제 1부 키보드 보안 솔루션 시장 현황 178쪽
제 2부 키보드 보안 솔루션 기술 동향 183 쪽

얼마 전 TV 뉴스에서 놀라운 사실이 보도됐다. 인터넷뱅킹 사용시 개인의 아이디, 패스워드 등이 해커에게 그대로 노출, 자신도 모르는 사이에 계좌에서 돈이 빠져나갈 수 있다는 것. 아무 생각 없이 ‘안전하겠지’라고 생각하며 인터넷뱅킹, 쇼핑 등을 이용해온 사용자들의 가슴을 뜨끔하게 하는 뉴스였다. 개인 정보유출은 이처럼 아주 간단한 해킹툴만으로도 노출될 수 있어 심각한 문제를 야기시킬 수 있다.
하지만 대다수의 인터넷뱅킹 사용자들은 현재 위험에 그대로 노출돼 있는 상태다. 안티 바이러스 백신, 개인용 방화벽 등을 설치해도 알려지지 않은 신종 바이러스와 해킹툴에 대해서는 대응력이 취약해 안심할 수 없다.
이에 최근 금융권 등을 중심으로 개인 사용자가 웹 브라우저상에서 입력하는 중요 입력정보를 키보드 드라이버에서 실시간 암호화해 바이러스나 해킹으로부터 보호하는 ‘키보드 보안’ 제품에 대한 관심이 높아지고 있다. <편집자>

제 1부 | 키보드 보안 솔루션 시장현황

안전한 PC사용 길잡이 키보드 보안 시장 개화 임박
키로거·버그베어·스파이웨어 등 해킹 차단 효과 뛰어나 … 출혈 경쟁 조짐

최근 고도화되는 해킹, 바이러스의 창궐과 함께 개인정보를 근본적으로 보안해줄 수 있는 키보드 보안에 대한 관심이 수면위로 부상하고 있다. 그간 금융, 포털 사이트 등에서 부분적으로 사용돼 왔던 키보드 보안은 적용 사이트가 늘어나며 개인사용자를 위한 단독 제품으로 시판될 전망도 제기되는 등 서서히 시장에서 세력을 넓혀가고 있다. 그러나 키보드 보안이 적용되면 사이트 속도가 느려지는 등 아직 보완해야할 기술적인 단점과 고객을 확보하려는 업체간 출혈 경쟁 등이 시장확산의 걸림돌로 지적되고 있다. 하지만 최근 쇼핑몰, 온라인 게임 등으로 적용 사이트가 확대되며 일본, 중국 등의 해외진출 성과도 가시화되고 있어 키보드 보안 시장에 대한 전망은 밝은 편이다. 백신, 개인용 방화벽 등과 함께 3대 개인용 보안 장비로 지목되고 있는 키보드 보안 제품은 어떤 것이며, 어떤 효과가 있는지 관련 업체들의 동향을 통해 살펴본다. | 장윤정 기자·linda@datanet.co.kr|

인터넷 사용인구가 증가하면서 기업들은 각각 인터넷 사이트를 통해 정보를 입력하고 고객을 확보하며 은행들은 인터넷 뱅킹을 통한 금융거래를 확대하고 있다. 또 최근 온라인 쇼핑몰의 이용비중이 늘어나고 온라인 게임사이트에서는 개인의 아이템 등도 고가에 거래돼 개인 아이디, 패스워드 등이 중요하게 취급되는 형편이다.
그러나 이렇게 인터넷 서비스나 정보를 제공받기 위해 입력해야하는 개인의 정보가 매우 중요함에도 불구하고 대부분의 인터넷 사이트에서 개인정보 유출에 대해 무방비 상태로 노출돼 있다. 이는 단순히 개인정보의 유출에 따른 개인의 피해 뿐 아니라 국가의 피해를 초래하는 사회적 문제가 될 수도 있다. 중요한 개인데이터가 보호돼야 함에도 불구하고 개인 스스로 이런 준비를 하기란 쉽지 않은 일이다. 더구나 인터넷처럼 모든 사람들에게 공개돼있는 환경일수록 정보를 관리하기란 더욱 쉽지 않다.
