발상의 전환으로 60년간 이어져 온 패스워드의 패러다임을 바꾼다.
’서비스가 자동으로 암호를 입력하는 편리하고 안전한 패스워드’
아마 누구나 한 번쯤은 비밀번호 때문에 고생해본 적이 있으리라 생각됩니다.
오랜만에 들어간 웹사이트나 게임 등에서 비밀번호가 기억이 안 나 ID/PASSWORD 찾기를 반복해 본 경험이 있기도 하고, 모바일 앱에 로그인을 할 수 없어 설치만 하고 사용하지 못하는 앱이 있을 수도 있고, 혹 어떤 경우는 커뮤니티 계정이나 메신저 계정이 타인에게 도용 당해 수습하느라 고생하는 경우도 많습니다.
아이디와 비밀번호를 내가 만들고 외우고 입력해서 서버에 확인을 받아야 하는 방식을 그동안 너무나 당연히 여겨온 데서 비롯된 일입니다. 아이디와 패스워드를 입력하는 전통적인 방식의 인증은 지난 60년간 당연하게 사용되어 왔으나, 인터넷이 연결되고 모바일로 다양한 서비스를 이용하는 현실에 이르면서 기존의 인증 방식은 가짜사이트와 같은 여러 경로를 통해 암호가 도용되거나 유출될 위험을 항상 동반하고 있습니다.
2017년 미국의 NIST(국립표준기술연구소)에서는 주기적 비밀번호 변경, 특정문자를 포함하는 복잡한 비밀번호 사용 등을 요구하지 말라고 권고했습니다. 다양한 온라인 서비스를 이용하는 상황에서 비밀번호를 기억하기 어려워지고, 이로 인해 사람들이 기억하기 쉬운 동일한 비밀번호를 지속적으로 생성하게 되면서 오히려 보안에 악영향을 미치기 때문입니다.
# 발상의 전환 – 인간이 본인을 입증하는 것이 아니라, 서비스가 스스로를 인간에게 입증
User Password부터 공인인증서나 다중요소인증(MFA)를 비롯해 생체인증까지 다양한 인증 방식이활성화되고 있지만 기존의 모든 인증 방식은 서비스 제공자 입장에서 접속한 단말기와 사용자가 맞다고 인증하는 것이지, 사용자 입장에서 내가 접속한 서비스가 맞는지 확인할 수 있는 것이 아닙니다. 즉, 현재 접속한 온라인 서비스가 정당한 서비스(사이트 또는 앱 등)인지를 사용자는 확인할 수 없습니다.
반면에 오토패스워드(AutoPassword)는 일반적인 상식을 뒤엎은 비밀번호 대체 기술로, 온라인서비스에 사용자가 아이디만 입력하면 솔루션이 사용자를 대신하여 자동으로 비밀번호를 입력해주고 올바른 비밀번호가 입력되었는지 스마트폰에서 사용자에게 확인을 받는 새로운 기술입니다. 오토패스워드는 일회용 패스워드(OTP) 기술을 이용하여 매번 새로운 비밀번호가 생성되는 방식이어서 도용이 불가능하며, 온라인 서비스가 파밍되지 않은 정상적인 서비스인지까지 확인할 수 있고, 더불어 사용자가 귀찮게 비밀번호를 외우거나 입력할 필요도 없어지게 됩니다.
사용자가 육안으로 서비스 제공자를 확인할 수 있는 오토패스워드는 기존의 모든 사용자 인증기술과 대비하여 보안성, 사용성, 경제성이 뛰어납니다.
# 서비스를 확인하는 뛰어난 보안성
기존의 모든 인증기술은 ‘현재 연결된 서비스는 항상 진정한 서비스’라는 전제에서 출발하고, 서비스 제공자에 대한 확인없이 사용자가 본인의 인증값을 제공하기 때문에 항상 해커에게 도용될 수 있습니다. 기존의 PKI나 Kerberos와 같은 상호인증기술 역시 서비스 제공자를 확인하기 위해서 개발된 것이 아니라 중간자 공격에 취약한 사용자 인증기술을 보강하기 위해서 개발된 기술입니다. 그 어떤 사용자 인증 기술도 현재 접속한 서비스 제공자가 정당한지를 사용자에게 확인시켜주지 못했습니다.
