2017.09.21

굿바이 패스워드··· IT 담당자를 위한 '윈도우 헬로 비즈니스' 가이드

Jonathan Hassell | Computerworld
‘인증’이란 특정한 중앙적 권위체에 자신의 신원을 증명하는 행위다. 대부분의 경우 ID와 패스워드를 입력하는 방식으로 이뤄진다. 이 방식의 '인증'은 수 년간 지배적인 방식으로 받아들여졌다.

하지만 패스워드, 특히 기업에서 요구하는 패스워드는 기억하기도 힘든 여러 숫자와 특수문자, 대문자 등의 조합으로 이뤄지기 때문에 기억하기가 쉽지 않다. 결국 메모 패드 등에 따로 적어서 보관하지 않을 수 없으며 그마저도 해킹 등의 위험 때문에 주기적으로 바꿔주어야 했다.

외부 위협뿐 아니라 내부적인 유출 및 해킹도 위험 요소였다. 실제로 지난 몇 년간 수 차례 발생한 개인정보 폐기 사건들은 이 점을 증명해 준다. 또, 갈수록 정교해지는 피싱 공격으로 인해 사용자들 스스로가 패스워드를 노출하게 되는 가능성도 배제할 수 없게 되었다.

좋은 소식은, 마이크로소프트에서 별도의 하이엔드 하드웨어의 구매 없이도 생체 인증 및 신원 식별이 가능한 기업 등급의 기술을 개발했으며 이를 윈도우 10에 도입하고 있다는 사실이다. 오늘 글에서는 '윈도우 헬로 비즈니스(Windows Hello for Business)'라 불리는 MS의 이 기술이 주인공이다. 윈도우 헬로의 작동 방식과, 이 솔루션이 어떻게 사용자들을 길고 불편한 패스워드 체제에서 해방시키면서도 기업의 보안을 보장해 줄 수 있는지에 대해 알아본다.



윈도우 헬로 비즈니스의 작동 방식
'윈도우 헬로'는 윈도우가 지원하는 가장 유명한 생체 인증 시스템이다. 헬로는 지문 스캐너 또는 특수 카메라가 장착된 윈도우 10 기기 사용자들이 지문인식 또는 안면 인식을 통해 윈도우에 로그인 할 수 있게 해준다.

기업 시장을 겨냥한 윈도우 헬로 비즈니스는 기본적인 아이디어는 '헬로'와 같으면서 거기에 매니지먼트 툴 및 집행 기술 등을 더해 일관된 보안 프로필 및 기업 보안 정책을 지원한다. 윈도우 헬로 비즈니스는 매니지먼트 및 집행에 그룹 정책(Group Policy) 또는 모바일 디바이스 매니지먼트(MDM) 정책을 사용하며, 최적의 보안을 위하여 대부분의 클라우드 중심 상황에서 키 또는 인증서 기반의 인증 방식을 활용한다.

윈도우 헬로의 작동 방식은 크게 두 가지 경로를 통해 이뤄진다. 지문을 스캔 하거나, 적외선 카메라로 사용자의 얼굴을 촬영해 분석하는 경로가 그것이다. (홍채인식 기능 역시 지원하긴 하지만 홍채인식 카메라는 노트북이나 데스크탑보다는 스마트폰에 더 최적화 되어 있으므로 사실상 기업에게 더 유용한 방식은 지문 또는 안면인식이다.)

헬로는 사용자 고유의 신체적 특성을 패스워드 대신 도입된 암호 키와 연결시켜 신원을 인증한다. 암호 키는 특수한 보안 하드웨어 내부에 보관하거나, 또는 소프트웨어에 암호화 된 상태로 저장되며 윈도우에서 인증을 마친 후에만 잠금이 해제된다.

생체인식 기능을 원치 않는 기업들을 위해서는 네트워크 상으로 전송되는 패스워드를 대체할 인증 수단으로 PIN사용을 지원하고 있다.