이에 관련 전문가들은 인터넷 뱅킹 사이트, 인터넷 쇼핑몰, 온라인 게임 등 많은 사용자에게 공개돼있는 사이트에서 키보드 보안 솔루션을 적용, 개인정보를 보호하기 위한 방안을 마련하는 것이 시급하다고 지적하고 있다.

키보드 보안이란
키보드 보안 솔루션은 키보드를 통해 입력되는 개인의 중요정보, 아이디, 패스워드, 계좌번호, 카드번호 등을 키보드 드라이버 레벨에서 암호화함으로 키로거(keylogger) 프로그램 등의 공격에 의해 중요 정보가 유출되는 것을 근본적으로 차단하는 솔루션이다. 키보드 보안은 기존의 SSL(Secure Sockets Layer) 보안 구간을 키보드까지 연장함으로써 키보드를 입력하는 시점부터 서비스 서버까지 전 구간에서 개인 중요 정보가 유출되는 것을 차단할 수 있다.
키보드 보안의 탄생은 키로그(keylogge) 프로그램으로부터 시작됐다. 키로그는 상용제품으로 기업의 관리자가 사용자들을 감시, 원격제어 등을 하기 위한 목적으로 개발됐지만 해커들이 이를 악용, 키로그 프로그램을 활용한 키로거 바이러스에 감염되면 키로거에 감염된 컴퓨터를 쓰는 사람들의 키보드 입력을 기록하는 것으로 피싱 사기꾼들이 감염된 컴퓨터 사용자들이 무엇을 하는지 모두 알아낼 수 있다. 또한 감염된 컴퓨터의 키보드 입력값을 유출, 전자거래 이용시 패스워드나 신용카드 정보를 유출하는 버그베어(Bugbear), 타인의 컴퓨터에 몰래 숨어있다 중요한 개인정보를 빼가는 스파이웨어(Spyware) 등도 키보드 보안 솔루션을 활용하면 효과적으로 막을 수 있다.
관련전문가들은 “백신 프로그램 등은 상용 프로그램인 키로그를 바이러스로 진단하지 않아 백신 등으로는 진단이 불가능하다”며 “개인 보안을 3단계로 나누면 1단계가 백신, 2단계가 개인용 방화벽 그리고 마지막 3단계로 키보드 보안이라 할 수 있다. 키보드 보안은 개인 사용자의 보안을 위한 최후의 보루가 되어줄 것”이라고 언급했다.
정보보호의 관리도구는 정보보호 정책, 조직, 교육 등의 관리적 보안과 시설물 및 장비 보안 등 물리적 보안이라는 큰 테두리 안에서 방화벽, IDS, IPS, VPN 등 네트워크 보안이 구축되는 논리적 보안의 기본 단계를 거의 완성해가고 있다. 더 나아가 사용자 인증, 바이러스 백신 등 시스템 보안과 사용자 인증 및 권한관리의 응용 서비스 보안도 어느 정도 구축됐고 이제 데이터베이스 보안, 문서 보안, 메일 보안, 키보드 입력 정보 보안 등 사용하는 정보 자체에 대한 보안이 필요한 시점이 도래했다는 것. 데이터는 그만큼 정보화 사회에서 중요한 도구이고 반드시 보안돼야 할 자산으로 분류되고 있기 때문이다.
관련 전문가들은 키보드 보안이 전자상거래가 이뤄지는 부분에서는 반드시 필요하다며 금융권 등이 우선 가장 활발한 도입을 보이고 있다고 전한다. 현재 대부분의 인터넷뱅킹을 활용하는 은행사이트는 키보드 보안을 도입한 상황이며 지난해 연말 카드사들도 속속 키보드 보안 솔루션 도입에 나서 대형 카드사들 역시 키보드 보안 솔루션을 도입했다. 최근 관련 업체들이 타깃하고 있는 시장은 증권과 제 2금융, 생보사 등이다. 온라인 게임과 쇼핑몰 등에서도 많은 관심을 보이고 있어 관련 업체들은 이들 시장을 확대하는데도 총력을 기울이고 있다.
우선 키보드 보안솔루션 공급에 가장 활발히 나서고 있는 업체는 소프트캠프, 잉카인터넷, 킹스정보통신, 안철수연구소 등이며 월드모닝도 자사의 키보드 보안 솔루션을 엔키퍼라는 보안솔루션 번들로 KT 메가패스, 네이트온 등의 포털사이트에 공급, 사용자 기반을 확대해 가고 있다.

