[2025 우수 정보보호 기술2] 이재형 옥타코 대표 인터뷰

옥타코가 ‘2025년 우수 정보보호 기술’로 지정됐다. 우수 정보보호 기술은 과학기술정보통신부가 국내 신규성, 독창성, 사업화 가능성이 있는 정보보호 기술 대상을 심사 평가해 총 9개 기술을 최종 선정한 기술이다.

이번에 지정된 옥타코의 우수 정보보호 기술은 제로트러스트 기반 Phishing-resistant M2A 서비스 및 지문 보안키 기술이다. 이 기술은 기존 인증 방식의 취약점을 제거하고, 제로 트러스트 모델에 최적화된 인증 기술로 주목받고 있다.

이에 <The Tech Edge>는 이재형 옥타코 대표와의 인터뷰를 통해 '2025년 우수 정보보호 기술'로 지정된 옥타코 기술에 대해 들어봤다.

Q. ‘2025년 우수 정보보호 기술’로 지정된 옥타코의 기술 소개 부탁드립니다.

최근 보안 환경의 흐름은 '인증(Authentication)'에서 '신뢰(Trust)'로 이동하고 있습니다. 단순히 "사용자가 맞는가?"를 확인하는 것을 넘어, 그 사용자가 사용하는 기기·위치·시간 대·행위 패턴까지 함께 검증하는 방식이 점점 중요해지고 있습니다. 이는 단순하게 숫자 나 코드, 생체코드 등만 확인하는 2차 인증이나 일반적인 다중인증으로는 충분하지 않다 는 시장 인식의 반영입니다.

옥타코는 이러한 흐름 속에서 M2A(Multi-Attribute Authentication)라는 개념을 정립했습니다. 단일 요소에 의존하지 않고, 다양한 속성(attribute) 정보를 동시에 고려해 인증을 판단하는 구조입니다. 생체정보(지문 등), 디바이스 신뢰도, 네트워크 환경, 위치 정보, 등 다양한 요소를 결합하여, 보다 세밀한 보안성과 사용자 편의를 동시에 추구합니다.

또한 FIDO2 기반의 지문보안키 이지핑거 시리즈는 WebAuthn 호환성과 함께 디바이스 내부에 안전영역을 구축하고 그 안에 생체정보 등 개인정보를 암호화 처리하여 탈취나 복제를 원천 차단하며, 사용성과 호환성까지 갖춘 보안키입니다.

Q. 옥타코의 보안 기술 발전 방향은 어떻게 되나요?

최근 사이버 보안 시장에서 인증은 단독 기술이 아닌, 접근제어(Authorization), 정책관리 (Policy Enforcement), 자산관리(Device Inventory)와 유기적으로 연동되는 형태로 진화하 고 있습니다. 이에 따라 옥타코는 단순 인증 솔루션을 넘어, 기업의 ID 및 Access 관리 (Workforce IAM)를 포괄하는 플랫폼화를 추진 중입니다.

예를 들어 M2A 인증 기술은 향후 SSO(Single Sign-On) 기능과 통합되어 사용자가 한 번 의 인증으로 ERP, 메일, 그룹웨어, VPN 등 다양한 시스템에 안전하게 접근할 수 있도록 지원합니다.

또한 관리자는 앱별로 인증 정책을 다르게 설정할 수 있어, 민감도가 높은 시스템은 더 많은 속성을 요구하는 식의 Adaptive Authentication 전략도 가능합니다. 이러한 구조는 향후 AI 기반의 행위 분석, 리스크 탐지, 그리고 위협 인텔리전스와의 연동까지 확장될 수 있습니다.

Q. 선정된 보안 기술 수준은 세계 기준에서 어느 정도인가요?

옥타코의 핵심 기술은 국제표준 중심으로 설계되어 있습니다. 특히, 인증 정책은 미국 NIST SP800-63의 AAL(Authentication Assurance Level) 프레임워크를 충족하도록 개발되었으며, 옥타코의 제품들은 FIDO2/WebAuthn을 완전 지원합니다.

현재 미국 연방기관은 OMB M-22-09에 따라 모든 민감시스템 접근에 대해 Phishing resistant 인증을 의무화하고 있는데요. 민간 기관도 이에 발맞춰 보안체계를 재편하고 있습니다.

