2018.07.24

블로그 | "모바일 기기의 각종 센서를 조합" 인증에 대한 이색 접근법

Craig Mathias | Network World
애리조나에 소재한 한 보안 기업이 모바일 인증에 대해 흥미로운 접근법을 개발하고 있다. 휴대폰의 여러 센서는 물론 사용자가 휴대폰을 쥐고 있는 정확한 각도까지 활용함으로써 공격을 훨씬 어렵게 만든다는 개념이다.

트루소나(Trusona)라는 이름의 이 기업은 지금까지 마이크로소프트 벤처스(Microsoft Ventures, 1,000만 달러), 클라이너(Kleiner), 퍼킨스(Perkins), 코필드(Caufield), 바이어스(Byers) 등으로부터 약 1,800만 달러를 투자 받았다고 발표했다.

특히 마이크로소프트 벤처스가 투자했다는 사실이 흥미롭다. 현재 인기 있는 모바일 인증 방법 중 하나가 마이크로소프트의 어센티케이터(Authenticator) 앱이기 때문이다. 마이크로소프트의 의도는 무엇일까? 업계 기반을 강화하고 있는 것일까? 아니면 최소한 기업 분야에서 트루소나가 어센티케이터를 위협할 수 있다고 생각하는 것일까?

트루소나의 기본적인 접근방식은 매우 간단하다. 사용자가 모바일 장치에서 인증 앱을 열면 데스크톱 장치의 QR 코드를 스캔할 수 있다. 또 이를 통해 사용자는 운전면허증이나 여권을 스캔하여 스스로를 인증할 수도 있다. 이 때 휴대폰이 정확한 거리와 각도를 측정해 재전송 공격(replay attack)에 대한 방어력을 확보한다.

이러한 접근방식은 사용자가 숫자나 문자를 입력할 필요가 없다. 어센티케이터나 확인 코드 문자 메시지(중간자 공격에 매우 취약함)와 다른 점이다. 텍스트가 필요 없는 이 접근방식은 사용자에 부담을 줄일 뿐 아니라 오타의 위험을 방지한다. 트루소나의 CEO 오리 아이슨은 "또 입력을 하지 않으면 키로거(Keylogger)가 감지해 키 입력을 캡처할 수 없다”라고 주장했다.



오늘날 모바일 장치는 놀라운 잠재력을 지녔다. 그러나 이들 기기의 잠재력 중 일부조차 제대로 사용하기 시작한 기업은 거의 없다. 모바일 보안의 관점에서 이런 추적 요소를 가능한 많이 활용할 때 잠재력이 커질 수 있다. 트루소나가 출원한 특허 중 하나를 검토해본 결과 트루소나가 여기에 황금이 있다고 판단했다는 것을 알 수 있었다.

트루소나의 특허출원서에는, 회사로 고려하는 모바일 인증 요소로 "이미지를 캡처하거나 바코드를 스캔할 때 카메라 또는 이미지 처리 장치의 이미지 처리 센서의 작동 파라미터가 있다”라고 기술돼 있다. 좀더 자세히 인용하면 다음과 같다.

"예를 들어, 카메라의 상태에는 노출 시간, ISO 속도 등급, 초점 거리, 플래시 사용, 색온도 보정, 해상도, 시간과 조명/방향/카메라의 위치 같은 환경 조건에 따라 바뀔 수 있는 기타 정보가 포함될 수 있다. 사용자 장치는 사용자 장치에는 하나 이상의 센서가 탑재되어 있어 이미지 처리 장치의 즉각적인 위치 및 자세 정보를 제공할 수 있다. 일부 모델에서는 위치 및 자세 정보를 위치 센서(GPS 등), 관성 센서(가속도계, 자이로스코프, 관성 측정 장치(EVIU) 등), 고도 센서, 자세 센서(나침반 등), 압력 센서(압력계 등), 필드 센서(자기계, 전자기 센서 등) 등의 센서가 제공할 수 있다.”

"위치 센서(GPS 센서, 위치 삼각 측량을 가능하게 하는 모바일 장치 전송기 등), 비전 센서(카메라 등 가시광선, 적외선, 자외선 등을 감지할 수 있는 이미지 처리 장치 등), 근접 센서(초음파 센서, 광선 레이더, 전파 시간 카메라 등), 관성 센서(가속도계, 자이로스코프, 관성 측정 장치(IMU) 등), 고도 센서, 압력 센서(압력계 등), 청각 센서(마이크 등), 시간 센서(시계 등), 온도 센서, 메모리 그리고/또는 프로세서 사용량을 감지할 수 있는 센서, 필드 센서(자기계, 전자기 센서 등) 등이 있다.”

