구글, 안드로이드 생태계 강화하기 위한 새로운 API 발표

프로텍티드 컨퍼메이션, 디지털 거래 시 추가 인증 단계 삽입
의료 장비 포함해 다양한 영역에서 응용 가능해

[보안뉴스 문가용 기자] 구글이 새로운 API를 통해 안드로이드 생태계의 보안을 강화했다. 이 API의 이름은 프로텍티드 컨퍼메이션(Protected Confirmation)으로, 하드웨어로 보호되는 사용자 인터페이스인 트러스티드 UI(Trusted UI)를 사용해 중요한 거래들을 실시하도록 하는 기능을 가지고 있다.

[이미지 = iclickart]

이 API를 애플리케이션에서 활용하기 시작하면, 사용자는 거래가 시작될 때 ‘확인’을 요구하는 프롬프트 창을 보게 된다. ‘거래를 하시겠습니까?’라는 질문에 사용자가 확인을 누르면, 그 정보가 암호학적으로 인증된다. 즉 프로텍티드 컨퍼메이션이 거래를 한 층 더 강력하게 보호한다는 것이다. 이 때 트러스티드 UI가 발동되고, 여기서 데이터가 안전하게 보호된다. 특히 가짜 앱을 통한 사기성 거래나 침해된 OS로부터 데이터를 보호하는 게 프로텍티드 컨퍼메이션의 특징이다.

구글에 의하면 이 API는 2차적인 인증 요소인 1회 비밀번호나 거래 인증 번호(TAN) 등도 더 강력하게 만든다고 한다. 즉 기기 자체가 침해됐을 때 위험해질 수 있는 보안 요소들도 이 API를 통해 강화시킬 수 있다는 것이다.

프로텍티드 컨퍼메이션이 발동될 때는 ‘확인’ 메시지에 디지털 서명이 적용되지만 서명에 사용하는 키가 트러스티드 UI의 하드웨어 샌드박스에만 있기 때문에 악성 앱들이나 침해된 OS를 통하여 사용자를 속이는 것은 불가능하다. 그리고 이 서명 키는 AndroidKeyStore라는 API를 통해 생성된다.

“앱에서 프로텍티드 컨퍼메이션 API를 사용해 종단간 거래를 안전하게 만들기 전에, 반드시 공공 키스토어(KeyStore) 키와 키스토어 어테스테이션(Keystore Attestation) 인증서를 확보해야 합니다. 프로텍티드 컨퍼메니션을 서명하는 데 사용되는 키는 이 인증서를 통해서만 인증받을 수 있거든요.” 구글 안드로이드 보안 전문가인 야니스 다니세프스키스(Janis Danisevskis)의 설명이다.

다니세프스키스는 “프로텍티드 컨퍼메이션은 활용도가 높다는 장점도 가지고 있다”고 말한다. “개인 대 개인의 금전 거래를 보호하는 것이나, 각종 인증, 의료 장비 제어 등에도 활용될 수 있죠.”

튜브가 없는 패치 인슐린 펌프를 만드는 인슐렛(Insulet)은 이미 이 새로운 API를 활용해 인슐린 관리 시스템을 보다 효과적으로 관리하는 방법을 선보였다. 프로텍티드 컨퍼메이션을 활용해 주입할 인슐린의 양을 정확히 확인함으로써 위험한 공격을 막을 수 있게 된 것이다. 또한 이로 인한 삶의 질 향상과 비용 절감 효과도 기대된다고 한다.

다니세브스키스는 “식약청은 물론 여러 산업의 컨소시엄과 함께 프로텍티트 컨퍼메이션을 연구해왔다”며 “광범위한 협업을 통해 의료 기기의 안전한 통제와 관련된 산업 내 표준을 마련할 수 있었다”고 밝혔다. “여러 분야에서 사용자의 안전을 위해 이러한 API가 계속해서 개발되고 활용되기를 바랍니다.”

프로텍티드 컨퍼메이션은 하드웨어에 대한 낮은 수준의 의존성을 가지고 있는 보안 기능으로, 현재는 구글 픽셀 3과 3XL 모델들에 스마트폰 최초로 이 기능이 도입됐다. 하지만 아직까지 모든 안드로이드 폰들에 프로텍티드 컨퍼메이션 API가 지원될지는 미지수다.

3줄 요약
1. 구글, 안드로이드 생태계 보호하기 위한 보안 API 개발.
2. 이름은 프로텍티드 컨퍼메이션으로, 하드웨어에 조금 의존해 디지털 거래를 인증하는 기능을 가지고 있음.
3. 활용도가 높다는 특징이 있음. 특히 의료 기기 보호에 적용될 것 기대됨.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)