정보유출위협, ‘그래픽인증’으로 대응한다

최근 보안 이슈에 따른 개인정보보호에 대해 관심도가 높다. 악성코드가 삽입된 스팸, 보이스 피싱, 스미싱과 같은 금융사기에 대한 우려가 높아지고 있으며, 한편으로 숄더쇼핑에 의한 피해도 대비해야 하는 시기가 도래했다.
뿐만 아니라 공인인증서 의무 사용 폐지로 인해 안전한 대체 보안수단이 필요하게 됐다.
디멘터는 GOTP(Graphic One Time Password)를 통해 보안관리자는 보다 안전하고, 최종 사용자는 사용하기 편한 보안방법을 제공하고 있다. 디멘터의 주력 서비스인‘디멘터’는 우리은행, 신한은행 등 금융권에 공급되고 있으며, STX 등의 기업은 내부 직원 보안용으로 도입하고 있다. 또한 테스트DB 변환 솔루션‘체크맨’을 통해 글로벌 수출에도 적극적인 행보를 보이고 있다. 이에 김민수 대표이사를 만나 디멘터의 계획과 현황, 그리고 보안시장에 대한 의견을 들어봤다.

양광수 기자 ksyang@ciociso.com

▲ 김민수 디멘터 대표이사

“그동안의 국내 기업보안은 최고 경영진에서나, 현업 실무자가 간과하기 일쑤였다. 불필요하고, 불편한 ‘과정’으로 인식하는 중에 연이어 보안사고가 계속되어 왔다. 그러나 보안환경은 급격한 전환기를 맞이하고 있다. 금융권을 중심으로 CISO가 임명되고, 또한 보안본부를 신설·강화하며 외부에 대한 공격이나 내부에 대한 보안인증까지 강화하는 추세로 변화하고 있다.”
김민수 대표는 최근의 보안환경이 그 어느 때보다 강화되고 있다고 말하며, 이에 대한 원인을 분석했다.
“단순히 보안 솔루션 차원에서 기능이 강화되는 것이 아니라, 사용자 및 관리자의 인식변화가 무엇보다 크다”며 “잇따른 보안 사고를 통해 일반 대중들도 보안이 얼마나 중요한 역할을 담당하는지 인식의 변화가 계속되고 있다”고 말했다.
그러나 그는 보안 책임자와 달리 일반 대중 및 보안을 이용하는 엔드유저의 경우, 자신의 정보에 대한 보안은 강화하고자 하는 바람이 있지만, 한편으로 간편하게 웹사이트를 이용하고자 하는 요구가 존재한다고 설명했다. 이로 인해 기업은 보안성과 편의성을 모두 고려해야하는 고민에 빠질 수 있다고 강조했다.

공인인증서 의무 사용 폐지, 대응 필요

김민수 대표는 더불어 최근 발표된 공인인증서 의무 사용 폐지에 대해 기업들이 추가적인 인증 방법을 강구해야 한다고 주장했다.
“해외 사례를 보면 보안 인증 방식에 있어서 최종 사용자가 이용하기 쉬운 형태로 변화하고 있다. 아마존 결제 시스템만 살펴보더라도 보안에서 결제까지 1분 안에 모든 일을 처리할 수 있다”고 덧붙였다.
그러나 국내의 경우 공인인증서를 사용하기 위해 10여 분 정도의 시간을 할애해야 한다. 뿐만 아니라 액티브X를 사용함으로 인해 일반사용자들의 보안 인식이 낮아졌다. 각 사이트마다 무수히 많은 보안프로그램 설치로 PC환경의 성능 저하를 불러올 뿐만 아니라, 설치로 인한 보안 피로도도 심각한 수준에 이르게 됐다.
김 대표는 “국내 전자금융 사용자의 대다수가 액티브X 설치 시 무조건 ‘YES’만 누르는 동안, 국내 보안환경의 큰 구멍이 생겼다”며 “한때 자바(JAVA)로 시도된 적도 있었지만, 외부 프로그램이 아닌 근본적인 방법론으로써 OTP 같은 인증 수단의 활성화로 보안 강화가 이뤄질 것”이라고 설명했다.
그는 정부가 점차 공인인증서 하나만의 보안환경을 제시하는 것보다 시장 자율에 맡기는 환경에서 보안시장이 한발 더 나아갈 수 있는 원동력을 찾을 수 있다고 말했다. 김대표이사는 일반 사용자도 최근 잇따른 보안 사고를 통해 자신의 정보를 보호해야 한다는 인식이 증대되고 있어, 향후 보안시장에서 공인인증서를 대체할 수 있는 수단에 대해 기업·기관에 적절한 대응이 필요하다고 전했다.
김 대표는 주요 선진국 (G10)의 중앙은행 및 은행 감독 당국의 대표들로 구성된 바젤위원회, 혹은 OECD가 정한 전자금융거래에 대한 규제는 물론 존재한다면서도, 그들은 ‘보안을 강화하라’라는 추상적인 범위 내에서 보안을 규정하고 있다고 설명했다. 그러나 우리나라와 같이 정부가 특정기술을 획일적으로 강요하지는 않는다고 말했다. 이처럼 다양한 보안기술이 더욱 개발되고 공급될 수 있는 자율 보안 환경을 조성하는 것이 무엇보다 중요하다는 것이 그의 지론이다.

