보안 토큰이란 무엇인가요?

보안 토큰이란 무엇인가요?

전 세계 수천 곳의 기업이 Okta를 통해 시간과 비용을 절약하고 있습니다. 아이덴티티가 기업에게 어떤 영향을 미칠 수 있는지 알아보세요.

보안 토큰이란 무엇인가요?

업계 최고의 분석가들이 Okta와 Auth0를 아이덴티티 분야의 리더로 연속 선정하고 있는 이유를 알아보세요.

보안 토큰은 사용자가 시스템에 액세스할 때 반드시 소유해야 하는 물리적 디바이스입니다. 아이덴티티와 액세스를 입증하려면 사용자와 시스템 사이에서 인증 데이터가 전송되어야 합니다. 보안 토큰은 이러한 데이터를 옮기는 전달자 역할을 합니다.

보안 토큰의 확산

비밀번호와 개인 식별 번호는 오늘날 비즈니스 환경 곳곳에서 볼 수 있습니다. 대부분의 직원들이 파일과 서버, 그리고 중요한 문서에 액세스하려면 자격 증명을 입력해야 한다는 사실을 알고 있습니다. 보안 토큰은 이러한 안전 보호 수준을 강화합니다.

보안 토큰의 크기는 키 포브처럼 클 수도 있고, 마이크로칩처럼 작을 수도 있습니다. 보안 토큰은 사용자의 아이덴티티를 입증하는 정보를 저장하거나, 인증 서비스를 제공하는 데이터베이스 또는 타사 시스템과 통신합니다.

보안 토큰은 어떻게 실행되나요? 

매년 해커들로 인한 피해액이 4,000억 달러 정도에 이른다고 합니다. 기업은 이러한 현실적인 위협을 차단해야 합니다. 그렇지 않으면 피해액이 눈덩이처럼 커질 수 있습니다.

자신이 대기업에서 수백만 달러의 가치가 있는 지적 정보를 보호하는 일을 하고 있다고 가정해보세요. 그렇다면 지적 재산을 노리는 해커들의 접근을 막아야 합니다. 이때 토큰에 포함될 수 있는 설정은 다음과 같습니다.
 

  • 키워드. 사용자가 기억하고 있는 보안 비밀번호를 입력해야 합니다. 비밀번호에는 보통 최소 문자 수나 기타 사양 등 세부적인 요건이 있습니다.
  • 컴퓨터 설정. 로그인을 시도하는 이벤트가 있을 경우 컴퓨터 시스템이 사용자의 휴대 전화로 메시지를 전송합니다. 이 메시지에는 입력해야 할 비밀번호가 포함되어 있으며, 입력하지 않으면 액세스가 차단됩니다.

겉으로 보았을 때 이러한 방식은 소비자들이 수년간 비밀번호를 사용한 인증 및 권한 인증과 동일한 형태입니다. 필요한 시스템에 액세스하려면 기억하고 있는 자격 증명을 입력해야 하기 때문입니다. 하지만 보안 토큰은 일정한 형태의 툴이 필요합니다. 기억만으로는 충분하지 않습니다.

Security Token Illustration

3가지 유형의 주요 보안 토큰

보안 토큰은 맞춤 설정을 염두에 두고 개발됩니다. 회사마다 필요한 요건이 많이 다를 수 있기 때문입니다. 따라서 보안과 유연성의 균형점을 찾아 원하는 버전을 신중하게 선택해야 합니다.

보안 토큰에는 다음과 같은 유형이 있습니다.

  1. 연결식 토큰. 사용자가 토큰을 필요한 시스템에 물리적으로 연결해야 합니다. 스마트 카드 또는 Yubikey 같은 포브가 대표적입니다. 사용자가 디바이스를 리더기에 삽입하면 디바이스가 인증 정보를 컴퓨터 시스템에 자동으로 전송합니다.
  2. 비연결식 토큰. 사용자가 디바이스에 무언가를 물리적으로 삽입할 필요는 없지만 토큰에서 생성되는 코드를 입력해야 할 수도 있습니다. 대표적인 예로 이중 요소 인증 디바이스로 설정되는 휴대 전화가 있습니다.
  3. 비접촉식 토큰. 사용자가 디바이스를 연결하거나, 키워드 또는 액세스 코드를 추가로 입력할 필요가 없습니다. 대신 디바이스가 시스템에 무선으로 연결되며, 해당 연결 정보에 따라 액세스가 허용되거나 거부됩니다. 블루투스 토큰이 여기에 해당하며 키리스 엔트리 시스템도 그렇습니다.

