올해 하반기 SK텔레콤이 제공하는 서비스를 이용하기 위한 계정 'T아이디'에 패스트아이덴티티온라인(FIDO) 표준 기술이 도입된다.
신민일 SK텔레콤 ICT기술센터 시큐리티랩스 매니저는 23일 서울 중구 밀레니엄서울힐튼에서 열린 FIDO 서울 세미나에서 이같이 밝혔다.
그에 따르면 SK텔레콤은 2015년부터 차세대 인증 서비스에 대해 관심을 갖기 시작했다. 자사 서비스에 안전성이 보장되는 로그인 방식을 도입하기 위함이다. 아이디와 비밀번호를 입력하는 기존 로그인 방식으로 계정 인증을 처리시 발생하는 보안상의 문제점을 해소할 수 있을 것이란 기대에서다.
기존 환경에서는 해커가 봇넷을 체계적으로 이용해 얻은 로그인 정보를 입력하는 방식으로 로그인을 시도하다 성공하면 정보를 탈취할 수 있다. '크리덴셜 스터핑'이라는 공격 유형이다. 대형 포털 사이트 등 보안이 뛰어난 서비스도 사용자가 그렇지 않은 사이트와 로그인 정보를 동일하게 사용하면 해킹될 수 있다.
편의성 측면에서도 우수하지 않다. 해커의 공격을 막기 위해 다양한 비밀번호를 활용하려면 불편함이 따른다. 신민일 SK텔레콤 매니저는 "앱,웹 서비스는 로그인 과정이 서비스의 첫인상이 아닐까 싶다"며 "개인적으로는 모든 서비스에 대해 비밀번호를 다르게 설정하고 있는데, 가입 후 몇 개월 지나 다시 로그인을 시도할 때 비밀번호를 잊어버려서 매번 찾아야 하는 경우 서비스에 대한 안좋은 인상을 받았다"고 털어놨다.
통신사 특성상 위치 데이터, 전화번호 등 개인정보와 밀접하게 연관돼 있는 서비스들이 다수 존재한다는 점도 고민거리였다.신민일 매니저는 "가입자가 10개의 부가서비스에 가입한다고 가정할 때, 10번의 SMS 인증을 거쳐야 하는데, 매우 불편하게 느껴질 수 있다"고 설명했다.
SK텔레콤은 자사 가입자 대상 서비스에 적용하기 전 검증 차원으로 SK 계열사들이 활용하는 그룹모바일포털서비스(GMP)에 FIDO 기술을 적용했다.
SK 직원은 GMP에서 여러 가지 업무용 앱을 내려받아 사용한다. FIDO를 도입하기 전까지는 아이디, 비밀번호를 입력해 로그인하는 전형적인 방식의 서비스였다. 보안 상의 문제로 계정 정보 저장도 되지 않았다.
신 매니저는 "GMP는 4만7천여명의 임직원이 이용하고 있고, 500개 이상의 비즈니스 앱이 존재한다"며 "기지국 정보, 통신 품질 정보 등 기업 기밀 차원의 정보들에 접근할 수 있는데 아이디와 패스워드로 로그인할 수 있게 하면서 이런 정보들을 제공하는 건 매우 위험한 일"이라고 진단했다.
이어 "임원들도 사용하는 서비스라는 점을 고려할 때 SMS를 통한 2차 인증 등의 방식은 큰 불편함을 초래할 것으로 판단했다"며 "사용성이 편리하고 보안이 강력한 FIDO 프로토콜이 GMP에 적당하다고 생각했다"고 밝혔다.
SK텔레콤은 그룹사 GMP에 FIDO를 도입, 지문 로그인 방식을 채택하고 있다. 이전엔 로그인을 하기 위해 평균 30초 이상이 걸렸던 반면, 5초 이하로 평균 시간이 줄어들었다. 이전엔 발생했던 크리덴셜 스터핑 공격도 원천 차단되는 성과를 거뒀다. T아이디에 FIDO를 도입하게 된 근거다.
관련기사
- FIDO 얼라이언스, 23일 서울 세미나 개최2019.09.24
- FIDO 얼라이언스, IoT 생체인증 확산 위한 그룹 개설2019.09.24
- 온라인 상의 안전한 인증 방식 도입 확대돼야2019.09.24
- 아톤, 한국전자인증과 보안·인증 솔루션 사업 협력2019.09.24
신 매니저는 "올 하반기 가입자 1천700만이 이용하는 T아이디에 FIDO를 도입할 예정"이라며 "사용처는 아이디 찾기, 패스워드 초기화, 사용자 정보 변경, T월드 2팩터 인증 등이 될 것"이라고 설명했다.
자사 서비스 외 비즈니스 활용 가능성도 검토 중이다. 신 매니저는 "IoT와 모바일 엣지 컴퓨팅(MEC) 관련 인증에 대해 FIDO를 이용하는 방안을 살펴보고 있다"고 언급했다.
