2017.09.05

'스마트폰 없이 칩에서 이중인증'··· 인텔, 8세대 코어부터 'U2F' 지원

Mark Hachman | PCWorld
패스워드 매니저인 '대시레인(Dashlane)'은 인텔의 8세대 코어 칩의 '잘 알려지지 않은' 기능을 이용한 첫번째 사례가 될 전망이다. 이른바 'U2F(Universal Second Factor)' 인증 기술로, 스마트폰 대신 PC 자체에서 이중인증을 지원한다. 인텔 코어 8세대 아키텍처 내에 기본으로 포함돼 있어 앞으로 크게 활용될 가능성이 높다는 분석이다.



이중인증이란 이메일과 온라인 스토리지, 혹은 다른 데이터 외에 추가 인증을 사용하는 것으로 지난 수년간 보안 강화를 위해 권장됐다. 이중인증은 일반적으로 별도 앱 혹은 SNS를 통해 휴대폰으로 전송된 코드를 요구하는데, 인텔의 8세대 코어 아키텍처과 관련 소프트웨어를 이용하면 이 이중인증 과정에서 휴대폰이 필요없어진다. PC 화면에 나타난 '버튼'을 누르는 것만으로 이중인증 절차를 마칠 수 있기 때문이다.

엄밀히 말하면 U2F는 '기술적으로' 새로운 것이 아니다. 인텔은 7세대 코어 칩 카비 레이크(Kaby Lake)부터 'SGX(Software Guard Extensions)'라는 기술을 지원했다. SGX란 칩 내에 별도로 격리된 공간으로, 암호화 키를 저장하는 데 사용된다. 그러나 현재 SGX를 지원하는 서비스는 드롭박스와 듀오 시큐리티 등 2개에 불과하다. 그나마 올해 초 개념증명(PoC)으로 공개됐을 뿐이다.

8세대 코어 칩이 본격 보급되면 대시레인은 즉시 이 내장 기술을 사용해 U2F를 추가 인증의 하나로 사용한다. 대시레인의 전략 파트너십 매니저 알리슨 베이커는 "U2F는 일반 사용자용 8세대 코어 칩에서 작동하며 인텔의 기업용 v프로 기술이 필요하지 않다. 인텔 기반 호환 PC만 있으면, 휴대폰이나 다른 기기 없이 이중인증을 사용할 수 있다"라고 말했다.

칩 수준의 이중인증이 주목받는 것은 PC 보안이 여전히 취약하기 때문이다. 윈도우 헬로, 사용자 PIN, 윈도우 패스워드 등 여러 가지 수단을 사용함에도 불구하고 여전히 보안에 대한 우려가 존재한다. 특히 어떤 기기에서든 접속해 사용하는 웹서비스를 이용할 때는 정상적 사용자와 해커를 구분하기 위한 추가 보안 인증이 필요하다. 이중인증은 이러한 온라인 접속의 보안을 강화하는 데 도움이 되고, U2F는 그 이중인증 과정을 더 간편하게 만든다.

FIDO 얼라이언스는 이중인증을 더 널리 보급하기 위해 U2F를 오픈 인증 표준으로 개발했다. 그 결과 대시레인 같은 온라인 서비스는 키 2개를 생성하는 것만으로 U2F를 사용할 수 있다. 하나는 서비스 자체에서 생성하는 공개키이고 다른 하나는 사용자 PC의 코어 칩 내에 저장되는 개인키다.

대시레인의 베이커에 따르면, 사용자의 개인키는 이 서비스가 사용자 PC로부터 왔다는 것을 검증하는 데 사용되는데, 이 키의 서명은 사용자가 화면에 나타난 버튼을 클릭해야만 생성된다. 이 버튼은 인텔의 '온라인 커넥트(Online Connect)' 미들웨어에 의해 화면에 표시된다. 인텔은 그동안 PC 보안 솔루션을 꾸준히 개발해왔는데, 지난해에는 지문과 PIN 등을 결합한 인증 기술을 선보이기도 했다.


현재 제품을 개발하고 있는 GIF 대시레인에 따르면, 대시레인에서 이중인증하려면 패스워드를 입력해야 한다. 인텔의 온라인 커넥트가 보안 키를 확인해 개별 화면의 임의 부분에 버튼을 보여주면 사용자는 15초 이내에 이를 클릭해야 한다. 이 화면은 PTD(Protected Transaction Display)라고 불리는 인텔 기술을 이용하는데, 실제로 인텔 칩 자체에서 화면을 생성한다. 인텔에 따르면, 정상적인 사용자는 버튼을 볼 수 있고 해커는 검은 박스의 빈 화면만 보게 된다.

