WO2021107178A1 - 로그인 계정 정보 관리 방법 - Google Patents

Abstract

컴퓨팅 장치의 운영체제에서 자체 지원하는 OS 계정 인증 방식을 대체하는 대체 인증 방식을 통한 OS 계정 인증을 지원하기 위해 상기 컴퓨팅 장치에 설치되는 커스텀 크리덴셜 프로바이더(custom credential provider); 및 OS 계정 비밀번호의 관리를 위해 상기 컴퓨팅 장치에 설치되는 계정 관리 클라이언트;를 통한 로그인 계정 정보 관리 방법이 제공된다. 본 발명의 실시예에 따른 로그인 계정 정보 관리 방법은, (a) 상기 커스텀 크리덴셜 프로바이더를 통해, 상기 대체 인증 및 상기 OS 계정 인증이 수행되는 단계; 및 (b) 상기 계정 관리 클라이언트를 통해, 상기 OS 계정 인증에 사용된 기존 비밀번호를 신규 비밀번호로 갱신하는 방식으로 OS 계정의 비밀번호 변경을 수행하는 단계;를 포함한다.

Description

로그인 계정 정보 관리 방법

본 발명은 운영체제(OS : Operating System)의 계정 접속 기술에 관한 것으로서, 보다 구체적으로는 운영체제의 계정 접속을 위한 로그인 계정 정보 관리 방법에 관한 것이다.

최근 보안과 관련된 법령의 개정에 따라서, 마이크로소프트 윈도우즈(Microsoft Windows) 기반의 시스템에 로그인시 OS 계정에 대한 비밀번호를 주기적으로 바꾸도록 하는 규정이 도입되고 있다. 그러나 운영체제의 비밀번호를 주기적으로 변경하는 것이 불편하고, 이러한 불편함을 해결하기 위해서 사용자가 기억하기 쉬운 비밀번호로 변경(갱신)하다보면 보안이 오히려 허술해지는 경우가 많다.

이에 따라 사용자 아이디와 비밀번호를 이용하여 사용자 인증하지 않고, 다른 방식으로 사용자를 인증하는 대체 인증 기술이 점차 대두되고 있다. 일 예로, 윈도우즈 10의 경우는 PC에 장착된 카메라를 통해서 사용자의 얼굴을 인식하고 이에 따라 사용자 로그인을 자동으로 처리하거나, FIDO(Fast Identity Online)가 설치된 운영체제의 경우 지문 인식, 홍채 인식, 음성 인식 등의 방식으로 사용자 로그인을 처리하기도 한다. 그러나 위와 같은 대체 인증 방식은 사용자 관점에서는 편리한 계정 인증 방식임에는 분명하지만, 시스템 관점에서 볼 때에는(즉, 운영체제 내부적으로는) 여전히 해당 사용자의 OS 계정의 비밀번호를 이용하여 계정 접속에 관한 인증을 하여야 하는 점은 이전과 동일하다. 즉, 대체 인증 방식이란 단지 사용자의 인증 인터페이스만이 다른 다양한 인증 수단으로 대체되는 것일 뿐, 그러한 다른 인증 수단에 따른 인증이 완료되면 실제 운영체제 내부에 등록되어 있는 사용자의 OS 계정과 비밀번호로 사용자를 인증하는 절차가 여전히 수행된다. 윈도우즈의 경우에도 크리덴셜 프로바이더(credential provider)를 제3자가 확장하여 다양한 인증 방식으로 사용자가 인증을 받을 수 있도록 API를 제공하지만, 실제 윈도우즈 내부에서는 해당 사용자의 OS 계정과 비밀번호로 구동되며, 이에 따라 사용자 세션이 제공된다.

결국 대체 인증 방식에 의하는 경우에도 여전히 주기적으로 비밀번호 갱신을 하여야 함은 기존과 다를 바 없으며, 비밀번호 갱신에 따른 불편함은 여전하다. 따라서 대체 인증 방식으로 사용자 인증이 이루어지는 경우에도, 관련 규정에 따라 정해진 비밀번호 변경 주기가 도래되기 전에 자동으로 운영체제 내부에서 관리하는 OS 계정의 비밀번호를 변경할 수 있는 기술이 요구된다.

