X.1280 상호 인증 실시 예시
서울--(뉴스와이어)--이스톰(대표이사 우종현)이 과학기술정보통신부와 한국인터넷진흥원(KISA)이 주관하고 KB국민은행이 수요 기업으로 참여한 2024년 제로트러스트 도입 시범 사업을 성공적으로 완수했다고 발표했다.
이번 시범 사업에서 이스톰은 국제 표준 기술인 ITU-T X.1280 (패스워드리스 상호 인증 기술)과 ITU-T X.1220 (스토리지 프로텍션 기술)을 KB국민은행에 적용해 K-제로트러스트의 실증 수준을 국제적인 수준으로 끌어올렸다는 평가를 받고 있다.
이번 사업에 적용된 ITU-T X.1280은 UN 산하 국제기술표준화기구인 ITU-T에서 최신 인증 기술로 채택한 국제 표준 기술로, 모든 것을 의심하라(Never Trust)는 제로트러스트의 원칙과 밀접하게 연관돼 있다.
기존의 사용자 인증 기술은 온라인 서비스가 사용자를 검증하는 데 초점이 맞춰져 있어 사용자가 서비스를 신뢰할 수 있는 방법은 제공하지 못했다. 따라서 사용자가 가짜 서비스에 접속해 로그인을 시도하는 경우, 패스워드, OTP, 인증서, 생체인증 등을 일방적으로 입력해 사용자 인증 정보가 탈취 및 도용에 노출되는 문제를 발생시켰다.
하지만 국제 표준 X.1280은 온라인 서비스가 사용자에게 정당한 서비스임을 확인할 수 있도록 자동패스워드를 먼저 제시하게 설계함으로써 문제를 해결했다. 이어 온라인 서비스가 자동패스워드를 제시하면 동시에 사용자 스마트폰 앱에도 자동패스워드가 생성되는데, 사용자는 두 값이 동일한지 직접 비교해 온라인 서비스의 정당성을 확인하고 스마트폰에 장착된 생체인증으로 사용자 인증을 진행하도록 해 인증 과정의 보안을 강화했다.
즉 X.1280은 기존 단방향 인증 방식과 달리 상호 인증 방식을 제공해 내외부 정보시스템에 대한 무조건 신뢰를 배제하고, 권한 획득 시마다 철저한 검증과 인증을 거쳐야 하는 제로트러스트의 인증 기준을 준수할 수 있도록 한 기술이다.
X.1280은 제로트러스트 구축의 경제성 면에서도 높은 평가를 받고 있다. X.1280은 스마트폰에 내장된 생체인증 센서를 활용해 대역 외 생체인증을 구현한다. 따라서 종래 생체인증 기술에서 필요로 하는 사용자 단말기마다의 별도 생체인증 센서 설치를 요구하지 않는다. 이러한 X.1280의 장점은 구축 비용을 크게 절감시켜 제로트러스트 환경으로의 전환을 고려하는 기업과 기관에 경제적이고 효용성 높은 선택지를 제공해 줄 것으로 기대된다.
이번 제로트러스트 실증사업에 함께 적용된 국제 표준 기술 X.1220 (스토리지 프로텍션) 역시 주목해볼 만하다. X.1220은 데이터에 접근하는 프로그램을 스토리지 관점에서 검사해 사전에 등록된 프로그램에 한해 데이터 접근을 허용하고 이외의 경우에는 읽기 전용 가짜 파일을 제공하는 기술이다. 이로 인해 데이터가 원천적으로 탈취되지 않고 랜섬웨어에 의해 데이터가 암호화되지 않는다.
기존의 접근제어 기술은 사용자 확인이 완료되면 지속적으로 데이터에 대한 접근 권한을 부여해 인증된 사용자 단말기에서 멀웨어가 실행되거나 데이터 열람 및 수정 권한에 대한 제어가 취약하다는 문제가 있었다. 이에 제로트러스트 환경에서는 접근 주체에 대해 보다 철저한 검증을 요구하고 이를 거친 뒤에야 정보 자원으로 접근할 수 있도록 할 것을 권고하고 있다.
X.1220은 기존 네트워크 보안과 엔드포인트 보안 체계에 스토리지 보안이라는 세 번째 보안 계층을 추가해 데이터 접근 권한 검증을 강화할 수 있도록 했다. X.1220은 윈도우즈 PC나 리눅스 서버와 스토리지 간에 스토리지 프로텍션 서버를 배치해 데이터 요청을 제어하는 방식을 제공한다. 스토리지 프로텍션 서버는 사전에 등록된 프로그램이 데이터를 요청할 경우에만 정상적인 파일을 제공하고 그 이외의 경우 읽기 전용 속성의 가짜 파일을 제공해 데이터 보호를 강화한다. 1차 네트워크 보안 체계와 2차 엔드포인트 보안 체계가 무력화돼도 X.1220이 애플리케이션 레벨의 엄격한 검증을 요구해 추가적인 보안 계층을 구성해주는 것이다.
이스톰 우종현 대표는 “이번 KB국민은행 제로트러스트 실증사업을 통해 국제 표준 기술의 대규모 클라우드 적용 사례를 확보했다”며 “2025년에도 제로트러스트 체계로의 전환 확대가 예상되는 만큼 국제적인 수준의 K-제로트러스트 시장을 개척해 나가겠다”고 밝혔다.
이스톰 소개
25년간 IT 연구·개발에 전념해 온 이스톰은 자동패스워드, 자동OTP, QR패스워드매니저, 오픈카드, 오픈터미널 등 첨단 인증 및 핀테크 기술을 선도적으로 개발해 왔다. 이스톰은 2014년 대한민국 인터넷 대상 수상을 통해 국내 보안 업계에서 주목받기 시작했으며, 2024년 3월에는 ITU-T 국제기술표준기구에서 자동패스워드 기반 상호 인증 기술이 국제표준(X.1280)으로 제정되며 글로벌 보안 시장의 관심을 모았다. 이에, 이스톰은 국내외 기술 수요 증가에 발맞춰 한국과 미국에 자회사 듀얼오스(DualAuth)를 설립, 글로벌 솔루션 시장 진출을 적극적으로 추진하고 있다. 특히, 국내 IT 보안 환경에서 제로 트러스트(Zero Trust) 전환이 빠르게 확산되면서, 이스톰의 상호 인증 기술은 다시 한번 주목받고 있으며, 국내 인증 체계 개편을 선도할 핵심 기술로 기대를 모으고 있다. 현재 이스톰의 자동패스워드 기반 상호 인증 기술은 우리은행, KB국민은행, 유안타증권 등 주요 금융권뿐 아니라, 한국관광공사와 구리시청 등 공공기관에서도 활발히 활용되고 있다.