[KCSCON 2025] 옥타코 이재형 대표 “제로트러스트와 N2SF 환경에서 피싱 저항 MFA는 선택 아닌 필수”

• 국내 N2SF 환경에 최적화된 맞춤형 구조 제공 • 옥타코 MFA, 18가지 인증 공격에 대해 100% 방어 가능

9월 16일, 세종대학교 컨벤션센터에서 열린 KCSCON 2025(제13회 대한민국 사이버보안 컨퍼런스)에는 전국에서 모인 1,200여 명의 보안담당자와 전문가들이 참석했다. ‘사이버보안의 미래를 열다’라는 주제로 진행된 이번 행사에서 옥타코 이재형 대표는 “제로트러스트, N2SF 환경에서의 디지털 아이덴티티 관리 방법”이라는 주제로 강연을 진행했다.

그는 먼저 N2SF(국가망 보안체계)의 개념을 설명했다. N2SF는 공공기관 업무망을 기밀(C), 민감(S), 공개(O) 등급으로 나누고, 각 등급별로 적절한 보안 대책을 적용하는 구조다. 하지만 클라우드 서비스, 재택근무, SaaS 사용이 확산되면서 기존의 네트워크 경계가 무너지고 있다고 지적했다. 이재형 대표는 “과거에는 네트워크 경계가 보안의 중심이었지만 이제는 아이덴티티(ID)가 새로운 보안 경계가 되고 있다”고 강조했다.

■인증 공격의 현실과 기존 인증 체계의 취약점

강연에서 그는 현재 조직들이 직면한 현실적인 위협을 구체적으로 짚었다. 피싱, 비싱, 스미싱, 스피어 피싱, 크리덴셜 스터핑, 워터링 홀 공격, 비즈니스 이메일 침해(BEC), 중간자 공격(MITM), SIM 스와핑, 키로깅 등 18가지 주요 인증 공격 기법이 이미 실제 공격에 널리 사용되고 있다.

문제는 기존 인증 체계가 이런 공격을 막지 못한다는 점이다. ID와 비밀번호 기반 로그인, OTP, SMS 인증, 일반적인 생체인증은 모두 심각한 한계를 드러내고 있다. 예를 들어, OTP 인증은 18가지 공격 중 단 한 가지도 완벽히 막아내지 못하며, 생체인증조차도 89%의 공격에 취약하다는 결과가 나왔다. 이 대표는 “기존 인증 방식의 방어율은 0~11%에 불과하다”며 “이는 해커들이 공개적으로 사용하는 암호 크래킹 도구만으로도 손쉽게 뚫을 수 있는 수준”이라고 설명했다.

더욱이 인증을 통과한 이후에도 위험은 계속된다. 세션 하이재킹, 쿠키 탈취, 토큰 탈취 같은 공격은 인증 이후 단계에서 발생하며, 이는 기존의 인증 수단만으로는 방어가 불가능한 영역이다. 이 대표는 이러한 현실을 지적하며 “인증 전 과정과 인증 이후까지 보호할 수 있는 새로운 체계가 필요하다”고 강조했다.

강연에서는 글로벌 규제 흐름도 다뤄졌다. 미국은 이미 행정명령 14028을 통해 모든 연방기관에 다중인증(MFA) 적용을 의무화했고, 이어서 OMB M-22-09 지침에서는 ‘피싱 저항 MFA(Phishing Resistant MFA)’ 사용을 구체적으로 명시했다. 또한 미국 사이버보안청(CISA) 역시 피싱 저항 MFA 채택을 강력히 권고하고 있다.

이 과정에서 파이도2, PIV 스마트카드와 같은 공개키 기반 암호화 방식이 핵심 기술로 자리 잡고 있다. 이는 비밀정보를 서버에 저장하지 않고 공개키-개인키 구조를 활용해 인증을 수행하기 때문에 피싱이나 세션 탈취 공격에 본질적으로 저항할 수 있다. 이재형 대표는 이를 두고 제로트러스트 전략의 핵심 원칙인 “절대 신뢰하지 말고, 항상 검증하라(Always Verify)”를 제도적으로 구현한 사례라고 설명했다.

■옥타코 ‘Phishing Resistant MFA’ 솔루션의 기술적 구조

이 대표는 옥타코가 개발한 ‘Phishing Resistant MFA’ 솔루션의 구조를 구체적으로 설명했다.

첫째, 통합 인증 에이전트 기반 구조를 통해 PC 로그인부터 SaaS, 웹 애플리케이션, 클라이언트 애플리케이션까지 하나의 체계로 인증을 제공한다. 사용자는 단일 인증 장치를 통해 모든 업무 시스템에 접근할 수 있어 편리성과 보안성을 동시에 확보할 수 있다.

둘째, 공개키 기반 암호화(FIDO2) 방식을 채택해 인증 데이터를 서버에 저장하지 않고 안전하게 처리한다. 이는 중간자 공격이나 세션 탈취 공격에 강력한 저항성을 가진다.

셋째, 업무 연속성을 위한 비상 인증 체계를 마련했다. 만약 네트워크 장애나 서버 오류가 발생해도 로컬 인증 장치를 활용해 긴급하게 시스템에 접근할 수 있도록 해, 공공기관이나 금융기관처럼 서비스 중단이 치명적인 환경에서도 안정성을 보장한다.

이어 그는 옥타코 솔루션의 차별성에 대해서도 강조했다. 글로벌 대기업들의 인증 서비스가 주로 민간 기업 중심으로 설계된 반면, 옥타코는 국내 N2SF 환경에 최적화된 맞춤형 구조를 제공한다.

또한 옥타코는 한국 최초이자 아시아 대표적인 FIDO2 기반 MFA 전문 기업으로, 글로벌 표준을 충실히 준수하면서도 국내의 특수한 보안 요구사항을 반영하고 있다. 무엇보다 옥타코의 MFA는 18가지 인증 공격에 대해 100% 방어가 가능하다는 점에서 차별화된다. 이는 특정 공격만을 방어하는 글로벌 경쟁사 솔루션과 비교했을 때 큰 강점으로 꼽힌다.

강연을 마무리하며 이재형 대표는 “경계 기반 보안은 이미 한계에 다다랐다. 앞으로 보안의 핵심은 디지털 아이덴티티 관리”라며, “제로트러스트와 N2SF 환경에서 피싱 저항 MFA는 선택이 아닌 필수이며, 옥타코는 이를 실현할 수 있는 경험과 솔루션을 갖추고 있다”고 강조했다.

[길민권 기자 mkgil@dailysecu.com]