이때, OS 계정의 비밀번호를 변경하는 방식으로는 해당 비밀번호를 강제로 초기화시키는 방법이 있다. 윈도우즈 시스템을 예로 들 때, 이러한 비밀번호 초기화 관련 함수로는 NetUserGetInfo 함수, NetUserSetInfo 함수 등이 사용될 수 있다. 그러나 이와 같이 기존의 비밀번호를 신규 비밀번호로 강제 초기화하게 되면, 기존의 자격 증명(즉, 웹 사이트, 연결된 응용 프로그램, 네트워크 등에 로그인하기 위해 사용자 이름 및 암호를 저장하는 안전한 저장공간을 로컬 컴퓨터에 만들고 유지 관리하는 서비스)을 사용할 수 없게 되는 문제점이 있다. 자격 증명은 해당 사용자의 기존의 OS 계정 비밀번호로 해당 어플리케이션의 비밀번호를 암호화하여 관리한 것이기 때문에, 기존의 OS 계정 비밀번호를 재현하여 기존의 OS 계정 비밀번호를 입력하면서 신규 생성된 OS 계정 비밀번호를 입력하지 않으면, 기존의 자격 증명을 그대로 사용할 수 없게 되기 때문이다.

OS 계정의 비밀번호를 변경하는 다른 방식으로는 기존의 비밀번호를 재현(복원)한 후, 재현한 기존의 비밀번호와 신규로 생성한 비밀번호를 이용하여 비밀번호를 갱신(재설정) 처리하는 방식이 있다. 그러나 이 방식의 경우에도 기존의 비밀번호가 단순히 PC 내 보관 중인 정보를 이용하여 재현할 수 있는 값인 경우라면, 해커가 비밀번호 생성 알고리즘을 알고 있는 상태에서 그 비밀번호 재현에 필요한 값들(시드값들)을 해당 PC에서 탈취하게 되면 사용자의 OS 계정이 뚫리게 되는 보안 상 문제가 발생될 수 있다.

따라서 상술한 문제점들을 모두 해결할 수 있는 대안 기술이 필요하다.

본 발명은 사용자가 OS 계정 비밀번호를 직접 변경하지 않고서도 보안 규정에 충족될 수 있도록 운영체제의 OS 계정 비밀번호를 자동으로 변경할 수 있음은 물론, 자동으로 변경된 OS 계정 비밀번호의 보안성을 강화시킬 수 있는 방법을 제공하기 위한 것이다.

본 발명의 일 측면에 따르면, 컴퓨팅 장치의 운영체제에서 자체 지원하는 OS 계정 인증 방식을 대체하는 대체 인증 방식을 통한 사용자 인증을 지원하기 위해 상기 컴퓨팅 장치에 설치되는 커스텀 크리덴셜 프로바이더(custom credential provider); 및 OS 계정 비밀번호의 관리를 위해 상기 컴퓨팅 장치에 설치되는 계정 관리 클라이언트;를 통한 로그인 계정 정보 관리 방법으로서,

(a) 상기 커스텀 크리덴셜 프로바이더를 통해, 상기 대체 인증 및 상기 OS 계정 인증이 수행되는 단계; 및 (b) 상기 계정 관리 클라이언트를 통해, 상기 OS 계정 인증에 사용된 기존 비밀번호를 신규 비밀번호로 갱신하는 방식으로 OS 계정의 비밀번호 변경을 수행하는 단계;를 포함하되,

상기 비밀번호는, 운영체제의 관리자 권한이 있어야만 접근이 가능한 데이터 내의 사전 지정된 가변값을 시드값 중 하나로서 이용하여 생성되는 것을 특징으로 하는, 로그인 계정 정보 관리 방법이 제공된다.

여기서, 상기 비밀번호는, 운영체제의 관리자 권한이 있어야만 접근이 가능한 로그 값 내의 가변값으로서, 상기 계정 관리 클라이언트를 통한 OS 계정 비밀번호 변경이 시도됨에 따라 누적 기록되는 비밀번호 변경 이벤트 로그의 이벤트 시간값을 시드값 중 하나로서 이용하여 생성될 수 있다.

여기서, 상기 (b) 단계는,

상기 OS 계정 인증에 사용된 기존 비밀번호를 재현하는 단계; 상기 OS 계정 인증에 사용될 신규 비밀번호를 생성하는 단계; 및 상기 재현된 기존 비밀번호 및 상기 생성된 신규 비밀번호를 이용하여 OS 계정 비밀번호를 갱신하는 단계를 포함하되,

상기 신규 비밀번호는, OS 계정 비밀번호 변경이 시도됨에 따라 순차적으로 누적 기록되는 상기 비밀번호 변경 이벤트 로그 중 가장 최근에 기록된 최신 이벤트 로그의 이벤트 시간값을 시드값 중 하나로서 적어도 이용하여 생성되고,

상기 기존 비밀번호는, 상기 비밀번호 변경 이벤트 로그 중 상기 최신 이벤트 로그 직전의 이벤트 로그의 이벤트 시간값을 시드값 중 하나로서 적어도 이용하여 재현될 수 있다.

