ITU-T X.1268 기반 공동시설 출입 제어 구조도. 사용자 스마트폰은 60초마다 변경되는 인증값을 포함한 BLE 비컨 신호를 송출하며, 공동시설 인근(약 10m 이내)에서만 인증이 가능하다. 사용자는 스마트폰 화면에서 접근하려는 시설 정보를 확인한 후 지문·얼굴 인식 등 스마트폰 생체인증을 통해 사용을 요청한다. 시설 서버는 사용자 인증 정보와 이용 권한을 검증한 뒤 출입을 허용하며, 이 과정에서 시설 측은 사용자의 생체정보를 수집하거나 저장하지 않는다. 해당 구조는 고정 신호 복제에 의한 리플레이 공격을 방지하고, 사용자 의도가 명확히 반영된 상호인증 기반 대역외(Out-of-Band) 접근제어 방식을 구현한다
패스워드리스 전문기업 이스톰(eStorm)과 듀얼오스(DualAuth)는 출입카드나 공동 패스워드 없이 스마트폰에 탑재된 생체인증을 이용해 공동시설을 제어하는 카드리스(Cardless) 기술을 개발하고, 이를 국제전기통신연합(ITU)의 국제표준 ITU-T X.1268로 제정했다고 밝혔다.
그동안 공동주택, 사무빌딩, 공공시설 등에서의 출입 통제는 시설물에 설치된 카메라나 지문인식기에 사용자의 얼굴이나 지문을 직접 등록해 사용하는 방식이 일반적이었다. 그러나 이러한 방식은 개인의 생체정보를 시설 운영자가 직접 수집·보관해야 한다는 점에서 프라이버시 침해 우려가 컸으며, 생체정보 유출 시 심각한 사회적 문제로 이어질 수 있다는 우려가 있었다. 이로 인해 보안성과 편의성이 낮음에도 불구하고 여전히 공동 비밀번호나 출입카드 방식이 널리 사용돼 왔다.
한편 블루투스(BLE)를 이용해 스마트폰만 소지하면 공동시설에 접근할 수 있는 기술도 등장했지만, 사용자가 실제로 출입을 하려고 한 것인지 단순히 지나가려고 한 것인지 사용자 의도가 명확히 반영되지 않는 문제와 함께 고정된 BLE 신호를 복제해 사용하면 사용자가 시설 인근에 있지 않더라도 명령을 재전송할 수 있는 리플레이 공격이 가능한 보안 취약성으로 인해 보안이 요구되는 공동시설에는 적극 활용하기가 어려웠다.
이번에 이스톰이 국제표준으로 개발한 ITU-T X.1268(비컨으로 시작하는 상호인증 기반 대역외 물리시설 접근제어 기술)은 이러한 문제를 해결하기 위해 60초마다 변경되는 인증값을 BLE에 적용해 사용자가 BLE 유효 범위인 10m 이내에서만 시설 동작이 가능하며, 자신의 스마트폰에서 사용하려는 공동시설을 검증한 후 스마트폰 생체인증으로 사용을 요청하면 해당 시설의 서버에서 사용자와 권한을 확인한 뒤 공동시설의 사용을 허락하는 구조다.
본 기술은 사용자 스마트폰의 생체인증을 활용하므로 공동시설 측에서 사용자의 생체정보를 수집·보관하지 않아 프라이버시를 효과적으로 보호하며, 아이폰과 안드로이드폰을 구분하지 않고 동일하게 동작하고, 단순한 접촉 거리뿐만 아니라 10m 이내 근접 거리에서도 안전한 시설 제어가 가능하다. 아울러 문 개폐와 같은 단순한 토글 방식뿐 아니라 공동시설의 상세 제어 인터페이스를 스마트폰 화면에 직접 제공할 수 있다.
이스톰 소개
25년간 IT 연구·개발에 전념해 온 이스톰은 자동패스워드, 자동 OTP, QR패스워드매니저, 오픈카드, 오픈터미널 등 첨단 인증 및 핀테크 기술을 선도적으로 개발해 왔다. 2024년 3월 ITU-T 국제기술표준기구에서 이스톰의 자동패스워드 기반 상호 인증 기술이 국제표준(X.1280)으로 제정되며 글로벌 보안 시장의 관심을 모았다. 이스톰은 국내외 기술 수요 증가에 발맞춰 한국과 미국에 자회사 듀얼오스(DualAuth)를 설립, 글로벌 솔루션 시장 진출을 적극적으로 추진하고 있다. 국내 IT 보안 환경에서 제로 트러스트(Zero Trust) 전환이 빠르게 확산되면서 상호 인증 기술은 국내 인증 체계 개편을 선도할 핵심 기술로 기대를 모으고 있다. 현재 이스톰의 자동패스워드 기반 상호 인증 기술은 우리은행, KB국민은행, 유안타증권 등에서 사용 중이다.
출처: 이스톰
언론연락처: 이스톰 전략사업실 김기성 실장 02-6925-0290(내선 312)
이 뉴스는 기업·기관·단체가 뉴스와이어를 통해 배포한 보도자료입니다.
