키보드보안 강화·전화승인 등 보안 강화 움직임 뚜렷
인터넷뱅킹 신뢰성 향상,“OTP만 정답 아니다”
OTP 도입이 주목되고 있지만, 금융권의 보안 향상 노력은 계속 지속돼왔던 일이다. 특히 최근에는 금융기관의 책임이 강화된 전자금융거래법 개정으로 인해 보안수준 향상이 은행권의 발등의 불로 자리잡은 상황. OTP 외에 보안향상을 위한 변화를 살핀다.
| 오현식 기자·hyun@datanet.co.kr |
금융권의 OTP 도입열기가 뜨겁지만, OTP가 인터넷뱅킹의 신뢰성을 향상시키는 유일무이한 방안이라고는 볼 수 없다. 또 OTP의 보안성이 높기는 하지만, 취약점 역시 존재한다. 실시간 피싱 및 중간자 공격은 OTP를 통한 방어를 뚫을 수 있는 공격 중 하나로 흔히 지적된다. 보통 OTP는 이벤트 동기화 또는 시간 동기화를 통해 인증을 수행하는데 피싱을 통해 일회성 비밀번호를 탈취하고, 탈취 즉시 공격자가 정상 사이트에 접속하는 경우, OTP는 무용지물이다. 실제로 7월 시티은행에서는 이를 통해 불법 계좌이체가 이뤄지는 해킹사례가 보고되기도 했다.
더불어 허용오차의 범위를 지나치게 크게 설정해도 OTP는 보안기제의 역할을 제대로 수행하지 못할 가능성이 있다. 허용오차란 사용자 불편 방지를 위해 설정하는 오차 허용 범위다. 예를 들어, 이벤트 동기화는 사용자의 실수로 OTP 기기의 키생성 버튼을 누를 수 있는데, 허용오차가 없다면 사용자는 해당 기관에 찾아가 다시 세팅을 수행해야 하는 불편이 있다. 이에 이벤트 동기화에서는 기준점을 중심으로 몇 개의 허용오차를 지정하게 되는데 이 허용오차가 지나치게 넓게 되면 일회성 비밀번호가 갖는 강점이 사라질 수 있다.
모든 보안 솔루션이 그러하듯 저마다 취약점이 존재하며 OTP 역시도 취약점이 존재하기에 국내 인터넷뱅킹에서는 다른 여러 안전장치가 마련돼 있다. OTP가 대체하게 될 보안카드 외에도 우리나라의 인터넷뱅킹 시스템은 PKI 기반 공인인증서, 키보드해킹방지 솔루션 등을 통해 이중의 안전장치를 구현하고 있다.
책임 강화로 보안 향상 ‘발등의 불’
OTP의 보안영역은 비밀번호 유출 방지에 있을 뿐이기에 금융권은 높아지는 보안 위험에 발맞춰 지속적으로 보안을 업그레이드하고 있다. 특히 올 초부터 시행되고 있는 전자금융거래법 개정안은 금융기관의 책임범위를 확대시킴으로써 금융권 보안 수준향상의 직접적 계기가 되고 있다.
전자금융거래법 개정안의 내용 중 가장 눈에 띄는 부문은 모든 전자금융 사고 발생 시 배상을 금융기관, 전자금융업자에게 원칙적으로 책임지우고 있다는 점이다. 금융기관과 전자금융업자의 배상 책임이 면제되는 경우는 사용자의 중대과실(접근매체의 대여, 위임, 양도 등)이 있는 경우로 제한될 뿐이다. 나아가 사용자의 중대과실 여부를 증명하는 것도 금융기관의 몫이며, 통신사업자의 망 장애 발생으로 인한 사고, 전자금융보조업체의 고의·과실로 인한 사고도 금융기관의 책임으로 귀속된다.
이에 대해 금융기관들은 도로에서 난 책임소재를 도로공사에 씌우는 격이라며 강한 불만을 제기하기도 했지만, 강화된 법규에 맞추고, 고객에게 신뢰를 줄 수 있는 전자금융거래 환경 제공을 위해 보안 시스템 강화를 지속적으로 추진하고 있다.
