국민은행은 2024년 KISA 제로트러스트(Zero Trust) 실증사업 과정에서 AutoPassword를 도입하며 사용자 인증 방식을 한 단계 강화했습니다. 이번 도입은 단순한 보안 솔루션 채택을 넘어, 클라우드 시대의 금융 보안 패러다임을 새롭게 정의하는 중요한 계기가 되었습니다.
제로트러스트 시대 상호인증의 필요성
은행의 IT 인프라는 빠르게 클라우드 환경으로 전환되고 있습니다. 모든 시스템이 원격지에서 구동되는 클라우드 특성상, 기존의 사용자만을 인증하는 방식은 더 이상 충분하지 않습니다. OTP나 FIDO 방식처럼 사용자 측만 검증하는 방식은 계정 탈취, 피싱, 중간자 공격에 취약할 수 있습니다.
제로트러스트 원칙이 강조하는 핵심은 “아무도 믿지 말라”는 것입니다. 즉, 사용자는 물론 접속 대상이 되는 시스템 또한 신뢰할 수 있는지 반드시 확인해야 합니다. 국민은행은 이 원칙을 실증하는 과정에서, 사용자와 시스템을 동시에 인증하는 AutoPassword의 상호인증 방식을 선택했습니다.
국제표준 기술, AutoPassword의 채택
AutoPassword는 ITU-T X.1280 국제표준으로 권고되고 있는 기술입니다. 이 기술은 사용자가 시스템을 인증하는 동시에, 시스템도 사용자에게 자신이 올바른 서비스임을 증명합니다.
국민은행은 클라우드 환경에서 요구되는 제로트러스트 보안 요구사항에 부합하는 AutoPassword를 핵심 인증 기술로 채택했습니다. 이를 통해 “내가 접속한 클라우드가 진짜 은행 시스템인지” 사용자가 직접 확인할 수 있게 되었고, 은행은 계정 탈취와 위조 서버 접속 위험을 효과적으로 차단할 수 있게 되었습니다.
보안성과 편의성의 동시 확보
AutoPassword는 클라우드 시스템 접속 과정 전반에 적용되었습니다.
임직원 접속 : 고객이 은행의 클라우드 서비스를 이용할 때, 시스템과 사용자가 서로를 인증하여 안전하게 접속.
전산관리자 접속 : 시스템 관리자 역시 상호인증 절차를 거쳐 클라우드 관리 환경에 접속, 내부자 계정 탈취 위험 최소화.
그 결과, 국민은행은 보안성과 사용성을 동시에 강화하는 효과를 얻었습니다. 임직원은 비밀번호를 기억할 필요 없이 간편하게 인증할 수 있고, 보안 관리자는 계정 도용 사고의 가능성을 크게 줄였습니다.
맺음말
클라우드 전환은 금융권의 필연적인 흐름이지만, 그만큼 보안 위협도 증가하고 있습니다. 국민은행의 사례는 상호인증 기반의 국제표준 기술이 클라우드 보안의 새로운 기준이 될 수 있음을 보여줍니다.
DualAuth는 앞으로도 AutoPassword를 통해 금융, 공공, 기업의 클라우드 보안을 선도하며, 제로트러스트 구현을 위한 최적의 인증 기술을 제공하겠습니다