단순히 비밀번호만으로 더 이상 온라인 계정 정보를 보호할 수 없다는 사실은 이미 우리에게 익숙합니다. 그래서 지난 몇년간 이중 인증(two-factor authentication, 2FA) 또는 다중 인증(multi-factor authentication, MFA) 방식을 사용해 왔습니다.
모바일 산업에서의 기술 발달로 인해, 모바일 제조사와 유통사는 생체인식, 피지컬 토큰(physical token, 보안카드를 얘기하는 듯?), 소프트웨어 토큰(온라인 게임에서 많이 사용하는 OTP 앱), 모바일 인증코드 입력 등 다양한 다중 인증 솔루션을 제공할 수 있게 되었습니다.
하지만 다중 인증 방식은 여러 측면에서 도전을 받고 있습니다. 문제점 중 하나는, 사용자들을 짜증나게 한다는 점입니다. 그래서 스스로 다중 인증 설정을 해제해 버리게 됩니다. 게다가 많은 다중 인증 토큰은 해커의 공격에 취약합니다.
매 년 수백만개의 계정이 도용당하거나 공격 당했으며 2015년 한 해에만 2억만명 유저의 계정 정보가 해커들의 공격으로 인하여 유출되었습니다.
어떻게 하면 사용자 경험을 해치지 않으면서 보안을 강화할 수 있을까요? 한 가지 아이디어는, 사용자의 행동 패턴과 기기 사용 패턴을 기반으로 고유한 프로파일을 생성하는 것입니다. 그래서 해당 사용자의 패턴과는 다른 패턴이 감지되는 경우에만 추가 인증을 요구할 수 있습니다.
이러한 방법은 많은 장점이 있습니다. 별도의 토큰이 필요없고, 비밀번호 외에 무언가 추가로 외우고 있어야 할 것도 없습니다. 그래서 훔치거나 복제할 수 없습니다. 반면에 기존의 다중 보안 인증 방식은 토큰을 통해 생성되는 보안코드나 심지어 지문도 복제당할 위험이 있습니다.
보안 인증 업계의 리더라고 할 수 있는 텔레사인(TeleSign)은 행동패턴을 기반으로 한 인증 솔루션을 제공하고 있습니다. 새로이 출시한 "Behavior ID" 플랫폼은 소프트웨어 개발 도구를 제공하여 웹과 모바일 앱에서 생체인식 패턴을 분석하여 추가 인증 단계를 거칠 지 결정하는 솔루션을 제공합니다.
"Behavior ID"의 메커니즘은 유저의 터치 포인트, 터치 시 압력, 키보드 입력 스타일, 모바일 기기를 잡고 있는 방식 등의 데이터를 수집하여 유저의 프로파일을 만듭니다. 이 프로파일들은 텔레사인의 클라우드 플랫폼에 저장되어 프로파일에 위배되는 패턴이 감지되면 보안 단계를 높여 추가 인증을 요구합니다.
보안 업계의 거대 기업인 RSA는 "적응적 인증(Adaptive Authentication)" 플랫폼을 사용합니다. 이 플랫폼에서는 사용자의 디바이스 정보를 사용자 프로파일에 묶습니다. 이 정보에는 사용자가 이용하는 운영체제의 종류, 브라우저의 종류와 버전이 포함되어 있습니다. 또한 머신 러닝 엔진을 사용자의 행동 데이터를 지속적으로 수집, 분석하여 이상 행동을 감지합니다.
지난 몇 년간 빅데이터는 온라인 비즈니스와 뗼레야 뗄 수 없는 관계를 형성해 왔습니다. 기업의 매출 증대, UX와 고객 서비스를 향상시키고, 비용을 줄여주었습니다. 또한 사이버 보안 측면에서는 전통적인 다중 보안 장치와 비교했을 때, 보안을 강화시키면서도 사용자의 편의성을 저해시키지 않는 접근법을 제공하여 그 유용성을 증명하고 있습니다.
'기술' 카테고리의 다른 글
| 로봇이 인간보다 더 뛰어난 외과 수술 능력 보여 (0) | 2016.05.05 |
|---|---|
| 구글의 차기 무인자동차 테스트 차량은 크라이슬러의 "퍼시피카" (0) | 2016.05.04 |
| 유튜브, 360도 라이브 스트리밍과 공간 오디오 기술 지원 업데이트 (0) | 2016.04.19 |
| 로봇 시대, 우리가 걱정해야 할 것은 자동화로 인한 '고용감소' 아닌 '고용형태' (0) | 2016.04.18 |
| 인스타그램, 맞춤형 동영상 피드 페이지 선보인다 (0) | 2016.04.15 |