특히 은행권에서는 고의적 거래부인 방지가 초미의 관심사다. 전자금융거래법 개정으로 손해배상 책임은 물론 입증 책임까지 전자금융제공자에 부여됨에 따라 각 전자금융기관들은 고의적 거래부인 등 악용 가능성을 차단하기 위해 특히 고심하고 있다. 고의적 거래부인이란, 손해배상을 노린 악의적 이용자가 정상 거래 후 이를 ID, 비밀번호 등의 해킹으로 인한 보안사고로 위장하는 것을 말한다. 이러한 고의적 거래부인의 경우에도 전자금융기관이 이를 입증하지 못하면 손해배상을 수행해야 한다.
고의적 거래부인 방지를 위해 금융기관들이 첫 번째로 수행한 것은 바로 전자서명의 도입이다. 기존 이체시스템의 경우, 공인인증서를 이용한 예금이체가 단순한 확인에 그쳤지만, 개정안 실시에 맞춰 금융권은 이체 시 거래정보를 전자서명 형식으로 저장하고 있다. 이러한 전자서명을 통해 악의적 사용자가 고의적인 거래부인을 하지 못하는 증거자료로 사용한다는 것이다.
이와 더불어 진행중인 차세대 시스템과 발맞춰 WORM 스토리지 도입, 로그분석 및 추적시스템 도입 등도 검토되고 있다고 알려진다. 이러한 솔루션 도입을 통해 이용자의 거래부인 발생 시 책임소재를 입증하는 데 사용하겠다는 것. WORM 스토리지의 경우에는 원본보장 기능으로 보관 파일을 법적 증거자료로 제출할 수도 있다. EMC 센테라, HDS의 H-CAP 등이 WORM 스토리지 시장에서 치열한 경쟁 양상을 보이고 있다.
다른 한편으로는 부인방지를 위한 아이디어 솔루션도 눈에 띈다. 국민은행의 사전전화승인 서비스가 바로 대표적이다. 핸드폰이나 유선 전화 등으로 인출을 사전에 통보하고, 이용자의 전화승인을 통해 거래가 완료되는 형태다. 사전전화승인 서비스를 공급하는 잉카인터넷 측은 “사용자가 미리 지정한 전화로 거래 이전 내역이 통보, 승인돼야 거래가 완료되는 양방향 체제로 불법 자금이체를 보다 철저히 차단할 수 있게 된다”고 밝히고, “또한 사용자가 지녀야 하는 공인인증서, 보안카드(OTP)에 더해 사용자가 항상 소지하는 핸드폰 등의 과정을 거치기 때문에 사용자의 거래부인을 방지하는 효과도 기대된다”고 덧붙였다.
더불어 강화된 전자거래보호법으로 컨설팅 수요도 증가하고 있다. 개정 전자거래보호법이 금융보조업체로 인한 사고책임도 해당 금융기관에게 지우고 있기 때문이다. 이러한 변화로 은행, 카드사 등에서 결제처리업체(PG), VAN(Value Added Network)사 등에 데이터유출방지 표준준수를 요구하고 있는 것. 또한 금융기관 자체적으로 무거워진 책임에 대응하기 위해 정보보안 관리 인증인 ISO27001을 수행, 정보보호 상태 점검에 나서고 있다.
에이쓰리시큐리티(대표 백태종)에 따르면, PG에 의한 데이터 유출을 방지하기 위해 보안표준협의회(PCI) 표준 수행을 적극 권유하고 있다. PCI 표준은 비자카드·마스터카드 등 주요 국제 카드사가 신용카드 데이터보호를 위해 만든 표준으로 비자카드 등은 표준 수행을 하지 않으면, 페널티를 부여하는 방안 등을 마련, PCI 표준 수행을 적극 권유하고 있다. 또한 기업은행, 농협, 증권예탁원 등이 정보보호 관리 상태 점검을 위해 ISO27001을 수행, 관련 컨설팅 수요가 증가하고 있다.