금융·증권·공공 등 대형 사이트 도입 활발
조흥, 한미, 우리, 하나, 신한 은행 등과 이니시스, 현대홈쇼핑, 넥슨 등에 자사의 키보드 보안 솔루션 ‘시큐어 키 스트로크(Secure KeyStroke)’를 공급한 소프트캠프(대표 배환국)는 아이디, 패스워드가 사용되는 곳은 모두 키보드 보안의 대상이라고 언급한다. 소프트캠프 시큐어 키 스트로크는 128비트 암호화 알고리즘을 사용, 키 입력 포커스에 따라 암호화키를 새로 생성함으로써 키 유출 위험을 제거하고 암호화시점이 분명해 오동작의 위험이 없다는 것을 장점으로 내세운다. 또한 시큐어 키 스트로크는 USB 키보드를 지원하는 것도 특징인데 USB는 키보드만이 아니라 마우스, 저장장치 등 여러 매체가 될 수 있는 범용성을 제공하는 포트라 지원이 어려워 USB 키보드를 지원 기술을 특허로 보유하고 있다. 한글과 다국어 지원은 물론이고 모든 OS에서 원활히 동작한다.
소프트캠프 기획실 장항배 실장은 “소프트캠프는 문서보안이 주력 제품이지만 키보드 보안을 차세대 제품으로 집중, 육성하고 있다”며 “네트워크 보안은 이제 포화상태다. 내부정보, 개인사용자 구간이 새로운 정보보호 영역이 생겨나는 시점이며 이에 따라 키보드 보안이 부상할 여지는 충분하다”고 언급했다. 또 그는 “키보드 보안은 투자개발 비용과 시간에 비해 효과가 큰 제품이라 새로운 홍보 전략이나 단가에 대한 조절, 단독 제품으로서의 위상을 세운다면 해외시장도 개척, 선점할 수 있는 가능성이 크다”고 덧붙였다.
소프트캠프는 현재 게임보안과 키보드 보안을 번들링해서 게임, 포털 등에 공급을 확산하고 있고 일본, 미국 등 해외시장 개척도 준비중이다. 기존 금융권 레퍼런스를 기반으로 제 2금융, 증권 등의 고객확보에 주력하며 포털, 쇼핑, 게임 등까지 확대하고 작은 쇼핑몰, 학내망 등 중소기업쪽에는 싼 가격에 도입해 쓸 수 있도록 프로모션 등을 진행할 방침이다.
최근 ‘키 입력 도용 방지 방법’에 대한 특허를 획득한 안철수연구소(대표 김철수)의 키보드 보안 솔루션 ‘마이키디펜스(MyKeyDefense)’도 외환은행, 삼성생명, 대신증권, 제일은행 등에 공급됐다. 마이키디펜스는 온라인 안티키로깅 서비스로 자체 인식 기능을 이용한 키로거 감지와 자동 업데이트, 가상 키보드를 사용한 이중 보호 모드 방식, 패스워드 타입 등의 보호대상 입력 항목 지정 기능, 타 프로그램과의 충돌방지 등이 특징이다.
안철수연구소 통합ASP유닛 안정식 유닛장은 “타 제품의 경우 키보드 드라이버의 선점여부가 보안에 중요한 쟁점으로 작용하기 때문에 선점을 위한 재부팅이 필요하며, 재부팅후에도 선점을 빼앗기면 재부팅만이 안전을 확보하는 유일한 방법으로 제시되고 있다”며 “그러나 마이키디펜스는 드라이버부와 가상키보드부의 두 가지 방식을 제공하고 있어 키보드 드라이버의 설치 시 일반적인 키보드 보안 프로그램이 가지는 재부팅의 이슈와 상관없이 안전성을 확보할 수 있다”고 언급했다. 또 그는 “하지만 키보드 보안제품 자체만 가지고는 완벽한 개인정보 보호를 할 수 없다. 보다 완벽한 보안을 위해서는 안티 키로거와 개인 PC 방화벽 등을 함께 도입하는 것이 좋다”고 덧붙였다.
