[기고]공인인증서 해법에 대한 3가지 제언

입력 : 2010-04-05 10:11

다양한 인증 결제수단 제공 필요...보안토큰, OTP 보급도 진행돼야

최근 몇 달 동안 공인인증서 및 OTP(One Tine Password)와 관련된 찬반 논쟁이 인터넷과 신문 지상을 뜨겁게 달구고 있다. 공인인증서란 전자적인 형태의 인감증명서로서 인터넷 상에서의 도장날인을 가능케 하는 기술이며, OTP란 일회용 비밀번호 생성장치로 이용할 때마다 다른 비밀번호가 생성돼 해킹이나 사용자의 관리소홀 등으로 비밀번호가 노출되는 것을 방지하는 기술을 말한다.

인터넷 뱅킹에 공인인증서를 사용하던 OTP를 사용하던 간에 반드시 선행되어져야 할 전제 조건이 있는데, 그것은 바로 ‘키의 안전한 보관’이다. 공인인증서를 사용할 경우 인감 도장에 해당하는 일명 ‘개인키’라고 불리는 키가 외부로부터 안전하게 보호되어야 하며, OTP를 사용할 경우 일회용 비밀번호 생성시 사용되는 일명 ‘OTP 비밀키’가 안전하게 보호되어야 한다. (실제로 전 세계 OTP 시장 점유율 1위 제품인 RSA SecurID의 경우, 2000년에 역공학(Reverse Engineering : 완성된 제품을 상세하게 분석 하여 그 기본적인 설계 내용을 추적 하는 것)을 통해 해킹되어 OTP 기기 내부에 저장된 비밀키가 유출된 사례가 있다.)

이를 위해 한국인터넷진흥원에서는 보안토큰(HSM : Hardware Security Module, 하드웨어형 키 관리 장비)이란 것을 사용하여 사용자의 개인키를 안전하게 보관토록 권고하고 있으며, 현재 27종의 보안토큰 제품들이 한국인터넷진흥원의 심의를 통과한 후 시중에 유통되고 있다. 그러나 아직은 보급 초기단계이므로 대다수의 사용자들은 이에 대해 잘 모르는 경우가 많으며, 여전히 일반 USB 메모리 또는 PC의 하드디스크에 자신의 개인키를 저장하여 보관하고 있는 실정이다.

OTP 비밀키의 안전한 보관을 위해서는 현재 금융보안연구원에서 ‘OTP 암호키 관리 보안 요구사항’이란 것을 제정/공지한 상태이나, 아직 이에 대한 보안성 심의 체계가 확립되지 않아 시중에 유통 중인 OTP 제품의 안전성을 공인해 주지는 못하고 있는 실정이다.

개인키와 OTP 비밀키가 모두 안전하게 보호되고 있다는 전제하에 공인인증서에 기반한 인터넷 뱅킹은 OTP에 기반한 방식에 비해 분명 기술적인 우위를 가지고 있다. 즉, 공인인증서 방식은 사용자의 개인키를 본인만이 소지하고 있는 반면 OTP 방식의 경우 OTP 비밀키를 두 거래당사자(예를 들어 본인과 은행)가 모두 알고 있어야 하므로, 공인인증서 방식이 은행 내부직원에 의한 거래 내역 조작에 대해 보다 더 안전하다 (일명 ‘부인방지’ 기능). 하지만 OTP 방식은 사용 편리성 관점에서 공인인증서 방식에 비해 우위에 있는 것도 사실이다. 이에 필자는 다음과 같은 방향으로 공인인증서 문제를 해결해 나가기를 제안한다.

첫째, 사용자들에게 다양한 기술 선택권을 준다는 점에서 공인인증서 기술만을 강제할 것이 아니라 다양한 인증 및 결제 수단을 제공해야 한다. 그러나 공인인증서 방식과 OTP 방식은 엄연히 보안 수준의 차이가 존재하는 바, 큰 규모의 거래에는 공인인증서 방식을 작은 규모의 거래에는 공인인증서 방식 또는 OTP 방식을 병행하여 적용하는 것이 타당하다. 보안에 대한 투자는 무턱대고 많이 하는 것이 아니라 보호해야 할 자산의 가치에 맞추어 이루어져야 한다.

둘째, 공인인증서 방식을 사용하던 OTP 방식을 사용하던 간에 키의 안전한 보관이 중요하므로, 관계 기관은 보안토큰 및 OTP 기기의 보안성 심의 체계를 조속히 확립하고 공인된 안전한 보안토큰 및 OTP 기기가 널리 보급될 수 있도록 힘써야 한다.

끝으로, 보안업체들은 공인인증서 방식이 보다 다양한 웹 환경에서 손쉽게 사용될 수 있도록 노력해야 하고, 특히 사용자들의 편리성을 증진하기 위해 HCI(Human Computer Interaction : 인간과 컴퓨터가 쉽고 편하게 상호작용할 수 있도록 작동시스템을 디자인하고 평가하는 과정을 다루는 학문) 연구에 힘써야 한다.

[글 - 성균관대학교 정보통신공학부 김승주 교수 (skim@security.re.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

오병민기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  친러시아 해킹조직, 스마트팜 등 국내 원격제...

• 2

  치명적 드레이텍 취약점 공개 한 달, 90만...

• 3

  [한 주를 관통하는 보안 소식] 2024년 ...

• 4

  [사회&보안] 먹고 난 자리를 치우고 가라는...

• 5

  2024 한국융합보안학회 추계학술대회 개최....

• 1

  [기획특집] 국내 보안시장의 해외 영상보안 ...

• 2

  새롭게 등장한 랜섬웨어, 독특하게 프리BSD...

• 3

  [한국정보공학기술사 보안을 論하다-7] 데이...

• 4

  [긴급] 국방부, 디도스 공격에 다운된 홈페...

• 5

  점점 많아지고 있는 SaaS, 하지만 보안은...

• 1

  언더그라운드 랜섬웨어, 텔레그램에 탈취 정보...

• 2

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 3

  [긴급] 전국 법원 홈페이지 대부분 접속불가...

• 4

  일본도 친러 성향 디도스 공격 받아... 디...

• 5

  지니언스의 지니안 낙에서 정보 유노출 취약점...