안티피싱 도입 ‘활기’
안티피싱 솔루션의 도입도 눈에 띈다. 최근 공격 경향이 금전적 이득을 노리는 은밀한 공격으로 변화하면서 피싱은 주요 보안 위험으로 대두되는 상황. 해외의 피싱 사이트 증가에도 그동안 우리나라는 언어적 차이로 인해 피싱의 안전지대로 여겨졌던 것이 사실이지만, 최근에는 국내 은행을 대상으로 한 피싱 공격 사례가 증가하면서 안티피싱 도입이 발등의 불로 떠오르고 있는 상황이다.
이에 따라 소프트런, 소프트포럼, 인젠 등 국내 보안 기업은 물론 시만텍코리아 등 외산 기업들도 자사의 안티피싱 솔루션의 강화를 지속적으로 추진하고 있으며, 이에 따라 관련 솔루션이 쏟아지는 상황. 과거 허위 링크, 유사 주소 등 사용자 실수에 의존하던 방식에서 최근의 피싱공격은 악성코드와 결합돼 감염시 호스트 주소를 바꿔 올바른 주소, 올바른 링크 시에도 피싱 사이트로 연결되는 방식까지 등장하고 있다. 최근 출시되는 안티피싱 솔루션은 이에 발맞춰 기존 블랙리스트를 활용하던 방법에서 사이트의 패턴을 분석하고, 프록시 서버의 종류까지 파악해 피싱으로 의심되는 사이트를 경고하는 방향으로 진화하고 있다.
신한은행은 소프트런의 안티피싱·파밍솔루션 ‘노피싱’을 도입해 인터넷뱅킹 고객들에게 제공하기 시작했다. 피싱의 경우, 올바른 은행사이트에 접속하지 못해 발생하는 것이므로 엄밀히 말해 금융권의 책임은 아니다. 하지만, 각 금융기관들은 전자금융거래에 대한 불안감을 없애고 고객 이탈을 방지할 수 있다는 점에서 도입을 적극 검토하고 있는 것으로 알려진다.
소프트포럼 이순형 상무는 “피싱은 최근 발생하는 보안 위험 중 가장 중요하게 여겨지는 사항”이라며 “안티피싱으로 차별화된 고객 서비스를 제공하려는 은행들의 관심이 점차 높아지고 있다”고 전했다.
더불어 보안 강화를 위해 키보드 보안 솔루션의 강화도 속속 이뤄지고 있다. 소프트캠프와 잉카인터넷 등이 공급하는 기존 키보드보안 솔루션도 금융권의 보안 강화 움직임에 맞춰 강화된 버전이 발표되고 있으며, 소프트포럼 등 키보드 보안 신규진출도 이뤄지고 있는 상황이다.
우리은행, 국민은행들은 이에 따라 강화된 키보드솔루션을 도입, 배포함으로써 보다 높은 보안 향상을 꾀하고 있다. 국민은행의 경우, 키보드가 아닌 화면상의 숫자키를 클릭함으로써 키로깅을 원천 차단하는 솔루션을 도입하기도 했다. 숫자키 클릭으로 생성되는 데이터는 암호화 전송돼 중간자 공격으로부터 보호를 제공한다.
공인인증서 보안 향상, HSM ‘관심 집중’
공인인증서의 경우, 인증서 복사가 취약점으로 제기된다. 복사방지모드가 적용된 하드웨어에 키를 저장하는 HSM(Hardware Security Module) 토큰은 공인인증서의 취약지점을 제거할 수 있는 대안으로 꼽힌다. 금융감독원에서도 OTP와 함께 HSM 토큰을 보안 1등급 거래이용수단으로 지정, HSM의 보안성을 인정하고 있다. 즉, OTP 또는 HSM을 사용하는 고객은 보안 1등급으로 인정받아 1일 최대 5억원(1회 1억원)까지 자유롭게 전자거래를 이용할 수 있다.
금융감독원이 OTP 또는 HSM 이용고객을 보안 1등급으로 지정함으로써 OTP와 경쟁관계로 인식되고 있지만, 엄밀한 기준으로 HSM과 OTP는 서로 다른 영역을 담당한다. OTP가 보안카드대체라면, HSM은 공인인증서의 안정성을 더욱 강화하는 측면을 담당하는 것이다. 하드웨어에 암호화 키를 저장하는 HSM은 휴대성이 용이한 보안토큰의 형태와 인증 시스템 단에 별도 어플라이언스, 또는 모듈 형태로 탑재되는 두 가지 모델이 존재한다.
