밀번호 등 다양한 인증 방법을 추가 제공하고 이용자들은 본인이 원하는 인증방법을 선택해 2차 인증을 해야 합니다.

한번 기대해 봅시다.

(조금 복잡하지만, 그래도 기존 거보다 좋아지겠죠…?!)

정부의 계획뿐만 아니라 우리도 조금만 더 관심을 가진다면 개인정보유출을 막을 수 있습니다.

아이핀(i-PIN)으로 본인인증을 하면 처음 아이핀(i-PIN)을 발급할 때 등록했던 이메일로 본인인증 사실을 알려주는데요. 내가 하지 않았던 인증이 이메일로 전송 되었다면 즉시 아이핀(i-PIN) 도용신고/폐지 절차를 거쳐 도용된 아이핀(i-PIN)을 폐지하고 신규 아이핀(i-PIN)을 발급 받아 사용하셔야 합니다.

그리고 사이렌 24에서 발급받은 아이핀(i-PIN)의 경우, ‘오마이아이핀’이라는 아이핀(i-PIN) 도용방지 서비스를 이용하여 아이핀(i-PIN) 도용을 예방할 수 있습니다.

  1. 마이핀(My-PIN)

 4

아이핀(i-PIN)이 온라인에서 사용하는 것이라면 ‘마이핀(My-PIN)’은 오프라인에서도 사용 가능 한 개인 식별번호입니다. 이것 또한 주민등록번호 대체수단인데요,

먼저 우리는 13자리 숫자를 임의로 조합해 마이핀(My-PIN) 번호를 만듭니다. 즉, 개인식별정보가 포함되지 않은 13자리의 무작위 번호를 오프라인에서도 사용할 수 있는 거죠.

그리고 이 마이핀(My-PIN)은 다섯 번까지 재발급 가능 합니다.

마이핀(My-PIN)을 사용하면 온라인이 아닌 백화점, 병원, 대형 마트 등에서 주민등록증, 운전면허증을 제시하지 않아도 본인 확인이 가능하답니다.

▶ 마이핀(My-PIN) 활용처5

하지만 한가지 문제점이 있습니다.

마이핀(My-PIN)을 발급받기 위해서는 먼저 아이핀(i-PIN)부터 받아야 하는데요, 만약 자신의 아이핀(i-PIN)을 폐기하게 되면 마이핀(My-PIN)도 자동으로 폐기되어 사용할 수 없게 됩니다.

 또한 가장 큰 문제는 마이핀(My-PIN)은, 주민등록번호를 완전히 대체하는 것이 아니라 유사한 식별수단에 불과하여 유출될 경우에는 쉽게 타인에 의해 도용이나 사칭이 될 수 있다는 것입니다.

음.. 좀 더 이해하기 쉽게 주민등록번호/ 아이핀(i-PIN)/ 마이핀(My-PIN) 정리 해놓은 자료입니다.

 6

<출처: 마이핀에 대한 모든 것(Q&A), 개인정보보호 종합지원 포털>

  1. OTP

**OTP:  One Time Password, 이름 그대로 그때 그때 필요한 비밀번호를 생성하여 본인 확인을 하는

방법으로 암호 시스템 중 가장 강력합니다.

비밀번호를 숨은 알고리즘을 이용하여 생성해내므로, 서버와의 접속 없이도 생성이 가능하여

중간 과정에서 유출되거나 하는 위험이 없습니다..

<OTP의 종류들>-

  • OTP 토큰

 7

OTP 토큰이라 불리는 별도의 하드웨어를 클라이언트로 사용하는 방식입니다.

기기 자체에서 해킹이 이루어지기는 힘들지만, 토큰을 구입해야 하므로 추가 비용이 필요하며 휴대하기에 불편하다는 단점이 있습니다.

보통 금융거래용으로 많이 쓰는 금융기관용 OTP 토큰을 잃어버리거나 배터리가 방전된 경우, OTP 토큰을 새로 구입하는 것으로 끝나는 것이 아닙니다.