윈도우 헬로는 마이크로소프트 계정(MS 클라우드 서비스나 X박스, 오피스365 등에 로그인 할 때 쓰이는 계정) 뿐 아니라 기업 액티브 디렉토리 디플로이먼트 계정, 애저 액티브 디렉토리 도메인에 연계된 도메인 계정들(이들은 상대적으로 새로운 계정들이다)까지 커버하고 있다. 향후에는 업계의 신원 전문 조직이 패스트 ID 온라인(IDO) 2.0프로토콜을 통해 지원하는 계정들까지도 그 보호대상에 포함시키게 될 예정이다.

그렇다면 윈도우 헬로가 기존의 패스워드 체제에 비해서 갖는 장점은 무엇일까? 우선, 헬로는 보안의 3박자를 모두 갖췄다. 신원 인증에 있어 최선의 방법은 사용자가 보유한 것, 사용자만이 아는 정보, 그리고 사용자 자신의 고유한 특성을 활용한 인증이다.

이런 측면에서 헬로의 인증방식은 3요건 모두에 부합한다. 사용자가 보유한 것(디바이스 보안모듈로 보호되는 사용자의 프라이빗 키), 사용자만이 아는 정보(등록 시부터 윈도우 헬로에서 디폴트로 사용하는 PIN), 그리고 사용자 자신의 고유의 특성(복제 및 오용이 불가능에 가까운 사용자의 얼굴, 그리고 마찬가지로 복제나 오용이 불가능한 지문 등 생체 정보) 3가지를 모두 활용하기 때문이다.

무엇보다도 이러한 생체 정보가 로컬 디바이스에만 저장되며 디렉토리나 기타 다른 인증 소스에 중앙적으로 집계 및 저장되지 않는다는 점이 흥미롭다. 다시 말해 윈도우 헬로의 보호를 받는 계정을 대상으로 한 개인정보 해킹은 그 해킹 위치에 목표가 되는 정보 자체가 존재하지 않는다는 점에서 불가능해진다.

물론 각 기기의 신뢰할 수 있는 플랫폼 모듈(또는 TPM)이 해킹 당할 가능성도 없지 않지만, 이를 위해 개별 사용자의 기기를 일일이 공략해야 한다. 공격자 입장에서는 차라리 해킹에 취약한 도메인 컨트롤러를 공격하는 편이 훨씬 효율적이다.

헬로의 생체 인증 방식에는 이를 위한 특수 하드웨어가 필요하다. 적외선 탐지가 가능한 웹캠 및 카메라가 있어야 사진과 실제 얼굴을 구분할 수 있기 때문이다. 대부분 노트북 제조사들이 이제는 헬로와 같은 생체인식용 카메라를 장착한 제품들을 내놓고 있다. 물론 이러한 생체인식용 카메라만 따로 구매하는 것도 가능하다.

지문 스캔 기능 역시 모바일 기기에 수 년 전부터 적용되어왔다. 사실상 버전을 막론하고 윈도우에서 호환되는 지문 스캐너는 헬로에서도 사용할 수 있다. 그러나 이전 모델들에 비해 최근에 나온 스캐너일수록 지문 인식이 빠르게, 그리고 한번에 이뤄진다고 마이크로소프트는 설명했다.

중요한 것은 지문 인식, 안면 인식, PIN입력 등의 방식 중 하나만을 선택할 수도 있고, 둘 이상을 조합해서 사용할 수도 있다는 사실이다. 실제로 3정보 모두를 입력해 두고 로그인 할 때마다 어느 방식으로 할 것인가를 선택하는 것이 가능하다. 이 3가지 인증 방식은 각각 하나의 '제스쳐'로 불리며, 이러한 제스쳐가 입력되면 사용자의 신원을 보호하는 공용 및 사설 키, 그리고 정보 확인 과정이 촉발된다.

등록 절차
윈도우 헬로를 사용하기 위해서는 우선 사용자 계정을 등록해야 한다. 그래야만 윈도우가 기존의 패스워드를 대체하는 데 필요한 요소들을 생성할 수 있기 때문이다. 우선 사용자는 기기에서 계정을 설정하게 된다(또는 관리자가 기기에 사용자 계정을 추가한다).