“다양한 유형의 센서는 다양한 유형의 신호 또는 정보(위치, 방향, 속도, 가속도, 근접도, 압력 등)를 측정하거나 다양한 유형의 측정 기법을 활용하여 데이터를 획득할 수 있다. 예를 들어, 센서에는 능동형 센서(자체 소스로부터 에너지를 발생시켜 측정하는 센서 등)와 수동형 센서(사용 가능한 에너지를 감지하는 센서 등)의 적절한 조합이 포함될 수 있다.”

또한 출원서에서는 사용자가 휴대폰을 쥐는 방식을 구체적으로 분석하고 있다.

"위치 정보에는 이미지 처리 장치의 위도, 경도, 고도가 포함될 수 있다. 위치 정보에는 이미지 처리 장치의 방향이 포함될 수 있다. 예를 들어, 위치 정보에는 3개의 축(요우(Yaw) 축, 피치(Pitch) 축, 롤(Roll) 축 등)과 관련된 장치의 방향이 포함될 수 있다. 위치 정보는 관성 기준 틀(환경, 지구, 중력 등) 그리고 국지적 기준 틀과 관련하여 결정될 수 있다. 위치 정보에는 이미지 처리 장치의 이동 정보가 포함될 수 있다.”

“예를 들어, 위치 정보에는 1, 2, 3개의 축과 관련된 장치의 선형 속도 또는 장치의 선형 가속도가 포함될 수 있다. 위치 정보에는 1, 2, 3개의 축과 관련된 장치의 각 속도 또는 각 가속도가 포함될 수 있다. 위치 정보는 가속도계, 자이로스코프, 자기계 등 1개 이상의 관성 센서를 이용해 수집할 수 있다."

필자가 개인적으로 선호하는 요소도 포함돼 있다. 마이크 활성화 및 수집된 배경 소리 확인이 그것이다.

“이미지가 캡처 될 당시에 사용자 장치가 수집한 환경 정보. 환경 정보에는 장치의 마이크가 수집한 오디오 정보가 포함될 수 있다. 환경 정보에는 동작 감지기, 초음파 센서, 광선 레이더, 온도 센서, 압력 센서, 장치에 관한 환경 정보를 수집할 수 있는 기타 유형의 센서로 수집된 정보가 포함될 수 있다. 환경 정보에는 장치를 쥐고 있는 사용자의 터치 또는 손 위치 감지와 장치에서 사용자가 터치하거나 쥔 부분을 수집하는 것이 포함된다.”

이 중 사용자의 터치 위치나 손 위치를 감지한다는 점이 이색적이다. 이 세상 어느 누구도 매번 동일한 곳을 터치하지는 않을 것이기 때문이다.

아이슨은 정확한 자격 증명 일치 추구하는 오늘날의 여러 인증 메커니즘의 전제가 터무니없다고 주장했다. 오히려 이를 악용한 사이버 도둑의 손에 놀아나고 있다는 지적이다. 그는 아메리칸 익스프레스의 전 세계 사기 담당 이사, 베리사인(Verisign)의 사기 담당 이사, 뱅크오브아메리카의 VP/MIS를 역임한 바 있다.

그는 "손가락의 터치는 항상 다르다. 같은 픽셀을 완벽하게 클릭하지 않는다. 이를 밀리초 단위로 쪼개어 화면의 각도를 고려할 수 있다. 특이성을 고려하는 것이다"라고 말했다. 즉, 어느 인증 세션에나 충분한 모바일 센서 데이터를 추가하면 세션을 신뢰할 수 있게 반복하는 것이 불가능에 가까워진다. (꽤 어렵긴 하지만) 정확히 일치하는 경우 사기 시도라는 점만 확인할 수 있을 뿐이라고 그는 설명했다.

아이슨은 자사의 지불 방식이 지난 수 년 동안 차별화됐다고 믿고 있다. 이를 채택한 750 이상의 고객사들도 비즈니스 차별성을 확보했다는 주장이다. 현재 트루소나는 앱을 무료로 제공하고 있으며 아이슨은 중소기업들에게 접근할 생각이다. 또 610억 달러 규모의 애트나(기존 고객사) 같은 대기업을 위해서는 트루소나 기능을 해당 기업의 자체 앱에 통합할 수 있도록 SDK를 제공하고 있다. 해당 기업의 자체 앱 내에 배치하는 이 서비스의 비용은 사용자당 연간 약 1달러라고 아이슨이 전했다. ciokr@idg.co.kr 



2018.07.24

블로그 | "모바일 기기의 각종 센서를 조합" 인증에 대한 이색 접근법

Craig Mathias | Network World
애리조나에 소재한 한 보안 기업이 모바일 인증에 대해 흥미로운 접근법을 개발하고 있다. 휴대폰의 여러 센서는 물론 사용자가 휴대폰을 쥐고 있는 정확한 각도까지 활용함으로써 공격을 훨씬 어렵게 만든다는 개념이다.