단, U2F가 전통적인 이중인증보다 더 안전하다고 보기는 힘들다. 예를 들어 8세대 칩이 들어간 PC를 내버려 둔 채 사용자가 커피를 사러 갔다고 가정해 보자. 사용자가 PIN 번호를 예측하기 쉽게 정했고, 해커가 화면에 나타나는 인증 버튼까지 눌렀다고 해도 최종적으로 로그인하려면 대시레인의 마스터 패스워드까지 알고 있어야 한다.

같은 시나리오에 대해 휴대폰을 사용하는 전통적인 이중인증 체계에서는 대시레인같은 서비스도 휴대폰이 필요하다. 휴대폰은 사용자 대부분이 몸에 지니고 있으므로 사용자가 잠시 자리를 비운 사이 해커가 사용자 시스템에 로그인을 시도하면 곧바로 휴대폰으로 경고 알림을 받게 된다. 즉 현재까지는 U2F 역시 윈도우 헬로와 PIN, 패스워드 등 PC를 보호하는 제1 단계 수준에 더 중점을 두고 있다는 것을 알 수 있다.

대신 U2F는 다른 철학으로 접근한 기술이다. 즉 패스워드는 효율적이지만 복잡하고, 어려운 패스워드는 여러번 입력하기가 매우 번거롭다. 즉 사용자에게 많은 번거로움을 주지 않으면서도 보안을 강화할 방법이 필요한 것이다. 그리고 U2F가 바로 이러한 필요에 잘 부합한다. 즉 인텔과 협력업체들은 빠르고 효율적인 보안 방법을 만드는 데 더 집중하고 있음을 알 수 있다. 실제로 대시레인 같은 서비스 업체가 인텔 코어 칩에 내장된 U2F 기능을 적극 활용하려 하는 것도 이 때문이다. ciokr@idg.co.kr 



2017.09.05

'스마트폰 없이 칩에서 이중인증'··· 인텔, 8세대 코어부터 'U2F' 지원

Mark Hachman | PCWorld
패스워드 매니저인 '대시레인(Dashlane)'은 인텔의 8세대 코어 칩의 '잘 알려지지 않은' 기능을 이용한 첫번째 사례가 될 전망이다. 이른바 'U2F(Universal Second Factor)' 인증 기술로, 스마트폰 대신 PC 자체에서 이중인증을 지원한다. 인텔 코어 8세대 아키텍처 내에 기본으로 포함돼 있어 앞으로 크게 활용될 가능성이 높다는 분석이다.



이중인증이란 이메일과 온라인 스토리지, 혹은 다른 데이터 외에 추가 인증을 사용하는 것으로 지난 수년간 보안 강화를 위해 권장됐다. 이중인증은 일반적으로 별도 앱 혹은 SNS를 통해 휴대폰으로 전송된 코드를 요구하는데, 인텔의 8세대 코어 아키텍처과 관련 소프트웨어를 이용하면 이 이중인증 과정에서 휴대폰이 필요없어진다. PC 화면에 나타난 '버튼'을 누르는 것만으로 이중인증 절차를 마칠 수 있기 때문이다.

엄밀히 말하면 U2F는 '기술적으로' 새로운 것이 아니다. 인텔은 7세대 코어 칩 카비 레이크(Kaby Lake)부터 'SGX(Software Guard Extensions)'라는 기술을 지원했다. SGX란 칩 내에 별도로 격리된 공간으로, 암호화 키를 저장하는 데 사용된다. 그러나 현재 SGX를 지원하는 서비스는 드롭박스와 듀오 시큐리티 등 2개에 불과하다. 그나마 올해 초 개념증명(PoC)으로 공개됐을 뿐이다.

8세대 코어 칩이 본격 보급되면 대시레인은 즉시 이 내장 기술을 사용해 U2F를 추가 인증의 하나로 사용한다. 대시레인의 전략 파트너십 매니저 알리슨 베이커는 "U2F는 일반 사용자용 8세대 코어 칩에서 작동하며 인텔의 기업용 v프로 기술이 필요하지 않다. 인텔 기반 호환 PC만 있으면, 휴대폰이나 다른 기기 없이 이중인증을 사용할 수 있다"라고 말했다.