이 등록 과정에서 사용자는 아이디와 패스워드를 통해 정상 경로를 인증하게 된다. 그러면 인증 소스(주로 액티브 디렉토리)에서 사용자의 신원에 대한 통과 또는 거절을 하게 되며 사용자는 그 후에 비로소 PIN을 활성화 할 수 있다. PIN은 사용자의 기기, 계정과 불가분의 관계를 맺게 된다.

왜 패스워드가 아니라 PIN인가?
얼핏 생각하면, PIN은 패스워드와 별로 다를 게 없으면서도 안전성은 훨씬 떨어지는 인증 방식으로 보인다. 패스워드보다 짧은데다, 한 가지 글자(주로 숫자이다)만을 사용한다. 뿐만 아니라 은행, 핸드폰, 태블릿 잠금 해제 등 사용이 불가능한 경우도 많다. 그렇지만 인증 과정에서 패스워드 확인 방식을 이해한다면 왜 PW대신 PIN을 사용하는지 알 수 있을 것이다.

패스워드는 네트워크를 거쳐 인증 소스로 전송되며, 거기에서 확인절차를 통해 승인 또는 거절된다. 그런데 네트워크를 통해 전송되는 과정에서 누구나 방법만 알면 중간에 끼어들어 이를 낚아챈 후 다른 곳에서 얼마든지 사용할 수 있다. 또한 앞서 이야기했듯이, 모든 패스워드가 중앙적으로 저장, 관리되는 경우 단 한번의 공격으로도 모든 패스워드가 노출되는 리스크도 존재한다.

반면 윈도우 헬로에서는 PIN을 단일 기기의 TPM에 종속된 일련의 인증 과정의 포문을 여는 문지기 역할로 활용하고 있다. PIN은 로컬 기기에서만 작동하며 그 외의 어떤 위치의 어떤 인증 절차에서도 활용되지 못한다.

윈도우는 이후 공용 인증 키와 사설 인증 키로 구성된 한 쌍의 키를 생성해 이를 하드웨어 TPM모듈에 저장하며 만일 TPM이 없는 경우 키를 암호화하여 소프트웨어에 저장한다. 이 첫 번째 키 쌍은 사용자의 PIN '제스쳐'와 연계되어 있으며 '보호 키(protector key)'라고 불린다.

이 프로세스 후반부에 사용자는 부가적인 생체인식 제스처를 등록할 수도 있다. 각 제스처는 '인증 키(authentication key)'를 감싸며 보호하는 고유의 '보호 키'를 갖는다. 각 컨테이너당 인증 키는 하나 뿐이지만, 기기에 등록된 여러 가지 제스쳐의 각기 다른 보호 키가 이 핵심 인증 키를 감싸며 보호하는 형태가 된다.

또한 윈도우에서 자동으로 관리자 키를 생성해 필요할 경우 인증 정보를 완전히 리셋 할 수 있으며, TPM역시 TPM관련 정보 및 증명서를 보관하는 자체적인 정상 데이터 블록을 가지고 있다.

이처럼 PIN과 보호 키가 생성되고 나면, 사용자는 이제 PIN을 사용해 신뢰할 수 있는 경로로 기기에 대한 인증을 할 수 있다. 이 단계가 완성되고 나면 지문이나 안면 인식 등 생체인식 제스처를 추가해 부가적인 인증 경로를 생성할 수 있게 된다.

그룹 정책을 통해 '윈도우 헬로 비즈니스' 적용하기
아마 눈치챈 독자도 있겠지만, 윈도우 헬로 조직 전체에 적용하기 위해서는 그룹 정책이라는 과정을 거쳐야 한다. 그룹 정책 관리 콘솔 내의 ‘정책> 관리자 템플릿> 윈도우 구성요소> 윈도우 헬로 비즈니스 메뉴의 사용자 설정’과 ‘컴퓨터 설정 메뉴’에서 정책 설정이 가능하다. 중요 설정 대상 정책들은 다음과 같다.