트루소나(Trusona)라는 이름의 이 기업은 지금까지 마이크로소프트 벤처스(Microsoft Ventures, 1,000만 달러), 클라이너(Kleiner), 퍼킨스(Perkins), 코필드(Caufield), 바이어스(Byers) 등으로부터 약 1,800만 달러를 투자 받았다고 발표했다.

특히 마이크로소프트 벤처스가 투자했다는 사실이 흥미롭다. 현재 인기 있는 모바일 인증 방법 중 하나가 마이크로소프트의 어센티케이터(Authenticator) 앱이기 때문이다. 마이크로소프트의 의도는 무엇일까? 업계 기반을 강화하고 있는 것일까? 아니면 최소한 기업 분야에서 트루소나가 어센티케이터를 위협할 수 있다고 생각하는 것일까?

트루소나의 기본적인 접근방식은 매우 간단하다. 사용자가 모바일 장치에서 인증 앱을 열면 데스크톱 장치의 QR 코드를 스캔할 수 있다. 또 이를 통해 사용자는 운전면허증이나 여권을 스캔하여 스스로를 인증할 수도 있다. 이 때 휴대폰이 정확한 거리와 각도를 측정해 재전송 공격(replay attack)에 대한 방어력을 확보한다.

이러한 접근방식은 사용자가 숫자나 문자를 입력할 필요가 없다. 어센티케이터나 확인 코드 문자 메시지(중간자 공격에 매우 취약함)와 다른 점이다. 텍스트가 필요 없는 이 접근방식은 사용자에 부담을 줄일 뿐 아니라 오타의 위험을 방지한다. 트루소나의 CEO 오리 아이슨은 "또 입력을 하지 않으면 키로거(Keylogger)가 감지해 키 입력을 캡처할 수 없다”라고 주장했다.



오늘날 모바일 장치는 놀라운 잠재력을 지녔다. 그러나 이들 기기의 잠재력 중 일부조차 제대로 사용하기 시작한 기업은 거의 없다. 모바일 보안의 관점에서 이런 추적 요소를 가능한 많이 활용할 때 잠재력이 커질 수 있다. 트루소나가 출원한 특허 중 하나를 검토해본 결과 트루소나가 여기에 황금이 있다고 판단했다는 것을 알 수 있었다.

트루소나의 특허출원서에는, 회사로 고려하는 모바일 인증 요소로 "이미지를 캡처하거나 바코드를 스캔할 때 카메라 또는 이미지 처리 장치의 이미지 처리 센서의 작동 파라미터가 있다”라고 기술돼 있다. 좀더 자세히 인용하면 다음과 같다.

"예를 들어, 카메라의 상태에는 노출 시간, ISO 속도 등급, 초점 거리, 플래시 사용, 색온도 보정, 해상도, 시간과 조명/방향/카메라의 위치 같은 환경 조건에 따라 바뀔 수 있는 기타 정보가 포함될 수 있다. 사용자 장치는 사용자 장치에는 하나 이상의 센서가 탑재되어 있어 이미지 처리 장치의 즉각적인 위치 및 자세 정보를 제공할 수 있다. 일부 모델에서는 위치 및 자세 정보를 위치 센서(GPS 등), 관성 센서(가속도계, 자이로스코프, 관성 측정 장치(EVIU) 등), 고도 센서, 자세 센서(나침반 등), 압력 센서(압력계 등), 필드 센서(자기계, 전자기 센서 등) 등의 센서가 제공할 수 있다.”

"위치 센서(GPS 센서, 위치 삼각 측량을 가능하게 하는 모바일 장치 전송기 등), 비전 센서(카메라 등 가시광선, 적외선, 자외선 등을 감지할 수 있는 이미지 처리 장치 등), 근접 센서(초음파 센서, 광선 레이더, 전파 시간 카메라 등), 관성 센서(가속도계, 자이로스코프, 관성 측정 장치(IMU) 등), 고도 센서, 압력 센서(압력계 등), 청각 센서(마이크 등), 시간 센서(시계 등), 온도 센서, 메모리 그리고/또는 프로세서 사용량을 감지할 수 있는 센서, 필드 센서(자기계, 전자기 센서 등) 등이 있다.”