맞춤 설정은 여기서 끝나지 않습니다. 보안 토큰 시스템에서는 다음과 같은 맞춤 설정도 가능합니다.

  • 키패드. 비밀번호를 요구하여 토큰에 저장된 데이터를 안전하게 보호합니다.
  • 생체인식 데이터. 홍채 스캔, 지문 등을 저장한 후 해당 데이터를 현장에 있는 스캐너에 연결합니다.
  • 조작 방지. 보안 조치가 추가되어 범죄자가 키를 분해하고 데이터를 탈취할 수 없습니다. 

보안 토큰 비밀번호 유형 

보안 토큰에는 저마다 비밀번호라고 할 수 있는 아주 작은 데이터가 있습니다. 키패드나 스캐너를 통해 시스템에 매번 입력할 필요는 없습니다. 토큰이 사용자가 액세스하려고 하는 리소스와 안전하게 데이터 교환을 마치기 때문입니다.

보안 토큰 비밀번호에는 다양한 유형이 있는데, 예를 들면 아래와 같습니다.

  • 정적 비밀번호. 문자, 숫자 또는 문자+숫자로 구성된 문자열이 토큰에 저장됩니다. 비밀번호는 보안 전문가가 직접 도와주지 않으면 바꿀 수 없습니다. 토큰 소유자는 비밀번호가 있는지조차 모를 수 있으며, 따라서 요청을 받더라도 데이터를 호출할 수 없습니다.
  • 동적 비밀번호. 보안 시스템이 새로운 비밀번호를 결정하여 토큰에게 전달합니다. 일반적으로 사용자가 액세스 권한을 얻으려면 먼저 전달된 비밀번호를 입력해야 합니다. 이러한 시스템 중에는 타이머와 알고리즘을 사용해 비밀번호를 생성하는 시스템이 있는가 하면 일회용 비밀번호 솔루션을 사용하는 시스템도 있습니다.
  • 챌린지 비밀번호. 서버와 키가 서로 연결되며, 전송 과정에서 데이터가 암호화됩니다. 디바이스가 액세스 권한을 얻으려면 복호화 형태로 챌린지를 제출해야 합니다. 

보안 토큰의 이점 

비밀번호는 해킹 가능성이 매우 높습니다. 실제로 리서치 업체들에 따르면 "123456"이 가장 흔한 비밀번호라고 합니다. 이러한 상황에서 보안을 사용자에게 맡기면 대참사는 시간 문제일 뿐입니다. 보안 토큰은 사용자 생성 비밀번호를 보완하거나, 혹은 완전히 대체하여 이러한 위협을 완화할 수 있습니다.

올바른 보안 토큰 시스템은 두 가지 유형의 정보를 기반으로 합니다.

  1. 소유: 사용자가 시스템에 액세스하려면 소지할 수 있는 무언가(휴대 전화, 키 카드, USB 등)를 가지고 있어야 합니다. 
  2. 지식: 사용자가 프로세스를 마치고 액세스 권한을 얻으려면 비밀번호 같은 것을 알고 있어야 합니다. 
  3. 신체적 특성: 생체인식과 관련이 있습니다. 사용자의 신체 정보(지문, 안면 인식 스캔 등)가 여기에 해당합니다.

보안 토큰은 비밀번호와 함께 사용했을 때 다중 요소 인증(MFA) 솔루션을 형성합니다. MFA 솔루션은 사용자에게 일회용 보안 코드나 U2F 토큰 정보와 같은 인증요소를 추가로 제출하라고 요구하기 때문에 인증 보안을 강화하는 효과가 있습니다.

비밀번호 하나만 사용하는 것은 단순한 번호 조합만으로 집을 보호하는 것과 다름없습니다. 물론 효과는 있지만 비밀번호를 알고 있는 사람이라면 누구나 접근할 수 있는 것입니다. 여기에 보안 토큰을 추가하면 문 앞에 키 잠금식 출입문을 하나 더 설치하는 셈이 됩니다. 그러면 문의 비밀번호 조합을 알고 있더라도 출입문을 통과하지 못하기 때문에 집을 안전하게 보호할 수 있습니다. 결과적으로 보안 수준을 높여 자신을 안전하게 보호할 수 있습니다.