여기서, (c) 상기 계정 관리 클라이언트가 설치되는 설치 단계를 더 포함하되,

상기 (c) 단계는, 상기 커스텀 크리덴셜 프로바이더에 의해서 실행되며,

(c1) 상기 계정 관리 클라이언트의 설치가 요청됨에 따라 상기 컴퓨팅 장치의 OS 계정 정보에 따른 계정 목록을 생성하는 단계; (c2) 상기 계정 목록의 OS 계정별로 OS 계정 비밀번호를 신규로 생성하는 단계; (c3) 상기 계정 목록의 OS 계정별로의 기존 비밀번호를 신규 생성된 비밀번호로 갱신하는 방식으로 OS 계정별로의 비밀번호 변경을 수행하는 단계를 포함하되,

상기 (c2) 단계에서 신규 생성되는 비밀번호는, OS 계정별로의 상기 비밀번호 변경 이벤트 로그 중 해당 시점의 최신 이벤트 로그의 이벤트 시간값을 시드값 중 하나로서 적어도 이용하여 생성될 수 있다.

여기서, 상기 (a) 단계는,

(a1) 상기 대체 인증이 수행되는 단계; 및 (a2) 상기 대체 인증이 완료된 이후, 해당 OS 계정의 기존 비밀번호를 재현하고 재현된 기존 비밀번호를 이용하여 OS 계정 인증이 수행되는 단계;를 포함하되,

상기 (a2) 단계의 기존 비밀번호의 재현은, 해당 OS 계정의 상기 비밀번호 변경 이벤트 로그 중 해당 시점의 최신 이벤트 로그의 이벤트 시간값을 시드값 중 하나로서 적어도 이용하여 생성될 수 있다.

본 발명의 실시예에 따른 로그인 계정 정보 관리 방법에 의하면, 사용자가 OS 계정 비밀번호를 직접 변경하지 않고서도 보안 규정에 충족될 수 있도록 운영체제의 OS 계정 비밀번호를 자동으로 변경할 수 있음은 물론, 자동으로 변경된 OS 계정 비밀번호의 보안성을 강화시킬 수 있는 효과가 있다.

도 1은 본 발명의 일 실시예에 따라 로그인 계정 정보 관리를 위한 계정 관리 클라이언트 프로그램이 설치되는 과정을 설명하기 위한 예시 도면.

도 2은 본 발명의 일 실시예에 따라 커스텀 크리덴셜 프로바이더에 의한 OS 계정 인증 과정을 설명하기 위한 예시 도면.

도 3은 본 발명의 일 실시예에 따라 계정 관리 클라이언트를 통한 OS 계정 비밀번호 변경 과정을 설명하기 위한 예시 도면.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.

또한, 명세서 전체에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다. 또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하나 이상의 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다.

본 명세서에서는 설명의 편의 및 집중을 위해 마이크로소프트 윈도우즈(Microsoft Windows)를 운영체제(OS)로 하는 컴퓨팅 장치를 예로 들어 설명하지만, 본 발명은 리눅스 등 이외의 다양한 운영체제에서의 사용자의 OS 계정 인증 과정에도 적용될 수 있음은 자명하다.

일반적으로 크리덴셜 프로바이더는 해당 운영체제에서 자체 제공하는 사용자 인증 관리 프로그램 또는 프로세스을 의미한다. 예를 들면, 마이크로소프트 윈도우즈 운영체제인 경우, 윈도우즈 운영체제에서 자체 제공하는 크리덴셜 프로바이더는 사용자 컴퓨터가 켜졌을 때 OS 계정 인증 화면(예를 들어, User Name 및 Password 입력창을 포함하는 로그인 화면)을 표출한다. 이에 따라 사용자는 로그인 화면 상에서 OS 계정 ID 및 패스워드 정보를 입력함으로써 사용자 인증을 수행한다. 물론 이때, 경우에 따라서 사용자 계정 정보는 디폴트(default) 설정되어 별도의 사용자 입력이 요구되지 않을 수 있음은 자명하다. 이때, 패스워드는 해당 OS의 보안 정책에 따라 일정 기간이 경과하면 변경하도록 요구되고, 또한 해당 OS에서 기설정된 패스워드 보안 규칙에 맞게 변경될 것이 요구된다. 이러한 이유로, 앞서 배경 기술의 설명을 통해 논의된 바와 같이 패스워드 관리 상의 다양한 문제가 발생할 수 있다.

