공인인증서 유출 위험, 보안토큰 의무화가 대안될까?

보안성·편리성 갖춘 ‘보안토큰’ 시장 커질 듯...비용문제는 아직 숙제

[보안뉴스 김태형] 최근 정부가 보이스피싱이나 피싱·해킹 등으로 인한 공인인증서 유출사고를 막기 위해 전자서명법 시행규칙 개정안을 입법예고했다. 이에 따라 은행 공인인증서의 ‘보안토큰(HSM: Hardware Security Module)’ 저장방식이 의무화되고 재발급 절차도 강화될 것으로 보여 ‘보안토큰’에 대한 관심이 높아지고 있다.

이를 통해 본인의 개인정보가 유출되거나 탈취되더라도 인터넷뱅킹 시 ‘인감’ 역할을 하는 공인인증서의 유출·해킹 및 재발급을 차단함으로써 금융사기 피해를 어느 정도 막을 수 있다는 것.

보안토큰은 USB 모양의 공인인증서 저장매체를 말한다. 하지만 일반 USB와는 달라서 암호 연산 기능을 가진 칩을 내장하고 있어 보안성이 우수하다. 또 실물 보안토큰을 가지고 있지 않으면 인터넷뱅킹 이체는 물론 공인인증서 재발급도 불가능해 해킹 방지 등의 강력한 보안기능을 제공한다.

이와 같이 보안토큰은 해킹할 수도 없고 실물 하드웨어 없이 인터넷뱅킹을 이용할 수 없으며 재발급도 받을 수 없는 보안강화 수단으로 인정받고 있다. 이에 스위스의 UBS은행은 공인인증서를 보안토큰에만 저장해 사용하도록 하고 있다. 그러나 현재 국내의 보안토큰 사용률은 10% 미만인 것으로 알려져 낮은 편이다.

이와 관련 세이프넷 관계자는 “공인인증서를 가장 안전하게 저장하는 방법은 보안토큰을 이용하는 것이다. 보안토큰이 안전한 이유는 전용 칩에 공인인증서를 저장하기 때문이다. 가장 일반적인 유형의 보안토큰은 USB 형태이다. 겉모양은 USB 저장장치와 같지만 속은 다르다”면서 “USB형 보안토큰에는 스마트카드에 장착되는 보안 칩이 들어간다. 이 칩에 공인인증서, 암호화 키, 비밀번호 등을 저장하면 외부에서 함부로 꺼내 볼 수 없다. 이는 다양한 암호화 알고리즘을 통해 저장된 정보를 보호하기 때문”이라고 말했다.

이와 같은 보안토큰에는 ‘RSA 1024-bit / 2048-bit, MD5(in software via PKCS#11), 3DES(Triple DES), SHA1, SHA256, AES128, AES192, AES256 등의 암호화 알고리즘이 적용되어 있다.

이 밖에도 보안토큰은 물리적으로 장치를 뜯거나 조작할 수 없다. 세이프넷의 경우 FIPS 140-2 레벨 3 인증을 획득한 보안토큰을 고객에게 제공하고 있고 소프트웨어 수준의 보안성도 높다. 세이프넷의 경우는 보안토큰의 보안성을 보장하기 위해 EAL4+급 CC인증을 받았다.

보안토큰이 제 기능을 하기 위해서는 서버 차원에서 작업할 것도 많다는 게 업계 관계자의 설명이다. 보안토큰 배포, 설정 등의 작업은 중앙 서버에서 하기 때문에 보안토큰은 다양한 표준과 API(Application Program Interface)를 반드시 지원해야 한다는 것. 보안토큰이 보편적으로 따라야 하는 표준과 지원 API는 PKCS#11 V2.20, MS CryptoAPI and CNG(CSP,KSP), Mac Keychain(TokenD), Smart Card Minidriver, Java Card 2.2.2, GlobalPlatform Version 2.1.1, X.509 v3 certificate storage, SSL v3, IPsec/IKE, PC/SC 등이다.

향후 시장상황과 관련해 세이프넷 관계자는 “공인인증서의 보안토큰 저장이 의무화되면 업체간 경쟁이 매우 치열해질 것이다. 경쟁의 핵심은 보안성과 관리 편의성이 될 것이다. 보안성은 앞서 언급했듯 장치 차원의 보안성에 대한 CC나 FIPS 인증 획득 여부를 놓고 업체들이 자사 제품의 우수성을 알릴 것이다. 관리 편의성은 배포, 설정 그리고 다른 시스템과의 연계가 얼마나 매끄럽게 이루어지느냐를 놓고 주요 업체들이 각자의 장점을 강조할 것”이라고 전망했다.

이와 관련해서 한국정보인증은 지난해 공인인증서의 안전한 보관과 가장 안전한 인증매체인 보안토큰의 이용 기회를 확대하기 위해 보안토큰 1000개를 무료로 배포하기도 했다.

한국정보인증 관계자는 “최근 공인인증서 유출과 관련된 피싱이나 해킹 사건이 증가하고 있어 공인인증서 사용자들이 보안위협에 많이 노출되어 있다. 하지만 비용이 부담되거나 사용이 불편하다는 이유로 공인인증서를 보안토큰에 보관하는 이용자는 아직 소수에 지나지 않아 공인인증서의 안전한 사용과 보안강화를 위한 캠페인을 진행했던 것”이라고 설명했다.

이어서 그는 “정부가 특정 보안기술을 지정해서 이를 의무화할 수 없다. 다만 공인인증서의 보안 강화를 위해 추가적인 보안조치를 취하도록 전자서명법 시행규칙이나 기술규격을 개정해서 보안을 강화하도록 할 수 있다”면서 “보안을 강화한 공인인증서 저장방법은 보안토큰 뿐이다. 최근 보안토큰은 여러가지 형태로 개발되고 있다. 예를 들면, 스마트 유심 보안토큰, 금융IC카드형 보안토큰 등인데, 은행은 이 중에서 하나를 자율적으로 사용하도록 할 수 있다. 보안토큰에서 중요한 것은 보안성과 편리성이다. 이를 바탕으로 이용자가 자율적으로 선택하도록 하면 된다”고 말했다.

보안토근이 대중화되는 데 가장 큰 걸림돌은 역시 비용문제다. 사용자들이 비교적 저렴하게 보안토큰을 활용할 수 있도록 기반을 갖추는 것이 숙제인 셈이다. 그동안 보안토큰은 가격이 비싸서 이용자들의 외면을 받아왔다. 대부분 보안토큰보다 저렴하거나 비용이 들지 않는 PC나 일반 USB 저장매체에 저장·사용해왔기 때문이다.

이에 최근에는 비용부담을 크게 낮춘 보안토큰도 시중에 나오고 있다. 국내 보안토큰 업체 키페어는 카드형 보안토큰을 개발해 몇천원에 불과한 저렴한 가격으로 공인인증서를 안전하고 편리하게 보관하고 이용할 수 있도록 했다. 최근엔 국내 A은행에 카드형 보안토큰을 제공하기로 한 것으로 알려졌다.

이와 관련 키페어 관계자는 “보안위협이 날로 증가하고 있는 상황에서 공인인증서는 보다 안전한 장치에 저장돼야 한다. 이는 규제를 통해 의무화해야 하고 공통적으로 사용할 수 있어야 한다”면서 “금융당국도 보안은 금융회사 스스로 규제하도록 하고 있고, 금융회사들도 보안의 중요성에 대해 인식하고 있기 때문에 이와 같은 보안토큰의 사용이 점차 확대될 것으로 보인다”고 전망했다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)