조직 시스템 및 기밀정보 접근 보안 향상
안랩은 스마트폰 등을 이용한 위치정보를 활용한 사용자 인증강화 기술인 ‘휴대 단말을 이용한 인증 서비스 장치 및 방법, 그 시스템과 인증 서비스 방법을 실행하기 위한 프로그램이 기록된 기록매체’가 국내 특허를 획득했다고 25일 밝혔다.
이번에 특허를 받은 기술은 사용자가 개인 PC를 이용해 기업 시스템이나 관공서의 그룹웨어 등 보안이 필요한 서비스를 이용하기 위한 서버접속시, 기존의 사용자이름(ID)과 비밀번호 입력방식에 스마트폰 등을 통해 파악한 위치정보 확인이라는 본인인증요소를 더한 이중 요소 인증 방식(Two-factor Authentication)기술이다.
예를 들어 사용자가 자신이 소속된 기업/기관의 시스템에 로그인하기 위해서 기존의 사용자이름(ID)과 비밀번호를 입력하고, 미리 지정해놓은 스마트폰과 같은 휴대용 단말기가 와이파이, 블루투스 등의 근거리 무선통신을 이용해 휴대 단말 ID 일치여부, 현재 위치가 미리 설정해놓은 허가받은 위치인지 여부를 확인하는 방식이다. 이 중 하나라도 불일치 시에는 로그인이 불가능하게 된다.
이 과정에서 휴대 단말기의 근거리 무선통신은 자동으로 선택되고 인증 후에는 꺼지므로 사용자가 일일이 설정할 필요가 없고, 배터리의 소모도 최소화 한다고 회사측은 전했다.
이 기술로 사용자 본인 확인을 한층 더 강화해 궁극적으로 조직 시스템이나 기밀정보 접근 등에 대한 보안을 향상시킬 수 있다.
또 통신 시 메시지를 복사해 재전송 함으로써 승인된 사용자로 오인하게 만드는 ‘재전송 공격 (Replay Attack)’, 화면 원격 불법 캡춰(shoulder surfing), 억세스포인트(AP)를 날조해 정당한 사용자인 것처럼 속여 시스템에 접근하는 억세스 포인트 스푸핑(access point spoofing) 등의 공격을 효과적으로 방어할 수 있다.
안랩 조시행 연구소장은 “기업이나 기관의 내부시스템 접근에 대한 공격은 나날이 고도화 되고 있고, 피해를 입은 조직은 존폐가 위협받을 정도”라며 “이번 특허를 통해 사용자 확인방법을 더욱 까다롭게 만들어 보안성을 강화했으며, 향후 이 기술을 자사의 제품에 도입할 예정”이라고 강조했다.