칩 수준의 이중인증이 주목받는 것은 PC 보안이 여전히 취약하기 때문이다. 윈도우 헬로, 사용자 PIN, 윈도우 패스워드 등 여러 가지 수단을 사용함에도 불구하고 여전히 보안에 대한 우려가 존재한다. 특히 어떤 기기에서든 접속해 사용하는 웹서비스를 이용할 때는 정상적 사용자와 해커를 구분하기 위한 추가 보안 인증이 필요하다. 이중인증은 이러한 온라인 접속의 보안을 강화하는 데 도움이 되고, U2F는 그 이중인증 과정을 더 간편하게 만든다.

FIDO 얼라이언스는 이중인증을 더 널리 보급하기 위해 U2F를 오픈 인증 표준으로 개발했다. 그 결과 대시레인 같은 온라인 서비스는 키 2개를 생성하는 것만으로 U2F를 사용할 수 있다. 하나는 서비스 자체에서 생성하는 공개키이고 다른 하나는 사용자 PC의 코어 칩 내에 저장되는 개인키다.

대시레인의 베이커에 따르면, 사용자의 개인키는 이 서비스가 사용자 PC로부터 왔다는 것을 검증하는 데 사용되는데, 이 키의 서명은 사용자가 화면에 나타난 버튼을 클릭해야만 생성된다. 이 버튼은 인텔의 '온라인 커넥트(Online Connect)' 미들웨어에 의해 화면에 표시된다. 인텔은 그동안 PC 보안 솔루션을 꾸준히 개발해왔는데, 지난해에는 지문과 PIN 등을 결합한 인증 기술을 선보이기도 했다.


현재 제품을 개발하고 있는 GIF 대시레인에 따르면, 대시레인에서 이중인증하려면 패스워드를 입력해야 한다. 인텔의 온라인 커넥트가 보안 키를 확인해 개별 화면의 임의 부분에 버튼을 보여주면 사용자는 15초 이내에 이를 클릭해야 한다. 이 화면은 PTD(Protected Transaction Display)라고 불리는 인텔 기술을 이용하는데, 실제로 인텔 칩 자체에서 화면을 생성한다. 인텔에 따르면, 정상적인 사용자는 버튼을 볼 수 있고 해커는 검은 박스의 빈 화면만 보게 된다.

단, U2F가 전통적인 이중인증보다 더 안전하다고 보기는 힘들다. 예를 들어 8세대 칩이 들어간 PC를 내버려 둔 채 사용자가 커피를 사러 갔다고 가정해 보자. 사용자가 PIN 번호를 예측하기 쉽게 정했고, 해커가 화면에 나타나는 인증 버튼까지 눌렀다고 해도 최종적으로 로그인하려면 대시레인의 마스터 패스워드까지 알고 있어야 한다.

같은 시나리오에 대해 휴대폰을 사용하는 전통적인 이중인증 체계에서는 대시레인같은 서비스도 휴대폰이 필요하다. 휴대폰은 사용자 대부분이 몸에 지니고 있으므로 사용자가 잠시 자리를 비운 사이 해커가 사용자 시스템에 로그인을 시도하면 곧바로 휴대폰으로 경고 알림을 받게 된다. 즉 현재까지는 U2F 역시 윈도우 헬로와 PIN, 패스워드 등 PC를 보호하는 제1 단계 수준에 더 중점을 두고 있다는 것을 알 수 있다.

대신 U2F는 다른 철학으로 접근한 기술이다. 즉 패스워드는 효율적이지만 복잡하고, 어려운 패스워드는 여러번 입력하기가 매우 번거롭다. 즉 사용자에게 많은 번거로움을 주지 않으면서도 보안을 강화할 방법이 필요한 것이다. 그리고 U2F가 바로 이러한 필요에 잘 부합한다. 즉 인텔과 협력업체들은 빠르고 효율적인 보안 방법을 만드는 데 더 집중하고 있음을 알 수 있다. 실제로 대시레인 같은 서비스 업체가 인텔 코어 칩에 내장된 U2F 기능을 적극 활용하려 하는 것도 이 때문이다. ciokr@idg.co.kr 

X