국내의 경우 아직 SMS나 OTP 기반 인증이 많이 사용되고 있지만, 금융권을 중심으로 피싱·세션 탈취 등 새로운 위협에 대응하기 위한 기술 교체 수요가 늘고 있습니다.

옥타코는 이러한 국제 보안 트렌드에 부합하는 기술을 보유하고 있으며, 일부 글로벌 기 업의 파트너 검증을 거쳐 실제 공급까지 연결하고 있습니다.

Q. 기술을 개발하게 된 배경은 무엇인가요?

보안 침해 사건의 상당수가 인증 정보의 탈취에서 시작됩니다. 특히 공격자들은 기술이 발전할수록 정면충돌보다 우회 공격을 선택합니다.

실제로 OTP, SMS, 이메일 링크 기반 인증 방식은 프록시 서버를 이용한 피싱 공격이나 세션 하이재킹에 매우 취약합니다. 사용자들은 '2단계 인증을 해도 뚫렸다'는 인식을 갖기 시작했고, 기업들도 기존 MFA 체 계를 넘어서는 근본적인 대안을 고민하게 되었습니다.

이에 옥타코는 ‘단순한 요소 조합’이 아닌, 복합 신호를 통합적으로 평가하는 인증 체계 의 필요성을 인식하고 M2A 기술 개발에 착수하게 되었습니다.

Q. 기술을 개발하는 데 있어 어려웠던 점은 무엇인가요?

가장 큰 어려움은 '보안을 강화하면서도 사용자 경험을 해치지 않는 것'이었습니다. 인증의 속성(attribute)이 많아질수록 사용자의 인증 시간이 길어질 수 있고, 보안성 높은 장비를 도입하면 비용과 관리 복잡성이 상승하기 마련입니다.

이를 극복하기 위해 옥타코는 속성 간 우선순위를 설정하고, 정책 기반 인증 방식을 적 용해 사용자가 느끼는 인증 단계를 최소화하면서도 관리자는 각 앱·사용자 그룹마다 유 연하게 정책을 설정할 수 있도록 설계했습니다.

옥타코의 인증 플랫폼은 기업이 사용하는 다양한 시스템(그룹웨어, VPN, ERP 등)과의 유 연한 연동을 고려한 구조로 설계되어 있습니다. 특히 연동 자동화, 사용자 및 디바이스 관리 효율성, 정책기반 접근 제어 등의 기능을 중심으로 플랫폼 고도화를 이어가고 있으며, 향후 다양한 연동 표준 지원도 확장해 나갈 예정입니다.

Q. 보안기술 개발을 위해 보완돼야 할 정책·제도·기술적 측면은?

정책적으로는 아직 국내 공공기관이나 일부 민간 부문에서는 ‘Phishing-resistant’ 인증이라는 개념 자체가 도입되지 않은 경우가 많습니다. OTP나 SMS는 여전히 보안 수단으로 간주되며, 그에 따라 정부 과제나 인증 기준에서도 최신 위협에 대 한 대응 항목이 부실합니다. 피싱, 세션 하이재킹, 인증 우회에 대응 가능한 ‘저항성있는 강력한 인증’에 대한 별도 정책 기준이 필요합니다.

기술적으로는 중소기업도 쉽게 사용할 수 있는 표준 인증 프레임워크, 오픈 API, 그리고 관리자가 인증 정책을 이해하고 통제할 수 있는 시각화 기반 도구의 확산 이 필요합니다.

제도적으로는 Passkey, FIDO2 등 차세대 인증 방식의 도입 가이드라인 및 인증 적용 우대 정책이 마련되면 국내 인증 기술의 혁신도 촉진될 수 있습니다.

Q. 올해 기술 발전 목표는 무엇인가요?

2025년에는 M2A 인증 플랫폼과 SaaS형 SSO 서비스의 고도화를 중점 과제로 삼고 있습 니다. 특히 기업 IT 환경이 복잡해짐에 따라, 다요소 인증을 넘어 컨텍스트를 실시간으로 분석 하고 반영할 수 있는 기능을 강화하고자 합니다.

