[김국배기자] 공인인증서 유출 사고가 끊이지 않는 가운데 이를 방지하기 위한 수단으로 모바일 보안토큰이 주목 받고 있다. 하드디스크, 이동식디스크(USB), 보안토큰, 휴대폰에 이어 또 하나의 공인인증서 저장매체로 떠오르는 상태다.
한국인터넷진흥원(KISA)은 현재 모바일 보안토큰 기술 규격을 마련하고 있으며 이르면 내달 초 이를 확정할 예정이다.
한국인터넷진흥원 임진수 전자인증팀장은 "전자서명 부분에서 (고시 수준의) 기술 규격 안이 이미 마련됐고 최종 기술 비교안을 거쳐 이견이 없으면 11월 초 정도 기술 규격으로 정할 것"이라며 "공표되면 공인인증서를 사용할 때 쓸 수 있다"고 말했다.
◆ 공인인증서 유출 비상…마땅한 대책 안 보여
모바일 보안토큰이 주목받게 된 가장 큰 이유는 공인인증서 유출로 인한 금융 피해가 폭발적으로 증가하고 있어서다. 메모리 해킹 등 해킹 공격이 더욱 지능화되면서 위협도 커지고 있다.
지난 7일 민주당 장병완(광주 남구) 의원이 미래창조과학부 자료를 분석한 결과 지난해 단 8건이던 공인인증서 유출이 올해 상반기에만 6천933건으로 700배 이상 폭증한 것으로 나타났다. 이 중 약 90%(6천156건)는 스마트폰 상에서 발생했다.
메모리 해킹 악성코드는 각 타깃 은행별 보안 모듈의 메모리를 수정해 무력화시키고 인터넷뱅킹 로그인 아이디(ID)와 비밀번호, 공인인증서 비밀번호, 보안카드 번호 등의 정보를 탈취한다. 최근에는 계좌번호 등 이체정보를 공격자가 원하는대로 변경하는 악성코드까지 등장했다.
보안업계 관계자는 "정부는 수년 전부터 하드디스크에 공인인증서를 저장하지 말 것을 권고해 왔지만 대체 수단이 마땅치 않았다"며 "이동식디스크(USB)에 담아도 이미 악성코드에 감염된 PC에 연결할 경우 위험을 피할 수 없으며 보안토큰은 여러 이유로 활성화되지 못했다"고 설명했다.
보안토큰은 전자 서명 생성 키 등 비밀 정보를 보관하고 내부 프로세스 및 암호 연산장치로 전자서명을 생성하거나 검증할 수 있는 별도의 하드웨어 장치(HSM)다. 스마트카드, USB 토큰 등의 형태가 있지만 별도의 비용이 들고 휴대하기 번거롭다는 이유로 사용자들에게 환영받진 못했다.
◆모바일 보안토큰 안전한 저장장소 될까
모바일 보안토큰이 각광받을 수 있는 비결은 높은 보안성과 휴대성에 있다.
모바일 보안토큰은 스마트폰의 유심(USIM) 내 (공인)인증서를 직접 발급 받거나 저장해 PC와 스마트TV, 태블릿 등 다양한 매체에 개별인증서가 없더라도 전자인증을 수행할 수 있다.
실제로 미국 국립표준 기술원(NIST)도 보안토큰 같은 프로세스 내장 하드웨어(HSM) 방식에 가장 높은 수준인 4등급을 주고 있다. 일반 일회용비밀번호(OTP)는 2등급, 현행 소프트웨어 방식 공인인증서는 3등급, 잠금장치가 있는 OTP는 4등급으로 평가하고 있다.
모바일 보안토큰이 활성화될 경우 현재 제기되는 공인인증서의 문제점을 상당 부분 해소할 수 있을 것으로도 기대되고 있다.
염흥렬 순천향대 교수는 "개인키를 개인 PC의 폴더(NPKI)에 저장하는 것은 공인인증서의 보안 취약점으로 지적되는 부분 중 한 가지인데 별도의 물리적 공간인 유심칩에 개인키를 저장함으로써 이같은 문제를 해결할 수 있다"고 강조했다.
염 교수는 또한 "스마트폰 앱을 이용한 전자서명 생성 방식으로 플러그인 설치 없이 전자서명도 만들 수 있다"고 말했다. 액티브엑스(X)를 사용할 필요가 없다는 것이다.
이에 대해 다른 보안업계 관계자는 "공인인증서를 강제하는 환경을 바꿔야 한다는 데는 이견이 없을 것"이라면서도 "끊임 없이 사고가 발생하고 뚜렷한 대안이나 합의점을 찾지 못하는 상태에서 다양한 시도들이 이뤄지고 있는 것"이라고 평가했다.
과거 보안토큰보다 확산되기에도 좋다는 전망도 나오고 있다. 대다수 스마트폰이 유심칩을 탑재하고 있는 만큼 사용자 인프라가 갖춰져 있다는 이유에서다.
업계에 따르면 유심 인증이 가능한 단말은 현재 2천600만대로 추산되며 매월 40만대씩 신규로 추가되고 있다.
이미 지난 7월부터는 LG유플러스가 모바일 보안토큰 시범 서비스에 들어간 상태다.
한국인터넷진흥원 임진수 팀장은 "모바일 보안토큰 기술 규격을 만드는 과정에서부터 이동통신사와 협의를 거쳤다"며 "SKT와 KT도 서비스를 준비에 나설 것"이라고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기