위와 달리, 커스텀 크리덴셜 프로바이더(Custom Credential Provider)는 해당 운영체제에서 자체 제공하는 인증 관리 모듈이 아닌 제3의 대체 인증 수단을 통한 사용자 인증을 지원하기 위한 프로그램 또는 프로세스를 의미한다. 이때, 제3의 대체 인증 기술로는 얼굴 인식, 지문 인식, 홍채 인식 등 소위 FIDO(Fast Identity Online) 방식, OTP 입력 방식 등이 활용될 수 있고, 이외에도 다양한 인증 기술이 활용될 수도 있다. 또한 이러한 대체 인증은 로그인 하고자 하는 해당 컴퓨팅 장치(예를 들어, PC)를 직접 이루어질 수도 있지만, 해당 컴퓨팅 장치와 블루투스 등을 통해서 연동될 수 있는 사용자의 모바일 기기(이에 설치된 사용자 인증 앱)를 통해서 이루어질 수도 있다. 이러한 커스텀 크리덴셜 프로바이더는 대체 인증 방식을 지원하기 위해 해당 사용자의 컴퓨터에 미리 설치될 수 있다. 이와 같이, 본 발명은 대체 인증 수단을 통해 해당 운영체제(또는 해당 운영체제에서의 특정 사용자 계정)에 관한 사용자 인증을 수행하는 케이스를 전제로 하여 논의되는 것이다.

그러나 기존의 커스텀 크리덴셜 프로바이더는 인증 방식만을 OS 자체 인증 방식에서 대체 인증 방식으로 대체한 것일 뿐, 해당 OS의 보안 정책 및 패스워드 보안 규칙에 따른 OS 계정 패스워드의 주기적 변경까지를 지원하지는 않는다. 따라서 본 발명의 실시예에서는 커스텀 크리덴셜 프로바이더를 통한 대체 인증 및 OS 계정 인증이 수행된 후, 계정 관리 클라이언트를 통한 OS 계정 비밀번호의 변경이 주기적으로 또는 OS 계정 인증이 실행될 때마다 매번 이루어지는 다음과 같은 신규의 방식을 제안한다.

본 발명은 앞서 설명한 OS 계정 비밀번호의 강제 초기화 방식에 따른 문제점을 해결하기 위하여, 기본적으로, 기존의 OS 계정 비밀번호를 재현한 후, 재현한 기존의 비밀번호와 신규로 생성한 비밀번호를 이용하여 비밀번호를 갱신(재설정) 처리하는 방식을 채용한다. 또한, 기존 비밀번호의 재현에 필요한 시드값들이 단순히 PC에 보관됨으로써 해커에 의해 탈취되는 보안상 취약성 문제를 해결하기 위한 대안으로서, 해당 운영체제의 관리자 권한으로만 접근이 가능한 특정 데이터 값(본 발명의 실시예에서는 OS 계정 비밀번호의 변경 시도가 있을 때마다 누적하여 쌓이는 로그로서, 비밀번호 변경 이벤트의 이벤트 시간값)을 OS 계정 비밀번호 생성을 위한 시드값 중 하나로서 활용함으로써, 해당 정보의 해킹 문제를 해결하는 것을 핵심 기술적 특징으로 한다.

이때, 신규 OS 계정 비밀번호의 생성에는 마지막으로 쌓인(즉, 가장 최근에 기록된) 비밀번호 변경 이벤트 로그의 이벤트 시간값이 시드값 중 하나로서 사용되고, 기존의 OS 계정 비밀번호의 재현에는 마지막으로 쌓인 비밀번호 변경 이벤트 로그 이전의(그 직전에 기록된) 비밀번호 변경 이벤트 로그의 이벤트 시간값이 시드값 중 하나로서 사용되게 된다.

이에 의할 때, OS 계정 비밀번호의 생성에 사용되는 시드값 중 하나로서 활용되는 비밀번호 변경 이벤트 정보 내의 그 특정값(시간)은 관리자 권한이 없는 다른 사용자(해커 포함)에 의해 추출(탈취)될 수 없으므로 보안성이 강화되게 된다.