이를 위해 사용자·디바이스·접속 환경·시간대 등 다양한 속성을 정교하게 평가하고, 리스크 기반 인증 정책을 자동으로 적용할 수 있는 컨텍스트 처리 엔진 개발을 추진하고 이를 통해 피싱·세션 탈취·권한 오용 등 고도화된 공격에도 유연하게 대응할 수 있는 인 증 체계를 제공할 계획입니다.

또한, SaaS 기반의 SSO 서비스는 기업들이 기존 시스템을 손쉽게 연동하고, 앱별 인증 정책을 통합적으로 관리할 수 있도록 관리자 경험(UX)을 대폭 개선하고 있습니다. 서비스형 구조로 제공되어 빠른 도입과 유지보수 효율성도 함께 확보할 수 있습니다.

하드웨어 보안키(이지핑거 시리즈) 역시 신뢰성과 보안성 강화를 중심으로 기능 고도화 를 진행하고 있습니다. 사용자 경험과 호환성을 유지하면서도 더 정교한 인증 요소와 정책 연동이 가능하도록 개선 중입니다.

Q. 옥타코의 향후 계획은 무엇인가요?

향후 옥타코는 인증보안 기술의 중심축이 사용자 기반 인증에서 상황기반 인증으로 전환 되고 있는 흐름에 주목하고 있습니다. 사용자 ID만으로는 사용자 본인인지에 대한 신뢰성을 판단하기 어렵기 때문에 디바이스 신뢰성, 접속위치, 시간, 사용패턴 등 컨텍스트 기반으로 하는 인증 체계가 점점 보안 기준이 되고 있습니다.

이러한 변화 대응을 위해 옥타코는 M2A인증의 컨텍스트 인식 범위 확장과 상황기 반 위험 판단 알고리즘의 고도화, ID 관리 및 감사 기능과의 통합 강화 등을 통해 기업의 제로트러스트 도입을 촉진하는 실용적인 플랫폼으로 발전시키고자 합니다.

또한 국내에서 확보한 기술적 제도적 경험을 기반으로 2025년부터는 싱가포르, 동남아, 일본 등 아시아 시장 중심으로 글로벌 시장 확장을 계획하고 있으며, 현지 기업의 규제 및 보안 환경에 맞는 맞춤형 인증 서비스 도입 및 SaaS 제공 체계도 준비 중에 있습니다.

옥타코는 인증을 단순한 로그인 수단이 아닌 조직의 보안 철학을 구현하는 핵심 인프라 로 보고 있습니다. 그에 걸맞게 기술과 운영 구조를 지속적으로 연구하고 강화해나갈 예정 입니다.

Related Materials

• 옥타코 EZFINGER 지문 인식 소프트웨어 개발 키트 - 옥타코 공식 자료, 2023년
• 옥타코(이지핑거) - 기업정보 | 투자, 매출, 기업가치 - THE VC, 2025년
• 이재형 옥타코 대표 인터뷰 및 차세대 패스워드리스 통합 보안인증 제품 소개 - 스파크랩, 2023년
• 옥타코 2025년 기업정보 - 직원수, 근무환경, 복리후생 등 - 잡코리아, 2025년

[2025 우수 정보보호 기술1] 정은아 수산아이앤티 대표 인터뷰

💡Editor Pick - 과학기술정보통신부, 수산아이앤티 2025 우수 정보보호 기술 1번 지정 - SSL/TLS 트래픽 가시성 제공 솔루션 ‘ePrism SSL VA’ 선정 -SSL 복호화 기반 네트워크 보안 기술, 실효성·확장 가능성 인정받아 -정은아 대표, “SSL 복호화 기반 보안 기술 고도화할 것” 트래픽 분석 기술 기반 네트워크 전문 기업 수산아이앤티가 ’2025년

The Tech EdgeCheifEditor

과기정통부, ‘2025년 우수 정보보호 기술’ 9건 지정

💡Editor Pick - 국내 정보보호 기업 대상으로 우수한 제품‧기술‧서비스 지정 - 수산아이앤티, 옥타코, 엔피코어 등 9개사 보유 기술 선정 - 지정된 기술 대상으로 판로 개척, 홍보 등 지원 예정 ‘2025년 우수 정보보호 기술’이 지정됐다. 우수 정보보호 기술 유효기간은 지정 공고일로 부터 2년으로, 앞으로 2027년까지 우수 정보보호 기술로

The Tech EdgeCheifEditor