 
CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.
2017.09.21

굿바이 패스워드··· IT 담당자를 위한 '윈도우 헬로 비즈니스' 가이드

Jonathan Hassell | Computerworld
‘인증’이란 특정한 중앙적 권위체에 자신의 신원을 증명하는 행위다. 대부분의 경우 ID와 패스워드를 입력하는 방식으로 이뤄진다. 이 방식의 '인증'은 수 년간 지배적인 방식으로 받아들여졌다.

하지만 패스워드, 특히 기업에서 요구하는 패스워드는 기억하기도 힘든 여러 숫자와 특수문자, 대문자 등의 조합으로 이뤄지기 때문에 기억하기가 쉽지 않다. 결국 메모 패드 등에 따로 적어서 보관하지 않을 수 없으며 그마저도 해킹 등의 위험 때문에 주기적으로 바꿔주어야 했다.

외부 위협뿐 아니라 내부적인 유출 및 해킹도 위험 요소였다. 실제로 지난 몇 년간 수 차례 발생한 개인정보 폐기 사건들은 이 점을 증명해 준다. 또, 갈수록 정교해지는 피싱 공격으로 인해 사용자들 스스로가 패스워드를 노출하게 되는 가능성도 배제할 수 없게 되었다.

좋은 소식은, 마이크로소프트에서 별도의 하이엔드 하드웨어의 구매 없이도 생체 인증 및 신원 식별이 가능한 기업 등급의 기술을 개발했으며 이를 윈도우 10에 도입하고 있다는 사실이다. 오늘 글에서는 '윈도우 헬로 비즈니스(Windows Hello for Business)'라 불리는 MS의 이 기술이 주인공이다. 윈도우 헬로의 작동 방식과, 이 솔루션이 어떻게 사용자들을 길고 불편한 패스워드 체제에서 해방시키면서도 기업의 보안을 보장해 줄 수 있는지에 대해 알아본다.



윈도우 헬로 비즈니스의 작동 방식
'윈도우 헬로'는 윈도우가 지원하는 가장 유명한 생체 인증 시스템이다. 헬로는 지문 스캐너 또는 특수 카메라가 장착된 윈도우 10 기기 사용자들이 지문인식 또는 안면 인식을 통해 윈도우에 로그인 할 수 있게 해준다.

기업 시장을 겨냥한 윈도우 헬로 비즈니스는 기본적인 아이디어는 '헬로'와 같으면서 거기에 매니지먼트 툴 및 집행 기술 등을 더해 일관된 보안 프로필 및 기업 보안 정책을 지원한다. 윈도우 헬로 비즈니스는 매니지먼트 및 집행에 그룹 정책(Group Policy) 또는 모바일 디바이스 매니지먼트(MDM) 정책을 사용하며, 최적의 보안을 위하여 대부분의 클라우드 중심 상황에서 키 또는 인증서 기반의 인증 방식을 활용한다.

윈도우 헬로의 작동 방식은 크게 두 가지 경로를 통해 이뤄진다. 지문을 스캔 하거나, 적외선 카메라로 사용자의 얼굴을 촬영해 분석하는 경로가 그것이다. (홍채인식 기능 역시 지원하긴 하지만 홍채인식 카메라는 노트북이나 데스크탑보다는 스마트폰에 더 최적화 되어 있으므로 사실상 기업에게 더 유용한 방식은 지문 또는 안면인식이다.)

헬로는 사용자 고유의 신체적 특성을 패스워드 대신 도입된 암호 키와 연결시켜 신원을 인증한다. 암호 키는 특수한 보안 하드웨어 내부에 보관하거나, 또는 소프트웨어에 암호화 된 상태로 저장되며 윈도우에서 인증을 마친 후에만 잠금이 해제된다.

생체인식 기능을 원치 않는 기업들을 위해서는 네트워크 상으로 전송되는 패스워드를 대체할 인증 수단으로 PIN사용을 지원하고 있다.

