"아이디·패스워드 체계는 보안 개념이 처음부터 없었습니다."
이재형 옥타코 대표는 30일 서울 강남구 코엑스에서 열린 과학기술정보통신부 주관 'AI 페스타 2025' 부대행사 '대한민국 사이버보안 컨퍼런스'에서 계정 보안의 구조적 한계를 지적하며 이같이 밝혔다.
그는 제로트러스트 아키텍처 구현에서 가장 중요한 키워드로 '피싱 레지스턴트(Phishing-resistant)'를 강조했다.
이 대표는 "국가 망 보안체계(N2SF)는 프레임워크로 어떤 보안 통제를 해야 하는지 '무엇'을 규정하는 것이고, 제로트러스트는 아키텍처로 '어떻게 구현할 것인가'를 다룬다"고 말했다.
그러면서 "NIST 800-207은 아이덴티티 기반, 마이크로 세그멘테이션 기반, SDN·SDP 기반 세 가지 접근 방법을 제시하고 있다. 조직 상황에 맞게 선택하면 된다"고 설명했다.
그는 디지털 아이덴티티 표준인 NIST 800-63-4를 언급하며 해외는 등록·인증·연동 단계를 레벨로 구분해 최소 기준을 정하고 있지만, 국내는 관련 기준이 없어 구조적으로 취약하다고 지적했다.
사용자 계정이 뚫리는 문제에 대해서도 강조했다. 그는 "대표적인 계정 공격이 18개 정도 있는데 아이디·패스워드로는 막을 수 있는 게 하나도 없다"며 OTP 역시 피싱과 워터링홀 공격에 일부만 대응할 수 있을 뿐 강력한 방어가 되지 못한다고 말했다.
이어 "OTP 번호가 탈취되면 사용자는 접속 오류만 겪고, 해커는 이미 계정 정보를 바꿔버린다"며 한계를 설명했다.
또한 일반적인 생체 인증 역시 안전하지 않다고 지적했다. "대부분 서버에 AES256으로 템플릿을 저장하는 방식인데, 해시캣 같은 툴을 돌리면 금방 평문으로 나온다"며 GPU 성능 향상으로 공격 속도가 빨라졌다는 점도 강조했다.
관련기사
- "다크웹에 유출 비번 5천억개 넘어"...'피싱 레지스턴트' 필요2025.09.16
- 2025년 우수 정보보호 제품은?...옥타코·센스톤·수산아이앤티 등 9곳 선정2025.06.30
- 이재형 옥타코 대표 "올해 인도네시아서 50만 달러 이상 매출"2025.06.26
- 옥타코, 인도네시아 보안 시장 공략...현지 컨퍼런스서 세션 발표2025.06.20
비밀번호 자체의 구조적 문제도 짚었다. "비밀번호는 서비스와 공유되는 구조이고 중앙에 저장되기 때문에 서비스가 털리면 사용자 비밀번호도 같이 털린다"며 주기적 변경이나 복잡성 강화 정책이 실효성이 낮다고 지적했다.
이 대표는 이런 문제를 해결하기 위해 피싱 레지스턴트 MFA가 필요하다고 강조했다. 그는 "미국 연방기관을 비롯해 해외에서는 이미 이를 의무화하고 있다"며 "제로트러스트 아이덴티티 구현의 핵심은 피싱 레지스턴트 인증"이라고 말했다.