본 명세서에서는 비밀번호 변경 이벤트의 이벤트 시간값을 이용하는 경우를 중심으로 설명하지만, 본 발명의 핵심 기술적 사상에 의할 때, 운영체제의 관리자 권한이 있어야만 접근이 가능한 로그 값 내의 사전 지정된 가변값이라면 어떠한 값이라도 대체 이용될 수 있음은 물론이다.

이하, 이상에서 설명한 본 발명의 핵심 기술적 특징에 대하여, 첨부된 도면들을 참조하여 다시 구체적으로 설명하기로 한다. 여기서, 도 1은 본 발명의 일 실시예에 따라 로그인 계정 정보 관리를 위한 계정 관리 클라이언트 프로그램이 설치되는 과정을 설명하기 위한 예시 도면이고, 도 2은 본 발명의 일 실시예에 따라 커스텀 크리덴셜 프로바이더에 의한 OS 계정 인증 과정을 설명하기 위한 예시 도면이며, 도 3은 본 발명의 일 실시예에 따라 계정 관리 클라이언트를 통한 OS 계정 비밀번호 변경 과정을 설명하기 위한 예시 도면이다.

이하 설명할 도 1 ~ 도 3에서의 각 단계에 관한 식별번호(즉, S11 등)는 각 단계를 구분 설명하기 위한 것일 뿐, 절차적 순서를 정의한 것은 아님을 명확히 해둔다. 논리적으로 어느 한 단계가 실행된 이후에야 다른 단계가 실행될 수 있는 경우가 아닌 이상, 각 단계는 그 식별번호의 선후와 상관없이 병렬적으로 또는 동시에 실행될 수도 있음은 물론이다. 경우에 따라서는 그 식별번호의 선후와 다른 순서로 각 단계가 실행될 수도 있음도 자명하다. 본 발명의 핵심적 기술 특징이 충분히 반영될 수 있는 한도에서, 각 단계의 순서 또한 다양한 변형이 가능할 것이기 때문이다. 다만, 이하에서는 설명의 집중 및 편의 상, 도면에 도시된 순서에 따라 각 단계를 설명하기로 한다.

도 1 - 계정 관리 클라이언트 설치 과정

도 1은 본 발명의 일 실시예에 따른 로그인 계정 정보 관리 방법을 도입시키기 위한 목적으로 계정 관리 클라이언트가 PC 등의 컴퓨팅 장치에 최초 설치될 때의 일련의 과정을 예시적으로 나타낸 도면이다.

도 1을 참조할 때, 단계 S11 ~ S14는, 계정 관리 클라이언트의 초기 설치 과정에서, 사용자 인증을 위해, 해당 컴퓨팅 장치에 설치된 커스텀 크리덴셜 프로바이더(10)와 외부의 인증 서버(30)와의 관계에서 소정의 인증 방식을 통한 사용자 인증이 이루어지는 과정을 나타낸 것이다. 해당 과정은 일반적인 프로그램 설치 과정에서와 다를 바 없는 과정인 바, 이에 관한 구체적 설명은 생략한다.

프로그램 설치를 위한 사용자 인증이 완료되면, 커스텀 크리덴셜 프로바이더(10)는 해당 컴퓨팅 장치에 설치된 운영체제의 모든 OS 계정 정보를 수집하고 이에 관한 계정 목록 리스트를 생성한 후 파일에 암호화하여 저장할 수 있다. 이후, 커스텀 크리덴셜 프로바이더(10)는 본 발명에 따른 로그인 계정 정보 관리를 실행하기 위해, 계정 관리 클라이언트의 최초 설치 과정에서 수집된 모든 계정의 비밀번호를 입력받고[S16 참조], 그 모든 계정의 비밀번호를 신규의 비밀번호로 변경하는 과정을 수행하게 된다. 물론 이때, 사용자가 비밀번호를 변경할 수 없는 계정(예를 들어, 운영체제가 사용하는 계정), 불사용 계정(즉, Disable 계정), Guest 계정 등은 이러한 비밀번호 변경 과정에서 제외될 수 있다.

도 1의 예시에 의할 때, 상기의 비밀번호 변경 과정 및 방식은 다음과 같을 수 있다. 도 1의 단계 S17 ~ S20을 참조하면, 신규 비밀번호의 생성 방식으로서, 해당 컴퓨팅 장치의 물리적 고유값(예를 들어, MAC 어드레스, 하드디스크 볼륨 ID 등) 등의 고정키, 랜덤값(본 예에서는 6자리의 랜덤값) 및 이벤트 시간값 등의 가변키를 비밀번호 생성의 시드값으로 하여 소정의 비밀번호 생성 알고리즘을 적용함으로써 신규의 비밀번호를 생성하는 방식을 예로 들고 있다.