안철수연구소는 마이키디펜스를 금융권 등으로 확산시킨다는 전략이며 연내 업그레이드 제품을 출시하는 등 지속적인 제품개선으로 보안 키보드 시장에 대응토록 할 방침이다.

키보드 보안으로 해외 시장 진출 노린다
‘엔프로텍트 키크립트(nProtect KeyCrypt)’ 키보드 보안을 개발, 공급하고 있는 잉카인터넷(대표 주병회) 역시 기업, 외환, 산업, 대구, 부산, 전북, 제주 은행 등 다수의 금융권에 공급실적을 보유하고 있다. 이외에도 LG, 삼성카드, 금호생명, 제일화재 등 생보사 사이트와 엔씨소프트, CJ엔터테인먼트, 프리스톤테일즈 등의 온라인 게임사에도 다수 제품을 공급했다.
잉카인터넷 e비즈 사업본부 유인향 과장은 “현재 시중에 나와 있는 키보드 보안 제품의 기능이 거의 비슷하지만 잉카인터넷의 키크립트는 국내외 40여개 사이트에서 1천만명 이상의 고객들에게 매일 서비스돼 보안성과 안정성이 검증된 솔루션”이라며 “특히 일본, 중국 등에 수출돼 좋은 반응을 얻고 있다”고 언급했다. 잉카인터넷은 올해 주 타깃을 제 2금융권으로 설정하고 있다. 이미 제 1금융권은 웬만한 사이트가 도입을 끝내 제 2금융권을 연초 타깃으로 설정했지만 의외로 증권사의 요구가 많아 증권 사이트 확보에 열을 올리고 있다.
유인향 과장은 “증권사 HTS(Home Trading Syste) 부분에서 50% 이상의 점유율을 목표로 영업을 진행중이다”며 “고객의 요구에 얼마나 빠르게 커스트마이징할 수 있는가, 누가 더 빠르게 움직여 금융고객들을 선점하느냐가 올해 키보드 보안 시장 성공의 열쇠일 것”이라고 강조했다.
또한 잉카인터넷 엔프로텍트 키크립트는 128비트 암호화 알고리즘을 적용하고 윈도 시스템 레벨(커널)에서의 접근제어, 각종 키보드 관련 드라이버 발견시 경고로 위험 최소화, 윈도 OS는 물론 일본어를 포함한 다양한 외국어 지원 등의 기능을 제공한다. 특히 일본 세이존카드 등에 솔루션을 수출한 잉카인터넷은 일본에서 사용되는 35개 이상의 키보드를 모두 지원하는 등 해외 어느나라의 키보드 특성에도 적합한 지원이 가능하다는 점을 내세운다. 잉카인터넷은 키보드 보안 솔루션의 독자공급은 물론 자사의 엔프로텍트 안티바이러스 솔루션 등과 번들 제공 등으로 올해 키보드 보안 부분에서 약 20억원의 매출을 달성할 계획이다.
지난 92년 6월 키보드보안 기술에 관련한 특허를 받고 제품을 출시, 같은 해 10월 정통부 전자인증에 자사의 키보드 보안솔루션 ‘K-디펜스’를 공급하며 일찌감치 사업에 나선 킹스정보통신(대표 오충건)은 국민은행, 삼성증권, 교보생명, 비씨카드, 삼성화재 등의 레퍼런스를 보유하고 있다.
킹스정보통신 솔루션 사업팀 김준현 팀장은 “기존 백신, 개인방화벽만으로는 개인보안이 완벽히 수행된다고 보기 어렵다. 백신, 개인방화벽이 개인보안의 70%를 커버한다면 나머지 30%는 키보드 보안이 수행해줄 수 있다”며 “그러나 키보드 보안으로도 해킹 위험에 완벽한 보안이 가능하다는 뜻은 아니며 방화벽, 공인인증서 등 보안에 대한 정책과 기타 시스템 도입을 갖춘 후 키보드 보안을 도입한다면 보다 효과를 볼 수 있을 것”이라고 언급했다.
