피앤피시큐어, 무자각 지속 인증 기술로 제로트러스트 보안 모델 강화

별도 인증 행위 없이 업무 흐름 유지, 세션 전반에서 사용자 지속 검증

지난해 정부가 발표한 ‘제로트러스트 가이드라인 2.0’은 지속 검증을 제로트러스트 보안의 필수 원칙으로 명확히 규정하며, 업계 전반에 새로운 보안 기준을 제시했다. 그러나 기존 인증 체계는 최초 로그인 이후 사용자를 지속적으로 검증하는 데 한계가 있어, 실제 현장에서 이 원칙을 완전히 구현하기는 쉽지 않다.

지속 검증을 구현하려면, 사용자의 개입 없이 업무 흐름에 미치는 영향을 최소화하고 인증 간 공백 없이 신원을 확인할 수 있는 인증 방식이 필요하다.

기존 지식 기반 인증(ID/Password), 소유 기반 인증(OTP), 생체 기반 인증(지문, 지정맥, 홍채 등) 등 모든 알려진 인증 방식은 인증 시마다 사용자가 업무 흐름을 끊고 인증 행위를 수행해야 하므로, 본질적으로 ‘주기적 재인증’에 불과하다. 또한, 대부분의 기존 생체 인증도 장치 접촉이나 특정 동작 반복이 필요해 완전한 지속 검증을 제공하지 못한다.

따라서, 지속인증을 실제로 구현하기 위해서는 인증을 위한 사용자의 개입을 최소화 하기 위한 "무자각" 개념의 도입이 필수적이다. 안면 인증은 사용자가 화면을 바라보는 것만으로 상시 검증이 가능하며, 물리적 공백 없는 지속 검증 구현이 가능하다.

이에 통합 접근제어 전문 기업 피앤피시큐어(대표 박천오)는 Vision AI 기반 안면 벡터 분석을 적용한 ‘무자각 지속 인증(Implicit Continuous Authentication, ICA)’ 기술을 통해, 인증 과정에서 사용자의 개입 없이도 업무 전 과정에서 실시간으로 신원을 검증한다. 이를 통해 내부·외부 위협에 선제적으로 대응하면서 보안성과 업무 효율성을 동시에 확보할 수 있는 솔루션을 제공하고 있다.

제로트러스트 보안 모델은 ‘절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)’는 원칙을 내세우지만, 현실의 인증 체계는 이를 충분히 구현하지 못하고 있다. 특히 최초 인증 이후에도 사용자 신원을 지속적으로 검증하는 기능이 미흡해, 사용자가 자리를 비우거나 해커가 시스템을 장악한 상태에서 세션이 악용되거나 불법 접근이 발생할 수 있다.

이에 정부는 ‘제로트러스트 가이드라인 2.0’에서도 접근 권한 승인 시점뿐 아니라 지속적인 신원 검증인 ‘지속 검증’을 필수 원칙으로 명확히 규정했다.

레터럴 무브먼트 공격은 외부 침입자가 한 시스템에 침투한 뒤 내부 네트워크 내 권한을 확장하며 여러 시스템으로 이동해 추가 공격을 수행하는 방식이다. 공격자는 정상 사용자의 세션을 탈취하거나 단말을 장악해 네트워크 내에서 자유롭게 탐색하며, 이 과정에서 중요한 자산과 시스템을 위협한다. 보안 사고 사례에서 흔히 나타나는 시나리오는 권한 있는 관리자가 장시간 수행이 필요한 배치 작업을 위해 세션을 연결한 상태에서 자리를 비웠을 때, 해커가 연결된 세션을 이용하여 불법적인 명령을 수행하는 것이다.

기존 보안 시스템은 최초 인증 이후 세션 내 사용자를 지속 검증하는 수단이 부족해 단말이 이미 장악된 상황에서 추가 피해를 차단하기 어렵고, 결과적으로 공격은 네트워크 전반으로 확산된다.

기존 방식은 사용자 개입이 필수적이어서 인증 절차가 번거롭고 반복된다. 잦은 인증 요구는 업무 흐름을 방해하고 생산성을 떨어뜨리며, 인증 실패 시 재인증 과정이 추가돼 사용자의 피로감을 높인다. 이로 인해 일부 사용자는 보안 기능을 비활성화하거나 우회하는 등 위험한 행동을 취할 수 있으며, 장기적으로 보안 정책 준수에 대한 저항으로 이어질 가능성이 있다.

피앤피시큐어의 무자각 지속 인증 기술은 Vision AI 기반 안면 벡터 분석을 활용해 사용자가 업무 화면을 바라보는 것만으로 실시간 인증을 수행한다. 특히 이 기술은 DB·시스템 접근제어 솔루션 ‘DBSAFER DB’와 ‘DBSAFER AM’에 적용되어, 세션 전반에서 지속적으로 신원을 검증한다.

지속 검증을 통해 인증 공백을 원천적으로 차단하여, 단말이 이미 장악된 상황에서도 명령어 단위 재인증을 거쳐 인가자 검증에 실패하면 즉시 세션을 종료한다. 특히 물리적 입력 기반의 무자각 지속 인증을 수행하여 내외부 해킹 시도를 원천적으로 차단하고, 레터럴 무브먼트 공격과 내부 위협의 확산도 사전에 방지한다. 또한 별도의 인증 행위가 필요 없어 사용자의 업무 흐름을 방해하지 않으면서도, 인증 실패 시 화면 잠금과 입력 차단이 즉시 실행되어 비인가 접근과 단말 조작을 실시간으로 차단한다.

피앤피시큐어의 무자각 지속 인증 기술은 이미 GS, SK그룹 계열사 등 주요 기업에 도입돼 실제 보안 환경에서 효과가 검증되고 있다. 현재 해당 고객사는 기술의 유효성과 보안 강화 효과를 평가하는 단계에 있으며, 인증 공백 문제 해결과 보안 체계 강화를 위한 핵심 수단으로 기대를 모으고 있다.

피앤피시큐어는 무자각 지속 인증 기술의 고도화에 박차를 가하며 제로트러스트 보안 체계 확산을 선도하고 있다. 금융권을 포함한 다양한 산업 분야로의 확장 적용을 계획하고 있으며, 내부 위협에 실시간 대응하는 인증 시스템을 통해 기업들이 보안 리스크를 최소화하면서도 업무 효율성을 유지할 수 있도록 지원할 방침이다. 이를 바탕으로 보안 위협에 선제적으로 대응할 수 있는 지속 가능한 보안 환경을 제공한다는 전략이다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명