보안상 배터리를 바꾸는 순간, OTP 토큰의 생성값이 바뀌어 버리게 설계되어 있어서 배터리 교체는 불가능합니다.

따라서 위의 하드웨어 OTP를 사용할 경우 소액의 장치 구입비용과 유지비용이 발생하게 됩니다.

  • 카드형 OTP 토큰

 8

카드형 OTP 토큰은 기존 OTP의 불편한 휴대성을 개선하기 위해, 얇은 두께로 휴대하기에 편리하도록 나온 토큰입니다.

 신용카드처럼 생겨서 카드형 OTP라고 불리는데요, 일반 카드에 비해 별로 두껍지 않아 휴대가 가능하지만, 처리 속도가 느려 OTP 생성에 시간이 더 걸리고 수명이 짧으며 가격이 비싸다는 단점이 있습니다.

  • 소프트웨어 OTP 토큰

9

이것은 모바일 OPT라고 보시면 되요.

외부와 완전히 독립적인 장치인 OTP 토큰과는 달리 소프트웨어 OTP는 보통 휴대폰이나 PC에 OTP 프로그램을 설치하여서 번호를 생성하는 방식을 이용하며 별도의 비용이 들어가지 않습니다.

하지만 OTP만 걸어놓으면 보안문제가 해결될 것 같은 희망과는 다르게,

소프트웨어적인 OTP 보안 시스템은 별도로 하드웨어를 사용하는 것에 비하면 외부로 유출되기 쉽기 때문에 보안에 있어 위의 것들 보다 취약합니다.

그래도 사용할 때마다 비밀번호가 새로 생성된다는 점에서는 ‘아이핀(I-PIN)’과 ‘마이핀(My-PIN)’ 보다 보안상 강력한 건 사실입니다.

  1. 휴대폰 인증

우리가 온라인 상으로 물건을 구매하여 결제를 하는 등 본인확인인증 시 가장 많이 볼 수 있는 게 바로 이 ‘휴대폰 인증방법’ 입니다. (다들 한번씩 해보셨죠?!)

10

휴대폰 인증은 본인 인증 시 이용하고 있는 이동통신사의 휴대폰 번호와 이름, 성별, 생년월일 등 가입 정보를 입력하면 본인 인증이 진행되고 인증이 확인되면 인증번호를 문자로 받아 이를 다시 사이트에 입력함으로써 본인을 인증하는 방식입니다.

휴대폰 인증은 마이핀(My-PIN)보다는 사용하기 편하고 실명확인도 가능하며 사용자 입장에서는 무료로 사용할 수 있다는 것이 장점이지만, 휴대폰을 도용 당하거나 분실했을 경우 문제가 발생할 수 있다는 것이 단점으로 지적되고 있으니… 휴대폰 잃어버리지 않게 조심해야 해요!

아이핀(I-PIN)이 해킹되어 문제 되고, 공인인증서와 OTP를 휴대하고 다녀야 한다는 불편한 진실 속에서

휴대폰만 잃어버리지 않는다면 ‘휴대폰 인증방식’이 가장 편리하다고 생각됩니다.

최근엔 휴대폰인증도 불안해서 OTP사용을 고려하시는 분들이 많은데 ‘휴대폰번호도용방지’라는 부가서비스가 있으니 걱정하지 않으셔도 될 것 같습니다.

 12

이동통신 3사(SK, KT, LG U+)의 부가서비스로 시행되는 이 휴대폰번호도용방지서비스는

이 서비스는 휴대폰을 이용한 인증 시 인증번호를 보호함으로써 타인이 인증을 진행할 수 없도록 방지해 줍니다.

이 인증번호를 알기 위해 URL이나 앱을 이용해 인증을 한번 더 거쳐야 하지만 인증 비밀번호는 나밖에 모르기 때문에 휴대폰을 분실하거나 번호를 도용 당할 걱정은 줄어들 것 같습니다.

다음에 더 유용한 정보를 가지고 찾아오겠습니다.

“놓치지 마세요”

############

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.