K-디펜스는 웹 페이지, CS 버전 등에 구분 없이 적용가능하며 지난 94년 삼성증권에 도입된 이래 많은 사이트에서 안정성이 검증됐기 때문에 HTS 적용의 노하우가 뛰어나다는 것이 장점이다. 또 기존 전송경로를 이용하지 않고 직접 응용프로그램으로 전송하는 방식을 사용, 해킹에 노출될 확률을 줄였고 펌웨어와 윈도 OS 커널 사이에서 동작하기 때문에 하드웨어를 제외한 대부분의 소프트웨어적인 키로깅을 무력화시킬 수 있다.
제 2금융권, 포털, 관공서 등을 타깃으로 영업을 개시하고 있는 킹스정보통신은 미국에 지분을 투자한 공동회사를 설립, 연내에 자사의 키보드 보안을 포함한 PC보안 솔루션, DRM, DSM, 유해차단 프로그램 등의 해외진출을 확대할 방침이다. 특히 올 하반기부터는 국내보다 해외쪽에 좀더 무게중심을 두고 해외사업 비중을 높여갈 계획이다.

포털·쇼핑몰 등 적용으로 사용자 기반 확대
기업보다 사용자 중심의 보안, 게임 등의 서비스 사업을 위해 기존 F&F시큐어텍에서 사명을 변경한 월드모닝(대표 전창룡)의 ‘시큐어엑스 엔키(SecuX EnKey)’는 KT 메가패스와 SK 네이트온 등에 공급됐다. 월드모닝은 금융, 공공 등을 타깃하고 있는 타 업체들과 달리 개인사용자를 보유한 ISP, 포털과 제휴해 키보드 보안사업을 진행하고 있으며 해외의 ISP 사업자들과의 협력 사업도 추진중이다.
월드모닝 기술영업팀 김상진 차장은 “다른 키보드 보안 솔루션들은 은행, 쇼핑몰 등의 특정 사이트에 접속만 하면 바로 키보드 보안이 구동되고 그 사이트를 빠져나오면 해제되는 형식이지만 시큐어엑스 엔키는 사용자의 PC에 설치해놓고 웹 브라우저에 접속 시 어떤 웹 페이지에서 사용하더라도 모든 데이터를 보호해주는 방식이다”며 “사용자가 한번 클라이언트를 깔아줘야 하는 불편이 있지만 대신 특정 사이트 보호만이 아니라 모든 웹페이지, 메신저, 일부 HTS 등 보다 광범위하게 안전한 사용을 보장하는 것이 특징이다”고 언급했다.
또 시큐어엑스 엔키는 캐럿(인터넷상의 커서)을 사용자가 원하는 마크형태로 바꿔주는 특허를 보유, 개인사용자들이 자기가 원하는 형태로 개성을 표현할 수도 있고 포털 등의 사업자는 기업홍보에도 활용할 수 있도록 지원하고 있다. 김 차장은 “보안요소를 사용자들이 불편을 느끼지 않도록 얼마나 편하게 가져갈지 고민하고 있다”며 “그러나 보호받고 있다는 인지를 줘야하기 때문에 캐럿을 원하는 형태로 변경시킬 수 있게 하는 등 사용자들이 편하고 재미있게 쓸 수 있도록 지원하는데 주력하고 있다”고 덧붙였다.
월드모닝은 지난해 키보드 보안을 포함한 이메일보안, 메신저보안, 팝업 사이트 차단 등 인터넷 보안 패키지 ‘엔키퍼(Enkeeper)’를 사용자들에게 무상배포해 인지도를 높였으며 올해도 이같은 프로모션을 지속해 인지도를 향상시킨다는 방침이다. 월드모닝은 조만간 중국어, 일본어 버전 등을 개발해 해외시장 공략에 중점을 둘 계획이며 키보드 보안에 대한 인식을 널리 홍보해 개인회원을 보다 많이 확보하는데 총력을 기울일 방침이다.

적용시 사이트 느려져, 기술적 보안 시급
이렇게 관련 업체들이 키보드 보안 솔루션 적용을 확대하는데 힘을 쏟고 있지만 아직 시장의 적용은 제한적인 편이다. 인터넷 뱅킹 등 사고의 소지가 있어 사용자들을 보호해줘야 한다는 필요성이 있는 사이트에서만 부분적인 도입이 이뤄지고 있기 때문이다.