GOTP 통한 인증체계 강화

국내에서도 30만 원 이상 거래에서 공인인증서 사용 자율화가 확대되면 아마존의 결제시스템처럼 간편하게 결제 프로세스를 이뤄지게 하면서도 보안을 강화해야하는 새로운 인증체계가 필요한 상황이다. 이런 시점에서 그래픽인증(GOTP) ‘디멘터’는 금융감독원이 가입을 권고한 디멘터의 동명(同名) 보안서비스이다.
김민수 대표는 “디멘터는 소설 ‘해리포터 시리즈’에서 등장하는 감옥을 지키는 문지기의 이름이다”라며 “보안영역이라는 것은 입구를 잘 보호하지 못하면 백방이 무효한 분야”라고 설명했다.
디멘터는 가상좌표계를 지원하는 가상 키보드 상에서 마우스로 가상커서를 이용해 패스워드를 드래그 앤 드롭(drag& drop) 방식으로 보안 로그인을 지원한다. 패스워드의 실제 좌표는 매 로그인마다 달라지며 패스워드를 암호화해 서버로 전송되므로 해킹, 피싱, 파밍, 스미싱뿐만 아니라 어깨너머로 비밀번호를 훔치는 숄더쇼핑으로부터도 로그인 정보를 안전하게 지킬 수 있다.
디멘터는 기업 혹은 사용자가 지정한 이미지를 지정하기 때문에 자신 이외에 다른 사람은 비밀번호의 패턴을 파악할 수 없으며, OTP처럼 매번 랜덤하게 이미지가 생성돼 비밀번호 추적이 불가능하다. 또한 그림 및 숫자그래픽을 통해 사이트 진위 여부까지 확인할 수 있다.
김 대표는 “고객들도 최근 자신의 정보를 보호해야 한다는 인식으로 GOTP 사용이 늘어나는 추세”라며 “유명연예인, 기업브랜드를 이미지로 사용해 보안과 편의성, 그리고 브랜드이미지 제고를 누릴 수 있는 장점이 있다”고 설명 했다.
디멘터는 이미 국내 대형 PG(Payment Gateway) 3개사 중 2개 기업과MOU를 체결하고 사업역량을 키우고 있다.
김 대표는 “국내 PG사업 규모가 점차 늘어나 3조원에 달하고 있으며, 한편으로 최근 공인인증서 사용을 자율적으로 결정할 수 있게 되어 새로운 인증수단 요구가 필요해 졌다”며 “디멘터를 통해 보안뿐만 아니라 편의성을 고려할 수 있는 방안이 점차 PG사업뿐만 아니라 금융기관, 엔터프라이즈 기업 및 공공기관으로 점차 확대될 것”이라고 보안시장을 전망했다.

보안시장은 점차 금융기관에서 공공기업, 엔터프라이즈 기업, 군, 헬스케어 분야로 점차 확대되고 있다. 이에 발맞춰 수많은 보안전문 기업들이 솔루션을 통해 기업 보안 지원을 모색하고 있다. 그러나 한시적인 보안 솔루션만으로는 부족하다는 것이 기업의 보안을 책임지는 CISO들의 공통된 의견이다.
디멘터는 이러한 니즈에 부응하고자 보안 솔루션보다 한 단계 발전된 형태의 ‘서비스’로써 제공하고자 노력하고 있다.
GOTP 디멘터를 포함해, IT 개발 환경에서 개인정보가 담긴 DB를 변환시켜 주는 ‘체크맨’ 또한 제공하며 통합 보안 서비스 실현에 앞장서고 있다.
김민수 대표는 “기업 보안트렌드가 다른 기업에서 사고 난 모습을 보고 때우기식 보안형태에서, 왜 우리가 보안을 적용해야 하는 것인지에 대한 통찰력으로 변화하고 있다”며 “디멘터는 단순한 보안솔루션 공급방식에서 벗어나 다양한 보안제품을 기반으로 토털 컨설팅 보안업체로 성장하기 위한 비전을 제시하고 있다”고 말했다.
그는 “차세대 보안은 기업의‘Life’가 될 것이며, 기업의 모든 영역은 보안에 의해 지배될 것으로 예측되고 있다”며 “디멘터는 그래픽인증이라는 언어의 장벽이 없는 보안서비스 제공을 통해 글로벌 보안 수출의 동력으로 성장하겠다”며 포부를 밝혔다.
디멘터는 향후 디멘터와 체크맨을 중심으로 통합 보안서비스를 공급하고, 이를 통한 수출을 모색할 계획이다.