윈도우 헬로는 마이크로소프트 계정(MS 클라우드 서비스나 X박스, 오피스365 등에 로그인 할 때 쓰이는 계정) 뿐 아니라 기업 액티브 디렉토리 디플로이먼트 계정, 애저 액티브 디렉토리 도메인에 연계된 도메인 계정들(이들은 상대적으로 새로운 계정들이다)까지 커버하고 있다. 향후에는 업계의 신원 전문 조직이 패스트 ID 온라인(IDO) 2.0프로토콜을 통해 지원하는 계정들까지도 그 보호대상에 포함시키게 될 예정이다.

그렇다면 윈도우 헬로가 기존의 패스워드 체제에 비해서 갖는 장점은 무엇일까? 우선, 헬로는 보안의 3박자를 모두 갖췄다. 신원 인증에 있어 최선의 방법은 사용자가 보유한 것, 사용자만이 아는 정보, 그리고 사용자 자신의 고유한 특성을 활용한 인증이다.

이런 측면에서 헬로의 인증방식은 3요건 모두에 부합한다. 사용자가 보유한 것(디바이스 보안모듈로 보호되는 사용자의 프라이빗 키), 사용자만이 아는 정보(등록 시부터 윈도우 헬로에서 디폴트로 사용하는 PIN), 그리고 사용자 자신의 고유의 특성(복제 및 오용이 불가능에 가까운 사용자의 얼굴, 그리고 마찬가지로 복제나 오용이 불가능한 지문 등 생체 정보) 3가지를 모두 활용하기 때문이다.

무엇보다도 이러한 생체 정보가 로컬 디바이스에만 저장되며 디렉토리나 기타 다른 인증 소스에 중앙적으로 집계 및 저장되지 않는다는 점이 흥미롭다. 다시 말해 윈도우 헬로의 보호를 받는 계정을 대상으로 한 개인정보 해킹은 그 해킹 위치에 목표가 되는 정보 자체가 존재하지 않는다는 점에서 불가능해진다.

물론 각 기기의 신뢰할 수 있는 플랫폼 모듈(또는 TPM)이 해킹 당할 가능성도 없지 않지만, 이를 위해 개별 사용자의 기기를 일일이 공략해야 한다. 공격자 입장에서는 차라리 해킹에 취약한 도메인 컨트롤러를 공격하는 편이 훨씬 효율적이다.

헬로의 생체 인증 방식에는 이를 위한 특수 하드웨어가 필요하다. 적외선 탐지가 가능한 웹캠 및 카메라가 있어야 사진과 실제 얼굴을 구분할 수 있기 때문이다. 대부분 노트북 제조사들이 이제는 헬로와 같은 생체인식용 카메라를 장착한 제품들을 내놓고 있다. 물론 이러한 생체인식용 카메라만 따로 구매하는 것도 가능하다.

지문 스캔 기능 역시 모바일 기기에 수 년 전부터 적용되어왔다. 사실상 버전을 막론하고 윈도우에서 호환되는 지문 스캐너는 헬로에서도 사용할 수 있다. 그러나 이전 모델들에 비해 최근에 나온 스캐너일수록 지문 인식이 빠르게, 그리고 한번에 이뤄진다고 마이크로소프트는 설명했다.

중요한 것은 지문 인식, 안면 인식, PIN입력 등의 방식 중 하나만을 선택할 수도 있고, 둘 이상을 조합해서 사용할 수도 있다는 사실이다. 실제로 3정보 모두를 입력해 두고 로그인 할 때마다 어느 방식으로 할 것인가를 선택하는 것이 가능하다. 이 3가지 인증 방식은 각각 하나의 '제스쳐'로 불리며, 이러한 제스쳐가 입력되면 사용자의 신원을 보호하는 공용 및 사설 키, 그리고 정보 확인 과정이 촉발된다.

등록 절차
윈도우 헬로를 사용하기 위해서는 우선 사용자 계정을 등록해야 한다. 그래야만 윈도우가 기존의 패스워드를 대체하는 데 필요한 요소들을 생성할 수 있기 때문이다. 우선 사용자는 기기에서 계정을 설정하게 된다(또는 관리자가 기기에 사용자 계정을 추가한다).