다만 여기서, 물리적 고유값 등과 같은 고정키, 6자리의 랜덤값과 같은 가변키는 이와 다른 다양한 키값으로 변경되어도 무방하며, 또한 고정키와 가변키의 조합을 이용하지 않고 고정키만을 또는 가변키만을 이용하여도 무방하다 할 것이다. 본 발명의 핵심 기술적 특징은 비밀번호의 생성(즉, 기존 비밀번호의 재현과 신규 비밀번호의 생성)에 사용되는 시드값 중 하나로서 관리자 권한에 의해서만 접근할 수 있어 보안성이 확보되는 "이벤트 시간값"을 사용한다는데 있다. 여기서 사용되는 이벤트 시간값이란 앞서 설명한 바와 같이 OS 계정 비밀번호 변경(재설정)에 관한 시도가 있는 경우(즉, 윈도우즈 OS를 예로 들면, OS 계정 비밀번호 변경 함수인 NetUserChangePassword()가 API 호출되었을 경우)마다 누적하여 기록되는 이벤트 로그 중에서 "가장 최근에 기록된"(즉, 금번 비밀번호 변경 시도와 관련된) 비밀번호 변경 이벤트 정보 내의 이벤트 시간값을 의미한다.

또한 도 1의 예시에 의할 때, 상술한 바와 같은 이벤트 시간값을 비밀번호 생성의 시드값 중 하나로서 활용하여 신규 비밀번호를 생성한 이후에는, 단계 S16에서 입력되었던 기존의 비밀번호와 단계 S19에서 생성된 신규 비밀번호를 이용하여 비밀번호 변경을 수행한다. 이후, 단계 S15에서 암호화하여 생성하였던 계정 정보 파일을 복호화하여 열고, 여기에 신규 비밀번호의 생성에 이용되었던 시드값들로서 상기 이벤트 시간값을 제외한 정보들을 저장(본 예에서는, PC 물리적 고유값은 추출하면 되는 것이므로, 6자리 랜덤값만을 저장함)하고, 그 계정 정보 파일을 다시 암호화한다. 이후, 커스텀 크리덴셜 프로바이더(10)는, 인증 서버(30)와의 관계에서 정보 저장을 수행함으로써, 계정 관리 클라이언트의 설치를 완료한다.

상술한 도 1의 설명에서와 같이, 본 발명의 실시예에 따른 로그인 계정 관리 방법을 실행하는 계정 관리 클라이언트가 설치되게 되면, 향후 OS 계정의 비밀번호 변경 과정은 도 2 및 도 3에서와 같은 과정을 통해서 실행되게 된다. 도 2 및 도 3의 예시에서는 사용자에 의한 대체 인증 방식으로 사용자 인증이 이루어질 때마다 OS 계정 비밀번호를 매번 변경하는 케이스를 도시하고 있지만, OS 계정 비밀번호의 변경은 시스템 설계에 따라서 비밀번호 변경 주기에 맞춰서 이루어질 수도 있음은 자명하다. 다만, 이하에서는 도 2 및 도 3을 기준으로 설명하기로 한다.

도 2 - OS 계정 인증 과정

앞서도 설명한 바이지만, 커스텀 크리덴셜 프로바이더(10) 및 인증 서버(30)를 통한 대체 인증이 이루어진다 하더라도, 운영체제 내부적으로는 해당 OS 계정에 관한 인증이 별도로 이루어져야 한다. 따라서 도 2는 그 때의 OS 계정 인증 과정(단계 S30 ~ S33)을 도시한 것이다.

도 2에 도시된 바와 같이 대체 인증이 이루어지면, 커스텀 크리덴셜 프로바이더(10)는 그 대체 인증의 사용자에 관한 OS 계정 ID 등과 같은 OS 계정 로그인에 필요한 정보를 이용하여 OS 계정 비밀번호를 재현한다. 이를 위해서, 커스텀 크리덴셜 프로바이더(10)는 그 제3의 대체 인증에 의한 해당 사용자의 대체 인증 계정과 해당 사용자에 관한 운영체제의 OS 계정을 맵핑한 맵핑 정보를 파일로 저장해둘 수 있다.

