OTP (One-Time-Password) 솔루션 소개

 

 

 오늘은 예전부터 금융권에서 많이 사용하고있는 OTP (One-Time-Password)에 대해 소개하고자 합니다.

 OTP는 기존 금융권에서 계좌이체 등을 진행할 때, Two-Factor 인증으로써 사용이되고 있는데요..  이전에도 게임 접속 또는 여러 기업에서 사내망에 접근할 때 OTP를 사용 접근하는 방식이 종종 사용되었습니다.

 이러한 OTP를 다수의 기업들이 내부 자산 보호 및 인가된 사용자에 의한 정보 유출 등을 조금 더 강제하고자 도입하려는 추세가 늘어나고 있습니다. 아무래도 현 시점에서 ID/PW 인증 및 사용자의 Mac Address 체크 등의 부가적인 인증 방식을 사용하기에는 위험이 있습니다. ( 계정정보 유출 및 Mac Address 변조 등 )

 사내에 OTP를 구성하기 위해서는 관련된 여러 서버 구축 및 해당 서버들에 대한 관리, 서비스 모니터링, 장애조치 등으로 부터 발생하는 TCO가 만만치 않았던 것이 사실 입니다. 가끔 배보다 배꼽이 더 큰 경우가 발생하기도 합니다.

 이에 Symantec에서는 Cloud 기반의 OTP를 제공하여, 사내 OTP 구축 시에 복잡성을 줄이고, 효율성 및 안정성 등을 증대시키면서 쉽고 빠르게 기존 System을 OTP와 연동할 수 있도록 합니다. ( Symantec Verisign Identity Protection – VIP )

 

 

 즉, 내부에 Symantec OTP 인증서버와 연동하기 위한 Gateway 서버를 두는 것으로 준비가 끝나며, OTP를 적용할 내부 System과의 연동만 진행하면 솔루션 도입이 완료됩니다. Gateway 역할을 하는 서버는 별도로 준비를 해야하지만, 해당 Software는 무료로 제공됩니다.

 Symantec OTP는 기존 OTP 솔루션에서 제공하는 Hardware 방식의 보안 토큰 및 브라우져 플러그인, Mobile 기반의 OTP, Desktop, SMS 등으로 인증받을 수 있는 여러가지 방식을 제공합니다. ( 별도의 Hardware 비용 발생을 줄이려면, 플러그인이나 Desktop 또는 스마트폰의 Application을 사용하는 것이 좋을 듯 합니다. )

 

 

 가장 중요한 비용 부분은 초기 등록비(1회)와 사용자 수에 따른 사용 금액을 지불하면 된다고 합니다. 기존의 OTP 솔루션들과 비교를 하였을 때, 초기 구축 비용 및 유지 관리, 하드웨어 교체 등을 본다면 나쁜 선택이 아니라고 생각 됩니다.

 

 

  이미 Symantec OTP는 이베이나 페이팔 같은 해외 유명 사이트나 국내의 큰 마켓 및 게임사에서도 사용 중에 있는데요, Demo 신청 시에 30일 동안 무료로 사용할 수 있다고 합니다.

 다음에는 오늘 소개해 드린 Symantec OTP ( Verisign Identity Protection ) 솔루션을 Juniper SSL VPN과 연동하여 Test 하는 부분에 대해 포스팅 할 계획 입니다.