이 등록 과정에서 사용자는 아이디와 패스워드를 통해 정상 경로를 인증하게 된다. 그러면 인증 소스(주로 액티브 디렉토리)에서 사용자의 신원에 대한 통과 또는 거절을 하게 되며 사용자는 그 후에 비로소 PIN을 활성화 할 수 있다. PIN은 사용자의 기기, 계정과 불가분의 관계를 맺게 된다.

왜 패스워드가 아니라 PIN인가?
얼핏 생각하면, PIN은 패스워드와 별로 다를 게 없으면서도 안전성은 훨씬 떨어지는 인증 방식으로 보인다. 패스워드보다 짧은데다, 한 가지 글자(주로 숫자이다)만을 사용한다. 뿐만 아니라 은행, 핸드폰, 태블릿 잠금 해제 등 사용이 불가능한 경우도 많다. 그렇지만 인증 과정에서 패스워드 확인 방식을 이해한다면 왜 PW대신 PIN을 사용하는지 알 수 있을 것이다.

패스워드는 네트워크를 거쳐 인증 소스로 전송되며, 거기에서 확인절차를 통해 승인 또는 거절된다. 그런데 네트워크를 통해 전송되는 과정에서 누구나 방법만 알면 중간에 끼어들어 이를 낚아챈 후 다른 곳에서 얼마든지 사용할 수 있다. 또한 앞서 이야기했듯이, 모든 패스워드가 중앙적으로 저장, 관리되는 경우 단 한번의 공격으로도 모든 패스워드가 노출되는 리스크도 존재한다.

반면 윈도우 헬로에서는 PIN을 단일 기기의 TPM에 종속된 일련의 인증 과정의 포문을 여는 문지기 역할로 활용하고 있다. PIN은 로컬 기기에서만 작동하며 그 외의 어떤 위치의 어떤 인증 절차에서도 활용되지 못한다.

윈도우는 이후 공용 인증 키와 사설 인증 키로 구성된 한 쌍의 키를 생성해 이를 하드웨어 TPM모듈에 저장하며 만일 TPM이 없는 경우 키를 암호화하여 소프트웨어에 저장한다. 이 첫 번째 키 쌍은 사용자의 PIN '제스쳐'와 연계되어 있으며 '보호 키(protector key)'라고 불린다.

이 프로세스 후반부에 사용자는 부가적인 생체인식 제스처를 등록할 수도 있다. 각 제스처는 '인증 키(authentication key)'를 감싸며 보호하는 고유의 '보호 키'를 갖는다. 각 컨테이너당 인증 키는 하나 뿐이지만, 기기에 등록된 여러 가지 제스쳐의 각기 다른 보호 키가 이 핵심 인증 키를 감싸며 보호하는 형태가 된다.

또한 윈도우에서 자동으로 관리자 키를 생성해 필요할 경우 인증 정보를 완전히 리셋 할 수 있으며, TPM역시 TPM관련 정보 및 증명서를 보관하는 자체적인 정상 데이터 블록을 가지고 있다.

이처럼 PIN과 보호 키가 생성되고 나면, 사용자는 이제 PIN을 사용해 신뢰할 수 있는 경로로 기기에 대한 인증을 할 수 있다. 이 단계가 완성되고 나면 지문이나 안면 인식 등 생체인식 제스처를 추가해 부가적인 인증 경로를 생성할 수 있게 된다.

그룹 정책을 통해 '윈도우 헬로 비즈니스' 적용하기
아마 눈치챈 독자도 있겠지만, 윈도우 헬로 조직 전체에 적용하기 위해서는 그룹 정책이라는 과정을 거쳐야 한다. 그룹 정책 관리 콘솔 내의 ‘정책> 관리자 템플릿> 윈도우 구성요소> 윈도우 헬로 비즈니스 메뉴의 사용자 설정’과 ‘컴퓨터 설정 메뉴’에서 정책 설정이 가능하다. 중요 설정 대상 정책들은 다음과 같다.

 
CIO의 프리미엄 콘텐츠입니다. 이 기사를 더 읽으시려면 개인정보 등록이 필요합니다. 이미 등록하신 분은 '본인확인'을 해주십시오.
X