즉, 대체 인증이 이루어진 이후에는, 결국 도 1에서와 같은 방식으로 생성되었던 기존의 비밀번호가 실제 입력되어야만 OS 계정 인증이 완료(즉, 로그인이 완료)되는 것이므로, 커스텀 크리덴셜 프로바이더(10)는 단계 S30 ~ S32의 순서에 따라 기존에 생성하였던 비밀번호를 재현(복원)한 후 단계 S33에 따른 OS 계정 인증을 수행한다. 여기서, 단계 S30 ~ S32는 앞서 설명한 도 1의 단계 S17 ~ S19에서와 본질적으로 동일하므로 그 구체적 설명은 생략하기로 한다. 상술한 바와 같이 재현된 기존 비밀번호를 통한 OS 계정 인증이 성공되면, 해당 사용자 세션이 제공(로그인이 완료)되게 된다.

도 3 - OS 계정 비밀번호 변경 과정

앞서 설명한 도 2와 같은 과정을 통해 OS 계정 인증의 완료에 따라 사용자 세션이 제공된 이후에는 본 발명의 실시예에 따라 도 1의 과정을 통해 설치되었던 계정 관리 클라이언트(20)에 의한 OS 계정 비밀번호 변경 과정이 수행된다.

즉, 계정 관리 클라이언트(20)는, 사용자 세션이 제공되면 OS 세션 상태의 변경 사항을 알리는 이벤트에 근거하여(예를 들어, 윈도우즈 OS에서는, OnSessionChange()), 로그온 이벤트(윈도우즈 OS에서는 SessionLogon)가 감지되고, 이와 같은 세션 이벤트가 감지되면 로그인한 세션 ID를 획득할 수 있게 되며, 세션 ID에 근거하여 해당 계정의 ID를 획득할 수 있고[단계 S40 및 S41 참조], 이에 따라 OS 계정 비밀번호의 변경 과정을 실행할 수 있게 된다[단계 S42 ~ S47 참조].

이때의 비밀번호의 변경은, 앞서 설명한 바와 같이 비밀번호 강제 초기화 방식이 아닌, 기존 비밀번호의 재현 및 신규 비밀번호의 생성을 통한 비밀번호 갱신(재설정) 방식에 의하게 된다. 또한 이때의 기존 비밀번호의 재현 방법[단계 S43 및 S44]은 앞선 도 2에서의 단계 S31 및 S32와 본질적으로 동일하고, 신규 비밀번호의 생성 방법[단계 S45 및 S46]도 앞선 도 1의 단계 S18 및 S19와 본질적으로 동일하며, 비밀번호의 갱신(재설정) 방법[단계 S47]도 앞선 도 1의 단계 S20과 본질적으로 동일한 바, 이에 관한 구체적인 설명은 생략하기로 한다.

상술한 바와 같은 본 발명은 기존의 OS 계정 비밀번호를 재현(복원)할 수 있게 되어 있으므로, 앞서 설명한 도 1 ~ 도 3에서와 같은 온라인 상의 OS 계정 인증이 아닌 오프라인 상에서의 OS 계정 인증에도 동일 기술적 컨셉의 적용이 가능하다. 예를 들어, 오프라인 상에서의 OS 계정 인증 방식으로는 H/W OTP를 이용한 구현 방식 등이 이용될 수 있다. 또한 도 1 및 도 2에서는 대체 인증이 이루어지는 과정에서 해당 컴퓨팅 장치와 네트워크를 통해 연결된 원격의 인증 서버가 관여되는 경우를 예시하였지만, 대체 인증 처리를 수행하기 위한 에이전트 프로그램이 해당 컴퓨팅 장치 내에 설치되어 동작하는 스탠드얼론 방식의 구현도 가능함은 물론이다.

본 발명의 실시예에 따른 로그인 계정 정보 관리 방법에 의하면, 대체 인증 방식을 통한 사용자 인증만 이루어지면 되므로 운영체제의 계정을 숙지하지 않아도 되는 편리함이 있으며, 사용자가 OS 계정 비밀번호를 직접 변경하지 않고서도 보안 규정에 충족될 수 있도록 운영체제의 OS 계정 비밀번호를 자동으로 변경할 수 있음은 물론, 강제로 비밀번호를 초기화하는 방식을 사용하지 않기 때문에 기존의 자격 증명 데이터 기능도 그대로 사용하게 될 수 있는 효과가 있다.

이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.

