사용자가 PC와 모바일 기기에서 패스워드만 입력하면 인증과 전자서명을 할 수 있는 간편인증솔루션이 등장했다. 이 솔루션 기반의 인증환경 사용자는 브라우저만으로 인증과 전자서명을 수행할 수 있다. 모바일 기기에선 앱 설치, PC에선 EXE 프로그램 설치를 요구하는 기존 인증솔루션과의 차이점이다.
예티소프트(대표 도진혁)는 모바일과 PC환경에 적용할 수 있는 간편인증솔루션 '베스트핀(VestPIN)'을 출시했다고 23일 밝혔다. 예티소프트는 웹표준 보안솔루션 개발업체다. 웹표준 공인인증, 보안메일, 위변조방지 솔루션을 주요 제품으로 내놓고 있다. 보안 메일은 액티브X 대체기술(Non-ActiveX) 솔루션으로 보급되고 있다.
예티소프트 측에 따르면 베스트핀은 간편인증 기능과, 전자서명을 통한 부인방지 기능을 함께 제공하는 것이 특징이다. 앱과 EXE 프로그램 설치과정 없이 패스워드 입력만으로 사용자에게 인증과 전자서명 기능을 제공한다. 사용자는 이를 위해 브라우저에 4~6자리 PIN 번호만 입력하면 된다. 즉 PIN 번호는 사용자 로그인 과정에서 패스워드처럼 쓰이지만, 이 때 계정명(ID) 입력을 필요로하지 않는다. 또 PIN 번호는 그 입력후 전자서명 과정에서 사설 인증서처럼 사용돼, 공개키기반구조(PKI)의 부인방지 기능을 지원한다.
베스트핀 기반 인증환경에서, 사용자는 등록 절차를 통해 PIN을 최초 입력하면서 그 값과 서버측 정보를 가지고 사설 인증서 키 쌍을 생성한다. 생성된 키 쌍은 웹기술 표준 '웹크립토(WebCrypto)' API를 통해 보호된다. 사용자가 로그인할 때는 전자서명 결과가 서버로 전송되고, 서버는 이를 검증해 로그인 절차를 수행한다. 이 때 키 쌍은 매번 사용자가 입력한 PIN과 서버측 정보로 갱신돼, 유출과 재사용 피해를 방지해 준다. 다만 키 쌍은 갱신되더라도 사용자의 PIN 자체는 동일하다는 게 회사측 설명이다.
예티소프트는 기업들이 베스트핀을 통해 프로그램설치, 운영체제(OS)와 브라우저 종류 제약 없이 다양한 환경에서 동일한 인증을 사용할 수 있다고 강조하고 있다. 베스트핀은 가상키보드와 비밀번호 오류횟수 제한 기능을 갖췄고, 기존 공인인증 환경에서 발생되는 인증서 발급 및 유효성 검증 수수료, 휴대전화기반 추가본인인증 비용을 절감할 수 있다고 덧붙였다. 또 한국인터넷진흥원(KISA) 보안성지침을 준수해 개발됐다고 회사측은 설명했다.
관련기사
- 액티브X 없는 웹표준 인증-결제 , 보완점은?2018.02.23
- 디지털존, 액티브X 없는 의료증명발급 서비스2018.02.23
- 액티브X 없는 보안이 주는 의미2018.02.23
- 액티브X 없는 공인인증서 상용화 눈앞2018.02.23
도진혁 예티소프트 대표는 "예티소프트는 더 편리하고 안전한 인터넷 환경을 위해 무설치 방식의 보안메일, 웹 위변조방지, 스크립트 난독화, 브라우저기반 공인인증 기술을 연구해왔다"면서 "이번에 출시된 베스트핀은 예티소프트의 방향성을 가장 잘 보여주는 솔루션이며 이를 다양한 환경에 적용할 수 있도록 할 것"이라고 말했다.
회사는 현재 스마트폰을 이용한 생체인증, 블록체인 기반 대체인증기술이 활발히 검토되는 추세지만 대부분은 모바일 기반이라는 점을 고려하면 모바일 앱 형태 외의 인터넷 서비스에 적절한 대체인증수단을 찾기 어렵다고 진단했다. 이런 가운데 베스트핀이 모바일뿐아니라 PC환경에서도 쓸 수 있는 간편인증솔루션이라는 점도 강조했다. 베스트핀의 주요 기반 기술은 이미 지난해 11월 삼성카드가 홈페이지에 구축한 FIDO 규격 적용 PIN 인증 솔루션으로 도입됐다.