[기존의 단뱡향 인증]
AutoPassword™는 사용자가 인증 정보를 서비스 제공자에게 입력하기 전에 서비스 제공자를 확인할 수 있는 유일한 인증기술입니다. 사용자가 서비스에 접속하면 서비스가 올바른 서비스 제공자인지를 사용자가 확인할 수 있게 일회용 비밀번호를 표시해 주고, 사용자는 서비스가 표시한 일회용 패스워드가 올바른지 사용자의 스마트폰에서 확인한 후 두 값이 일치하면 서비스를 승인하는 방식입니다. 사용자가 서비스를 승인할 때 서비스 역시 사용자를 확인할 수 있도록 AutoPassword™ 모바일앱에서 PKI로 암호화된 사용자 OTP 값을 서비스쪽으로 전송하여 서비스도 사용자를 확인합니다. 오토패스워드는 서비스와 사용자가 명시적으로 서로를 확인할 수 있게 한 유일한 상호인증 기술입니다.
[오토패스워드의 안전하고 편리한 상호 인증]
# 간단 명료한 사용성
상호인증의 높은 보안 수준을 제공함에도 불구하고 AutoPassword™는 사용성이 매우 뛰어납니다. 기존 사용자 패스워드와 비교했을 때 암호를 기억할 필요도 없고, 주기적으로 변경할 필요도 없으며 불편하게 입력할 필요가 없습니다.
또한, 윈도우즈 PC 및 서버의 로그인은 물론, 웹 로그인이나 어플리케이션 로그인, SSL/VPN 로그인 보안등 기존의 로그인을 사용하는 모든 곳에 독립적으로 적용도 가능하고, 필요에 따라 기존 로그인 방법과 병행해 2차 인중으로 (2FA)로 제공할 수도 있으며 특히 사용자들에게 2FA인증기를 제공할 때 발생하는 심리적 저항감을 크게 줄여낼 수 있습니다. 보안문제 때문에 2FA를 추가해야 한다고 제안하는 것이 아니라 사용자가 매번 암호를 변경하고, 숙지 및 입력하는 불편함을 자동으로 해결해 준다고 제안되기 때문에 사용자 참여도가 적극적입니다.
# 폭넓은 경제성
AutoPassword™는 강력한 보안성과 편리성을 제공할 뿐만 아니라 폭넓은 비용절감 효과를 제공합니다. 무엇보다 AutoPassword™는 IT지원부서의 가장 큰 이슈인 패스워드 문의를 없앨 수 있습니다. 패스워드를 사용자가 입력 하는게 아니라 서비스가 사용자에게 제공하기 때문에 사용자 암호분실에 따른 모든 문의가 사라집니다. 또한 폰 기반의 SMS 인증과 비교했을 때에도 통신비용을 절감할 수 있고, 스마트폰 기반의 최신 인증기술인 PKI, FIDO, 블록체인 인증기와 비교했을 때에도 스마트폰 내의 모바일 앱서비스를 넘어서 PC, 태블릿, 키오스크, TV 등 다양한 매체에서 운영되는 서비스까지 인증할 수 있기 때문에 서비스 단말기별 도입해야 했던 인증수단을 하나로 통합할 수 있습니다.
[다양한 로그인 인증기를 오토패스워드 하나로 대체 가능]
# 세계에서 인정받은 기술력
AutoPassword™에는 세계 최고 수준의 보안인증 기술이 집약되어 있습니다. 서비스 제공자를 사용자가 확인 할 수 있는 서비스 패스워드 기술, 생체인증 기술과 PKI 인증 기술이 결합된 국제 표준 FIDO, 사용자가 접속한 상황의 IP주소를 확인하여 본인 여부를 확인하는 지역 기반 인증 기술, 모바일 앱의 위변조 탐지기술 등과 같은 다양한 보안 인증 기술을 적용했습니다.
오토패스워드는 한국인터넷진흥원(KISA)의 핀테크기술지원센터와 NH농협은행의 핀테크 오픈플랫폼에 기술지원 플랫폼으로 선정되었고, 대한민국 인터넷 대상을 수상한 바 있다. ▲Finovate Fall 뉴욕 본선 ▲Finovate ASIA 홍콩 본선 ▲NTT DATA Innovation 도쿄 컨테스트 TOP 9 ▲런던 Fintech Innovation Awards TOP5에 선정되는 등 세계 핀테크 대회에서 기술력을 인정받았으며, 2017년에는 Gartner의 인증기술 트랜드 보고서에서 균형잡힌 인증기술 (Well Balanced Authenticator)로 지목되고 IBM사의 시큐리티 파트너로 등록 되는 등 지속적으로 기술력을 인정받고 있습니다.
