Home > 전체기사

[기고]공인인증서 해법에 대한 3가지 제언

  |  입력 : 2010-04-05 10:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다양한 인증 결제수단 제공 필요...보안토큰, OTP 보급도 진행돼야


최근 몇 달 동안 공인인증서 및 OTP(One Tine Password)와 관련된 찬반 논쟁이 인터넷과 신문 지상을 뜨겁게 달구고 있다. 공인인증서란 전자적인 형태의 인감증명서로서 인터넷 상에서의 도장날인을 가능케 하는 기술이며, OTP란 일회용 비밀번호 생성장치로 이용할 때마다 다른 비밀번호가 생성돼 해킹이나 사용자의 관리소홀 등으로 비밀번호가 노출되는 것을 방지하는 기술을 말한다.


인터넷 뱅킹에 공인인증서를 사용하던 OTP를 사용하던 간에 반드시 선행되어져야 할 전제 조건이 있는데, 그것은 바로 ‘키의 안전한 보관’이다. 공인인증서를 사용할 경우 인감 도장에 해당하는 일명 ‘개인키’라고 불리는 키가 외부로부터 안전하게 보호되어야 하며, OTP를 사용할 경우 일회용 비밀번호 생성시 사용되는 일명 ‘OTP 비밀키’가 안전하게 보호되어야 한다. (실제로 전 세계 OTP 시장 점유율 1위 제품인 RSA SecurID의 경우, 2000년에 역공학(Reverse Engineering : 완성된 제품을 상세하게 분석 하여 그 기본적인 설계 내용을 추적 하는 것)을 통해 해킹되어 OTP 기기 내부에 저장된 비밀키가 유출된 사례가 있다.)


이를 위해 한국인터넷진흥원에서는 보안토큰(HSM : Hardware Security Module, 하드웨어형 키 관리 장비)이란 것을 사용하여 사용자의 개인키를 안전하게 보관토록 권고하고 있으며, 현재 27종의 보안토큰 제품들이 한국인터넷진흥원의 심의를 통과한 후 시중에 유통되고 있다. 그러나 아직은 보급 초기단계이므로 대다수의 사용자들은 이에 대해 잘 모르는 경우가 많으며, 여전히 일반 USB 메모리 또는 PC의 하드디스크에 자신의 개인키를 저장하여 보관하고 있는 실정이다.


OTP 비밀키의 안전한 보관을 위해서는 현재 금융보안연구원에서 ‘OTP 암호키 관리 보안 요구사항’이란 것을 제정/공지한 상태이나, 아직 이에 대한 보안성 심의 체계가 확립되지 않아 시중에 유통 중인 OTP 제품의 안전성을 공인해 주지는 못하고 있는 실정이다.


개인키와 OTP 비밀키가 모두 안전하게 보호되고 있다는 전제하에 공인인증서에 기반한 인터넷 뱅킹은 OTP에 기반한 방식에 비해 분명 기술적인 우위를 가지고 있다. 즉, 공인인증서 방식은 사용자의 개인키를 본인만이 소지하고 있는 반면 OTP 방식의 경우 OTP 비밀키를 두 거래당사자(예를 들어 본인과 은행)가 모두 알고 있어야 하므로, 공인인증서 방식이 은행 내부직원에 의한 거래 내역 조작에 대해 보다 더 안전하다 (일명 ‘부인방지’ 기능). 하지만 OTP 방식은 사용 편리성 관점에서 공인인증서 방식에 비해 우위에 있는 것도 사실이다. 이에 필자는 다음과 같은 방향으로 공인인증서 문제를 해결해 나가기를 제안한다.


첫째, 사용자들에게 다양한 기술 선택권을 준다는 점에서 공인인증서 기술만을 강제할 것이 아니라 다양한 인증 및 결제 수단을 제공해야 한다. 그러나 공인인증서 방식과 OTP 방식은 엄연히 보안 수준의 차이가 존재하는 바, 큰 규모의 거래에는 공인인증서 방식을 작은 규모의 거래에는 공인인증서 방식 또는 OTP 방식을 병행하여 적용하는 것이 타당하다. 보안에 대한 투자는 무턱대고 많이 하는 것이 아니라 보호해야 할 자산의 가치에 맞추어 이루어져야 한다.


둘째, 공인인증서 방식을 사용하던 OTP 방식을 사용하던 간에 키의 안전한 보관이 중요하므로, 관계 기관은 보안토큰 및 OTP 기기의 보안성 심의 체계를 조속히 확립하고 공인된 안전한 보안토큰 및 OTP 기기가 널리 보급될 수 있도록 힘써야 한다.


끝으로, 보안업체들은 공인인증서 방식이 보다 다양한 웹 환경에서 손쉽게 사용될 수 있도록 노력해야 하고, 특히 사용자들의 편리성을 증진하기 위해 HCI(Human Computer Interaction : 인간과 컴퓨터가 쉽고 편하게 상호작용할 수 있도록 작동시스템을 디자인하고 평가하는 과정을 다루는 학문) 연구에 힘써야 한다.

[글 - 성균관대학교 정보통신공학부 김승주 교수 (skim@security.re.kr)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

다니엘 2010.04.06 11:09

쉽게 설명해주신 좋은글 잘 읽었습니다. 다만 OTP 비밀키가 은행내부직원에 의한 노출가능성은 완전 불가능한 체계로 구현되어 있는 것으로 알고 있는데, 다소 과장된 언급이셨지않나 합니다.


  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)