농협은 세이프넷코리아(대표 황동순 www.safenet-inc.com)의 HSM 인증 토큰 제품인 ‘아이키(iKey)’ 공급 계약을 체결했다. HSM 토큰은 USB 장치에서 강력한 보안 인증을 제공함으로써 인터넷 뱅킹을 더욱 안전하게 활용하도록 하는 보안 솔루션이다.
HSM 토큰은 금융감독원에서 OTP(One Time Password)와 함께 보안 1등급 전자거래이용수단으로 지정돼 있지만, 금융보안연구원의 OTP 통합인증센터로 인해 금융기관들의 OTP 도입이 속속 이어지는 반면 HSM은 금융권 시장에서 큰 성과를 거두지 못했던 것이 사실이다. 하지만, 이번 농협 공급을 통해 HSM의 국내 금융권 도입이 이어질 수 있을 것으로 세이프넷코리아 측은 자신했다. OTP와 HSM은 보안의 범위가 서로 다르기는 하지만, 이체한도 차등적용을 위해 OTP와 HSM 중 하나만 도입하면 되기 때문에 금융시장에서 경쟁이 불가피하다.
세이프넷코리아 황동순 사장은 “우리나라의 인터넷뱅킹의 경우, 공인인증서 기반이기 때문에 공인인증서의 불법 유출을 방지하는 HSM이 보다 비용효율적인 방법으로 보안성을 향상시키는 수단”이라고 말했다. 즉, 이미 PKI가 이미 강력하게 구축돼 있는 상황에서 추가 시스템에 대한 이중 투자 없이 강력한 보안 환경을 구축할 수 있는 방법이 바로 HSM이란 것이다.
USB 기반의 HSM 토큰은 외형은 이동식 디스크(USB 메모리)와 유사하지만, 슬롯 삽입 시 고유의 암호화 모듈을 통해서만 내부 접속이 가능하도록 해 저장된 공인인증서의 불법적인 유출을 방지할 수 있다. 또한 USB 토큰은 자체 CPU와 메모리 등이 포함된 스마트카드 칩을 탑재, 암호화 키 생성, 키 관리, 암호화 등 보안 연산이 PC의 메모리가 아니라 HSM 내부에서 수행됨으로써 바이러스나 해킹 등 외부의 물리적 압박이나 논리적 공격에서도 저장 데이터를 안전하게 보호할 수 있다.
농협에 공급되는 아이키에는 금융 거래를 위해서는 USB 보안 인증 토큰뿐 아니라 본인이 설정한 보안키를 입력해야 하는 이중 장치로 설계돼 있어 USB 보안 인증 토큰을 분실하더라도 안심할 수 있다. 또한 세이프넷코리아는 아이키에 다양한 부가기능을 탑재시켜 사용자 편의를 극대화할 방침으로, 각종 솔루션의 아이디와 패스워드를 암호화해 HSM에 저장한 후 사용자가 직접 타이핑할 필요 없이 로그인할 수 있는 기능이 아이키에 탑재된다. 이 기능을 활용하면, USB 장치를 제거할 경우 본인 이외의 다른 사람이 컴퓨터를 사용할 수 없도록 제한하는 기능도 제공된다. 이러한 부가기능 제공을 통해 단순히 인증을 위해서만 사용될 수 있는 OTP와 차별화하고, 비교 우위를 가져간다는 전략인 것이다.
농협 담당자는 “농협은 더 강력한 보안, 더욱 편리한 고객 편의성을 고려해 USB 기반의 보안 제품으로 결정했다”면서 “OTP 생성기의 경우 전지 수명이 끝나면 고객의 추가 부담이 크고, 인증 외의 용도로는 사용할 수 없다는 단점이 있는 반면, HSM 토큰은 고객 편의와 보안성을 모두 만족하는 제품”이라고 선정 배경을 설명했다.
한편, 세이프넷코리아와 함께 이스라엘의 보안 솔루션 업체인 알라딘(www.aladdin.com)이 농협에 HSM 보안 제품을 공급하는 회사로는 선정됐으며, 농협은 6월부터 HSM을 통한 서비스를 개시할 계획으로 알려진다. <오현식 기자>