“다양한 유형의 센서는 다양한 유형의 신호 또는 정보(위치, 방향, 속도, 가속도, 근접도, 압력 등)를 측정하거나 다양한 유형의 측정 기법을 활용하여 데이터를 획득할 수 있다. 예를 들어, 센서에는 능동형 센서(자체 소스로부터 에너지를 발생시켜 측정하는 센서 등)와 수동형 센서(사용 가능한 에너지를 감지하는 센서 등)의 적절한 조합이 포함될 수 있다.”

또한 출원서에서는 사용자가 휴대폰을 쥐는 방식을 구체적으로 분석하고 있다.

"위치 정보에는 이미지 처리 장치의 위도, 경도, 고도가 포함될 수 있다. 위치 정보에는 이미지 처리 장치의 방향이 포함될 수 있다. 예를 들어, 위치 정보에는 3개의 축(요우(Yaw) 축, 피치(Pitch) 축, 롤(Roll) 축 등)과 관련된 장치의 방향이 포함될 수 있다. 위치 정보는 관성 기준 틀(환경, 지구, 중력 등) 그리고 국지적 기준 틀과 관련하여 결정될 수 있다. 위치 정보에는 이미지 처리 장치의 이동 정보가 포함될 수 있다.”

“예를 들어, 위치 정보에는 1, 2, 3개의 축과 관련된 장치의 선형 속도 또는 장치의 선형 가속도가 포함될 수 있다. 위치 정보에는 1, 2, 3개의 축과 관련된 장치의 각 속도 또는 각 가속도가 포함될 수 있다. 위치 정보는 가속도계, 자이로스코프, 자기계 등 1개 이상의 관성 센서를 이용해 수집할 수 있다."

필자가 개인적으로 선호하는 요소도 포함돼 있다. 마이크 활성화 및 수집된 배경 소리 확인이 그것이다.

“이미지가 캡처 될 당시에 사용자 장치가 수집한 환경 정보. 환경 정보에는 장치의 마이크가 수집한 오디오 정보가 포함될 수 있다. 환경 정보에는 동작 감지기, 초음파 센서, 광선 레이더, 온도 센서, 압력 센서, 장치에 관한 환경 정보를 수집할 수 있는 기타 유형의 센서로 수집된 정보가 포함될 수 있다. 환경 정보에는 장치를 쥐고 있는 사용자의 터치 또는 손 위치 감지와 장치에서 사용자가 터치하거나 쥔 부분을 수집하는 것이 포함된다.”

이 중 사용자의 터치 위치나 손 위치를 감지한다는 점이 이색적이다. 이 세상 어느 누구도 매번 동일한 곳을 터치하지는 않을 것이기 때문이다.

아이슨은 정확한 자격 증명 일치 추구하는 오늘날의 여러 인증 메커니즘의 전제가 터무니없다고 주장했다. 오히려 이를 악용한 사이버 도둑의 손에 놀아나고 있다는 지적이다. 그는 아메리칸 익스프레스의 전 세계 사기 담당 이사, 베리사인(Verisign)의 사기 담당 이사, 뱅크오브아메리카의 VP/MIS를 역임한 바 있다.

그는 "손가락의 터치는 항상 다르다. 같은 픽셀을 완벽하게 클릭하지 않는다. 이를 밀리초 단위로 쪼개어 화면의 각도를 고려할 수 있다. 특이성을 고려하는 것이다"라고 말했다. 즉, 어느 인증 세션에나 충분한 모바일 센서 데이터를 추가하면 세션을 신뢰할 수 있게 반복하는 것이 불가능에 가까워진다. (꽤 어렵긴 하지만) 정확히 일치하는 경우 사기 시도라는 점만 확인할 수 있을 뿐이라고 그는 설명했다.

아이슨은 자사의 지불 방식이 지난 수 년 동안 차별화됐다고 믿고 있다. 이를 채택한 750 이상의 고객사들도 비즈니스 차별성을 확보했다는 주장이다. 현재 트루소나는 앱을 무료로 제공하고 있으며 아이슨은 중소기업들에게 접근할 생각이다. 또 610억 달러 규모의 애트나(기존 고객사) 같은 대기업을 위해서는 트루소나 기능을 해당 기업의 자체 앱에 통합할 수 있도록 SDK를 제공하고 있다. 해당 기업의 자체 앱 내에 배치하는 이 서비스의 비용은 사용자당 연간 약 1달러라고 아이슨이 전했다. ciokr@idg.co.kr 

X