소비자들도 보안 토큰의 이점을 인정하고 있습니다. 이들은 아래와 같이 소중한 데이터도 함께 보호해야 합니다.

  • 금융 데이터 
  • 저장된 예금 정보 
  • 아이덴티티 문서 
  • 법률 문서

은행을 비롯한 일부 기업들은 신중한 고객들에게 이중 요소 인증 플랜을 장점으로 이용하기도 합니다. 이렇게 안전에 신경 쓰고 있다는 것을 증명하면 고객 기반을 구축할 수 있는 가능성이 높아집니다.

보안 토큰의 취약점 

이름에서 알 수 있듯이 보안 토큰은 중요한 데이터를 안전하게 보호할 수 있어야 합니다. 안타깝지만 보안 토큰도 난공불락은 아닙니다. 위험은 늘 존재하며, 완화하기 힘든 경우도 있습니다.

보안 토큰의 일반적인 취약점은 다음과 같습니다.

  • 분실. 키 카드, 포크, USB 스틱 등은 크기가 작고 분실하기 쉽습니다. 암호화되어 있지 않거나 2차 비밀번호로 보호되지 않는 경우에는 습득한 사람이 액세스할 수 있습니다.
  • 도난. 표적을 삼은 공격이나 지갑 소매치기와 같은 범죄로 키 카드, 포크, USB 스틱 등을 탈취당할 수 있습니다. 그러면 분실과 마찬가지로 범죄자의 손에 들어갈 수 있습니다. 
  • 해킹. 토큰은 사용자를 악성 코드로부터 보호해야 하며, 은행과 같은 기업들은 이러한 이유로 토큰 시스템이 더욱 안전하다고 고객들에게 추천할 때가 많습니다. 하지만 전자 형태로 네트워크에 연결되는 것은 무엇이든 능력과 인내력을 갖춘 사람에게 해킹을 당할 수 있습니다. 보안 토큰이 보안 계층을 하나 더 추가하더라도 해킹으로부터 안전한 것은 아닙니다.
  • 보안 침해. 해커는 인증 시스템 앞에 서서 수집을 목적으로 사용자들에게 키워드를 입력하도록 유도합니다. 실제로 2006년에 주요 금융 거래 시스템에서 이러한 해킹이 발생하여 큰 물의를 일으킨 적이 있습니다.

어떤 보안 토큰 시스템을 사용하든지 절제와 주의가 필요합니다. 모든 것이 계획한 대로 순조롭게 진행되는지 확인하고 잘못된 점이 발견되면 즉시 조치를 취할 수 있어야 합니다. 

암호 보안 토큰에 대한 비교 

암호 화폐를 거래하려면 소유권 증명이 필요하기 때문에 암호 화폐에 대한 소유권을 구매자에게 전송해야 합니다. 이때 암호 보안 토큰은 일종의 유동성 계약과 같은 역할을 합니다.

일부 전문가들은 이러한 형태의 보안 토큰이 미래의 재원 조달 방법을 대변한다고 주장합니다. 여기에도 보안 요소가 있는 것은 사실이지만 대부분의 IT 관리자들이 일상적으로 처리하는 업무와 밀접한 관련은 없습니다. 

프로세스 간소화 

보안 토큰은 기업이 접근을 막아 소중한 자산을 안전하게 보호하는 데 효과적입니다. 보안 계층을 강화하여 고객과 직원 및 파트너를 비롯한 기업 전체의 안전을 보장합니다.

이러한 시스템은 개발이 쉽지 않습니다. 아무런 허점 없이 올바르게 설정할 수 있어야 합니다.

전 세계 8,400곳 이상의 기업들이 Okta를 통해 이러한 시스템을 관리 및 인증하고 있습니다. 이들처럼 Okta와 함께하여 기업을 더욱 안전하게 보호하세요.

Okta + Yubico

Okta는 Yubico와 협력하여 토큰 기반 인증을 강화하고 있습니다. 파트너십에 대해 자세히 알아보세요.