따라서 관련 업계는 은행 등의 금융권쪽에서는 도입이 거의 완료된 상황이라 제 2금융권, 증권사 등의 도입이 완료될 올해와 내년 상반기 정도까지를 키보드 보안의 전성기로 잡고 있기도 하다. 한 업계의 관계자는 “키보드 보안이 적용되면 적용전보다 미세하게 사이트가 느려지는 등 불편이 따르는 편이라 개인사용자단까지 적용되기에는 시간이 필요할 것”이라며 “해킹 등 사고가 우려되는 금융 사이트의 구축이 끝나면 쇼핑몰, 게임 등도 부분적인 도입에 그칠 것으로 예상돼 키보드 보안 시장을 길게 보지는 않는다”고 언급했다.
보안의 근본적인 특성이 적용하면 아무래도 불편해지기 마련이라 백신 프로그램처럼 개인사용자들에게 확산되기까지는 시간이 걸린다는 것이다. 또한 백신프로그램도 불법 소프트웨어의 사용이 대부분인 현실에서 키보드 보안을 상용제품으로 판매하기에는 아직 시기상조라는 것. 쇼핑몰, 온라인 게임사이트 등에서도 도입대비 효과가 떨어질 수도 있다는 점을 우려한다. 안정성, 기능에 대한 저하 등을 걱정해 공급이 만만치 않다. 또한 사용자들의 PC 환경이 워낙 다양해서 설치된 프로그램과의 충돌문제 등이 존재할 수 있어 이에 대한 지원을 일일이 수행하는 것도 무리가 따른다.
그러나 관련 전문가들은 정보를 입력하는 일차적 수단이 키보드이기 때문에 키보드가 있는 한 키보드 보안의 시장은 있다고 주장한다. 개인정보를 입력하는데 키보드가 유일한 수단이 아니라면 키보드 보안이 필요 없을지 모르지만 키보드는 정보를 입력하는 일차적인 수단이다.
한 업계의 관계자는 “현재는 백신프로그램을 웬만한 PC사용자라면 모두 하나쯤은 설치하고 사용하는 편이지만 백신도 이렇게 범용화되기까지는 시간이 걸렸다”며 “백신 프로그램처럼 키보드가 존재하는 한 키보드 보안도 향후 개인 정보보호의 중요한 수단으로 자리매김할 것이다. 내 정보는 내 스스로 보안해야한다는 마인드가 반드시 필요하다”고 언급했다.
또한 전자 정부 정책 등도 향후 지속적으로 확대돼 갈 것이며 인터넷 금융도 사용이 늘어나면 늘어났지 줄어들지는 않는다. OS 자체도 윈도에서 리눅스로 옮겨져 가고 있어 리눅스형태의 키보드 보안 제품의 필요성도 제기되고 있고 프로그램간 충돌 가능성, 시스템 안정성 등에 대한 업체들의 기술 개발 및 보완이 계속되고 있어 키보드 보안 제품의 안정성은 시간이 갈수록 안착돼 갈 전망이다.
관련 전문가들은 인터넷 익스플로러가 취약성을 갖지 않는 이상 키보드 보안 시장은 폭발적으로 커지지는 않겠지만 필요성이 줄어드는 것은 아니라고 강조한다. 고객DB, 아이디를 관리하는 회사라면 기본적으로 키보드 보안이 반드시 필요하며, 따라서 키보드 보안이 적용될 분야는 무한하다.
하지만 키보드 보안만으로 보안이 완성되는 것은 아니다. 개인용 백신, 방화벽, 공인인증서, 인터넷 ISP 사업자 등이 총체적으로 각각의 맡은 부분에서 철저히 보안하려는 자세가 필요하다. 최신 바이러스 업데이트, 대용량 트래픽을 처리해줄 수 있는 방화벽, 침입차단/방지 장치, 애플리케이션 업체들의 보안 기능 강화 등 완벽한 보안을 위해서는 각 분야에서 모두 제대로 역할을 해야만 갈수록 늘어나고 고도화되는 보안 침해 사고를 예방할 수 있다.
개인정보보호의 마지막 단계인 키보드 보안 시장이 활성화되기 위해서는 우선 업체간 출혈 경쟁을 자제하고 시장 자체를 키워가려는 업계간 공조 노력이 시급한 시점이다.