로그인은 비단 게이머뿐만 아니라 인터넷이 기본이 되는 현대를 살아가는 모든 이에게 익숙한 절차다. 디지털 신원 확인은 비밀번호를 입력하는 로그인부터 스마트폰의 지문인식, 그리고 은행의 공인인증서까지 다양한 방식을 포함하는 단어다. 이번 ‘NDC2018’의 ‘디지털 신원 확인 101’에서는 이에 대한 기본 개념에 대해서 알아볼 수 있었다. 이날 강연을 진행한 데브캣스튜디오의 김재석 개발자는 미국 국립표준기술연구소(NIST)의 디지털 신원 지침을 바탕으로, 디지털 신원 확인의 절차와 인증 수단의 종류에 대해서 설명했다.

디지털 신원 확인은 어떤 절차로 이루어질까? 김재석 개발자는 먼저 디지털 신원 모형을 소개했다. 먼저 가입을 하려는 신청자가 등록절차를 통해 가입을 신청하게 된다. 그럼 그 정보를 받은 가입증명 서비스 공급자(CSP)는 신청정보를 확인하고 로그인을 담당하는 검증자에게 자격을 증명해주게 된다. 이를 통해 신청자는 가입자가 되고, 인증수단을 발급받게 된다.

가입절차가 끝나고 로그인을 할 때 가입자는 청구자에게 본인이 가입자가 맞다는 사실을 증명해야 한다. 이 증명은 인증수단을 본인이 제어할 수 있음을 보여주는 식으로 진행된다. 검증자는 CSP에게 인증 수단이 올바른지, 그리고 저 사람이 가입자가 맞는지를 확인한다. 이 과정이 로그인이다.

김재석 개발자는 오늘 강연에서 이 로그인 과정에 주목한다. 가입은 한 번만 사용되는 절차지만 로그인은 매번 실행되기 때문에 이용자 경험에 큰 영향을 미치기 때문이다. 그럼 가입자가 인증해 보여야 하는 인증 수단에는 무엇이 있을까?

인증 수단은 3가지 요소로 나누어 볼 수 있으며, 9가지 종류로 분류된다. 먼저 인증 수단은 지식기반, 소지 기반, 그리고 특성기반으로 나누어진다. 지식기반은 가입자의 머릿속에 있는 정보로, 비밀번호와 같은 요소를 뜻한다. 소지 기반은 가입자가 소유하고 있는 것, 즉 암호카드 등이 이에 포함된다. 특성기반은 지문이나 홍채를 의미한다.

인증 수단의 종류에는 9가지가 있다. 외워서 쓰는 비밀(암호), 등기필 번호와 같이 찾아서 쓰는 비밀, 핸드폰으로 인증코드를 받는 식으로 본인이 특정 장비를 소유하고 있다는 것을 증명하게 되는 대역 외 장치가 있다. 또한, 장치의 OTP를 통해 인증하게 되는 단일요소 일회용 비밀번호 장치, 이중으로 증명하게 되는 비밀번호 입력식 OTP와 같은 다중요소 일회용 비밀번호 장치가 있다. 마지막으로, 인증서와 같은 단일요소 암호화 소프트웨어, 물리적으로 버튼을 누르도록 하는 단일요소 암호화 장치, 이에 비밀번호와 같은 지식기반 요소를 함께 이용하는 다중요소 암호화 소프트웨어, 그리고 PIV와 같은 다중요소 암호화 장치가 있다.

김재석 강연자는 각 인증수단을 이용해 다양한 방식으로 보증 수준에 맞게 사용되고 있음을 설명하며, 어떤 영향을 주는지 확인해보고, 알맞게 사용하는 것이 중요하다고 설명했다. 이날 강연에서 그는 “많은 사람들이 보안수준을 높인다고 보안과 상관없이 사용자를 불편하게 만들 때가 많다. 중요한 것은 번거로운 절차가 반드시 높은 보안수준을 의미하는 것이 아니라는 점이다. 보안수준을 높이면서도 유저를 불편하지 않도록 할수 있는 방법을 알고 그에 맞는 적절한 인증수단을 균형 있게 사용해야 한다.”며 강연을 마무리했다.