[블록체인] 7장, 블록체인과 이중 인중

유효한 자격증명을 보유한 공격자는 정당한 사용자처럼 보이므로 보안 솔루션을 우회할 수 있다. 2016년 버라이즌 데이터 유출 보고서에 따르면 성공적인 유출의 63%는 자격증명에 관련된 문제가 있었다. 이중 인증(two-factor authentication, 2FA)은 자격증명으로 시스템을 보호하는 방식에 한 단계를 추가함으로써 보안을 강화하는 솔루션이다.

 

이중 인증이란 무엇인가?

2FA는 보안의 추가적인 계층으로, 정당한 사용자만이 계정에 접근할 수 있게 한다. 이 방법에서는 사용자가 자신의 사용자명과 패스워드의 조합을 입력하면 계정에 바로 들어가도록 해주는 대신 또 다른 정보를 요구한다. 여기서 또 다른 정보라 함은 다음과 같은 것 중 하나가 될 수 있다.

 

• 사용자가 아는 것: 패스워드나 비밀 질문, 개인 식별 번호(PIN) 등
• 사용자가 가진 것: 카드 정보, 스마트폰, 하드웨어 또는 소프트웨어 토큰 기반의 이차적 인증
• 사용자를 나타내는 것: 둘째 단계에서 사용자를 식별하는 가장 효과적인 방법은 키스트로크 또는 마우스 조작 패턴 같은 생체 측정 데이터를 이용한 것이다.

사용자 인증의 진화

견고한 인증 솔루션을 지원하는 솔루션을 선택하는 것이 중요하다. 조직은 시스템이 미래에도 잘 작동하고 상호 운용성을 보장받고자 한다. 다은 다이어그램은 인증 시스템이 단일 인증(SFA)에서부터 다중 인증MFA) 시스템으로까지 발전한 과정을 설명한다.

 

• 단일 인증(SFA): 사용자가 미리 공유한 정보, 즉 PIN이나 패스워드, 보안 질문 등을 기초로 한다. 이 방법의 단점은 사용자가 애플리케이션을 자주 사용하지 않다 보면 미리 공유한 정보를 잊어버릴 수 있다는 것이다.
• 이중 인증(2FA): 이 방식은 사용자가 미리 공유한 정보를 잊어버리는 경향을 극복한다. 스마트폰, 키카드, 일회용 패스워드(OTP) 인증 방법이 있다. 이러한 요소에서 2차 인증 단계는 동적이며, 사용자는 애플리케이션 소유자에게 아무것도 공유할 필요가 없다. 또한 자격증명을 도난단함으로 인해 계정이 악용될 위험을 회피한다.
• 다중 인증(MFA): 목소리 지문, 안면 인식, 손금, 홍채 인식, 지문 스캐닝, 지리적 위치, 온도 이미지 인식, 기타 여러 방법을 가지고 사용자를 인증한다.

왜 이중 인증인가?

이중 인증은 최종 사용자와 비즈니스 보안을 도우며, 다음과 같은 여러 장점이 있다.

 

• 더 나은 보안: 이차 인증을 통합함으로써 SMS 기반 OTP는 공격자가 정당한 사용자로 위장하는 리스크를 줄인다. 이는 계정 절취와 데이터 유출의 위험을 줄여준다. 해커가 다크 웹에서 사용자의 자격증명을 구한다 하더라도 그들은 완전한 인증에 요구되는 정보의 두 번째 조각을 가질 수 없다.
• 생산성 향상: 모바일 이중 인증은 글로벌 비즈니스가 이차 인증을 매끄럽게 사용하도록 돕는다. 직원들은 어느 곳에서 어느 장치를 사용하더라도 기밀 정보를 공유하지 않고도 기업 애플리케이션, 문서, 서드파티 시스템에 안전하게 접근할 수 있다.
• 부정 감소와 신뢰 증진: 데이터 유출이 일어나면 책임 소재와 관계없이 그 피해자는 해당 업체의 이용을 꺼리게 된다. 이중인증은 사용자의 신뢰를 증진하며 상거래 사이트의 부정 시도를 감소시킬 수 있다.

작동 원리

이중 인증은 클라우드 기반 솔루션과 직접 설치(on-premise) 솔루션의 두 가지 방식으로 구현할 수 있다.

 

• 클라우드 기반 솔루션: 전자상거래, 온라인 뱅킹, 기타 온라인 서비스 관련 웹 애플리케이션에서 널리 사용된다.
• 직접 설치 솔루션: 조직에서는 클라우드 기반 보안 솔루션보다는 직접 설치 솔루션을 선호하는 경향이 있다. 직원이 웹 애플리케이션에 접근해 사용자명과 패스워드의 조합을 입력하면 이 정보는 내부 VPN 통합기(integrator)로 보내져 자격증명의 처리 및 조직과 제3의 이중 인증 제공자 간의 키를 교환한다. 이중 인증 제공자는 OTP를 생성하고, 이것은 SMS 혹은 모바일 애플리케이션을 통해 직원과 공유한다. 이 모델은 제3의 이중 인증 제공자와 자격증명을 공유하지 않으므로 조직의 프라이버시를 지키는 데 도움이 된다.

이중 인증의 문제점

이중 인증은 두 번째 단계에서 중앙 저장소에서 제공된 정보의 일부를 사용한다. 이 중앙 저장소는 사용자를 인증하는 데 필요한 모든 정보를 저장할 책임을 진다. 이중 인증은 인증의 두 번째 계층을 통해 보안성을 높여주지만 비밀 사용자 정보를 중앙의 데이터베이스에 저장한다는 문제점을 안고 있다. 중앙 데이터 베이스는 표적 공격에 의해 조작 또는 손상될 수 있어 대량 데이터의 유출 사고가 발생할 소지가 있다.

 

이중 인증에 블록체인을 접목하기

블록체인은 사이버 보안 솔루션 기반의 CIA 3원칙을 뒤흔들고 있다.

 

블록체인이 어떻게 이중 인증을 변화시킬 수 있는가?

블록체인은 탈중앙화를 이루도록 설계된 기술로서, 여러 참가자 사이에서 제3자의 개입 없이 어떠한 종류의 가치에 대해서든 거래를 일으킬 수 있게 해준다. 우리는 블록체인을 활용함으로써 민감한 정보가 한 곳의 데이터베이스에만 저장되지 않음을 확신할 수 있다. 그러나 그것은 불변성을 가진 블록체인 노드에서 가능하며, 데이터를 수정 또는 삭제할 수 없다.

 

이러한 사용자 장치들은 블록체인 네트워크를 통해 제3의 이중 인증 제공자에 의해 인증된다. 블록체인 네트워크의 참가자는 종단 정보를 안전하게 보관하며 2차 패스워드를 생성하기 위해 이중 인증 시스템을 활성화시킨다.

 

이중 인증 시스템을 공중 도메인에 구축할 수도 있고, 제3자 API 호출을 통해 사설 네트워크에 구축할 수도 있다.

 

솔루션 아키텍처

이더리움 블록체인을 사용해 이중 인증(2FA) 시스템을 구현한다. 이더리움에서는 스마트 계약을 가지고 애플리케이션을 구축할 수 있다.

 

사용자는 웹 포털에 접근해 1차 자격증명을 제출한다. 웹 애플리케이션은 이더리움 기반 저장소와 통신해 OTP를 생성하고 이것을 사용자와 공유한다.-

 

---

출처: 블록체인으로 구현하는 사이버 보안, 라즈나쉬 굽타 지음