Claims (5)

1. 컴퓨팅 장치의 운영체제에서 자체 지원하는 OS 계정 인증 방식을 대체하는 대체 인증 방식을 통한 사용자 인증을 지원하기 위해 상기 컴퓨팅 장치에 설치되는 커스텀 크리덴셜 프로바이더(custom credential provider); 및 OS 계정 비밀번호의 관리를 위해 상기 컴퓨팅 장치에 설치되는 계정 관리 클라이언트;를 통한 로그인 계정 정보 관리 방법으로서,

   (a) 상기 커스텀 크리덴셜 프로바이더를 통해, 상기 대체 인증 및 상기 OS 계정 인증이 수행되는 단계; 및

   (b) 상기 계정 관리 클라이언트를 통해, 상기 OS 계정 인증에 사용된 기존 비밀번호를 신규 비밀번호로 갱신하는 방식으로 OS 계정의 비밀번호 변경을 수행하는 단계;를 포함하되,

   상기 비밀번호는, 운영체제의 관리자 권한이 있어야만 접근이 가능한 데이터 내의 사전 지정된 가변값을 시드값 중 하나로서 이용하여 생성되는 것을 특징으로 하는, 로그인 계정 정보 관리 방법.
2. 제1항에 있어서,

   상기 비밀번호는, 운영체제의 관리자 권한이 있어야만 접근이 가능한 로그 값 내의 가변값으로서, 상기 계정 관리 클라이언트를 통한 OS 계정 비밀번호 변경이 시도됨에 따라 누적 기록되는 비밀번호 변경 이벤트 로그의 이벤트 시간값을 시드값 중 하나로서 이용하여 생성되는 것을 특징으로 하는, 로그인 계정 정보 관리 방법.
3. 제2항에 있어서,

   상기 (b) 단계는,

   상기 OS 계정 인증에 사용된 기존 비밀번호를 재현하는 단계; 상기 OS 계정 인증에 사용될 신규 비밀번호를 생성하는 단계; 및 상기 재현된 기존 비밀번호 및 상기 생성된 신규 비밀번호를 이용하여 OS 계정 비밀번호를 갱신하는 단계를 포함하되,

   상기 신규 비밀번호는, OS 계정 비밀번호 변경이 시도됨에 따라 순차적으로 누적 기록되는 상기 비밀번호 변경 이벤트 로그 중 가장 최근에 기록된 최신 이벤트 로그의 이벤트 시간값을 시드값 중 하나로서 적어도 이용하여 생성되고,

   상기 기존 비밀번호는, 상기 비밀번호 변경 이벤트 로그 중 상기 최신 이벤트 로그 직전의 이벤트 로그의 이벤트 시간값을 시드값 중 하나로서 적어도 이용하여 재현되는 것을 특징으로 하는, 로그인 계정 정보 관리 방법.
4. 제2항에 있어서.

   (c) 상기 계정 관리 클라이언트가 설치되는 설치 단계를 더 포함하되,

   상기 (c) 단계는, 상기 커스텀 크리덴셜 프로바이더에 의해서 실행되며,

   (c1) 상기 계정 관리 클라이언트의 설치가 요청됨에 따라 상기 컴퓨팅 장치의 OS 계정 정보에 따른 계정 목록을 생성하는 단계; (c2) 상기 계정 목록의 OS 계정별로 OS 계정 비밀번호를 신규로 생성하는 단계; (c3) 상기 계정 목록의 OS 계정별로의 기존 비밀번호를 신규 생성된 비밀번호로 갱신하는 방식으로 OS 계정별로의 비밀번호 변경을 수행하는 단계를 포함하되,

   상기 (c2) 단계에서 신규 생성되는 비밀번호는, OS 계정별로의 상기 비밀번호 변경 이벤트 로그 중 해당 시점의 최신 이벤트 로그의 이벤트 시간값을 시드값 중 하나로서 적어도 이용하여 생성되는 것을 특징으로 하는, 로그인 계정 정보 관리 방법.
5. 제2항에 있어서,

   상기 (a) 단계는,

   (a1) 상기 대체 인증이 수행되는 단계; 및 (a2) 상기 대체 인증이 완료된 이후, 해당 OS 계정의 기존 비밀번호를 재현하고 재현된 기존 비밀번호를 이용하여 OS 계정 인증이 수행되는 단계;를 포함하되,

   상기 (a2) 단계의 기존 비밀번호의 재현은, 해당 OS 계정의 상기 비밀번호 변경 이벤트 로그 중 해당 시점의 최신 이벤트 로그의 이벤트 시간값을 시드값 중 하나로서 적어도 이용하여 생성되는 것을 특징으로 하는, 로그인 계정 정보 관리 방법.

Images