개인사용자들은 대부분 공인인증서를 PC 내 하드디스크에 보관하고 있어 유출의 위험이 존재하고 있는데, HSM 토큰을 이용하게 되면 이러한 위협이 차단된다. 해커가 PC에 공인인증서를 가져갈 수 있는 해킹도구를 설치해도 HSM은 PC메모리에서 공인인증서 데이터를 처리하지 않아 HSM 안의 데이터를 탈취할 수 없다.
보안영역이 다르기에 HSM과 OTP를 병행, 사용하면 보다 완벽한 보호가 가능하지만, HSM 토큰과 OTP는 사실상 경쟁체제로 전개되는 모습이다. 둘 모두를 채택하면 보안성이 크게 강화되기는 하겠지만, 비용부담과 더불어 휴대에 있어서도 불편함이 발생하기 때문이다. 또 OTP 또는 HSM 한 가지만 사용해도 오늘날 발생하는 공격을 무력화할 수 있다는 점은 두 솔루션을 경쟁체제로 만들고 있으며, 이러한 HSM과 OTP의 경쟁에 있어 아직까지는 OTP의 완승양상으로 전개되고 있다. OTP 통합인증센터 추진에 힘입어 금융권의 OTP 공급이 속속 이뤄지는 반면, HSM 토큰은 ‘찬밥’ 신세에서 벗어나지 못하고 있는 것이다.
이에 HSM 업체들은 사용자단에서 OTP와 경쟁해야 하는 HSM 토큰 보다 시스템 공급에 주력하고 있는 상황이다. 시스템으로 넘어가면 OTP와 HSM은 상호 공존이 가능하다. OTP 인증서버를 HSM에 탑재, 사용할 수 있는 것. 토도스, 바스코의 OTP 솔루션이 세이프넷 HSM 어플라이언스인 ‘루나(LUNA)’에서 운용가능하도록 호환성을 확보하고 있다.
이와 관련, 세이프넷코리아 황동순 사장은 “HSM 시스템은 암호화 가속기 역할을 수행할 수 있어 OTP 솔루션의 처리 성능을 높이는 부가가치를 제공해 줄 수 있다”고 강조했다. 이어 황동순 사장은 “금융결제원 전자인증센터를 비롯 국민은행 등 다양한 은행이 HSM을 이용해 키 관리, 암호화 저장 등의 용도로 HSM을 사용하고 있다”고 전하고 “금융권의 보안 강화 추세에 따라 HSM 시스템은 더욱 확대될 것”이라는 예상을 밝혔다.
HSM 시스템 시장은 엔사이퍼, 세이프넷 등 외산 기업의 양강 체제로 전개되고 있다. 그동안은 2002년부터 국내 진출한 엔사이퍼의 점유율이 보다 높았지만, 최근 세이프넷이 보다 성능이 발전된 ‘루나(LUNA)’ 시리즈를 출시하면서 시장공략에 가속화를 더하고 있다.
HSM토큰, 시장 대반전 이룬다
정보통신부와 한국정보보호진흥원(KISA)은 전자금융거래에 7월 말까지 HSM 토큰과 PKI 기반 솔루션 기업들과 함께 전자금융거래 서비스에 HSM 토큰을 적용할 수 있도록 상호연동성을 확보할 계획을 발표, HSM 확산의 계기를 마련했다. KISA는 지난 4월에는 지난 4월 초 HSM 기술규격인 ‘보안토큰 기반 공인인증서 이용기술 규격’을 발표하기도 했다.
이러한 변화는 HSM 진영에 있어 희망적인 소식이다. 더불어 금융결제원 전자인증센터에 엔사이퍼와 세이프넷의 HSM 시스템이 이미 공급돼 있다는 점도 호재다. 업계 관계자에 따르면, HSM 토큰과 시스템으로 암호화 통신을 구현함으로써 중간자 공격(Man in the Middle)도 효과적으로 방어할 수 있음은 물론, ID와 비밀번호 등의 입력없이 HSM 토큰 하나로 모든 인증이 수행돼 사용자 입장에서는 편리성 향상의 부가가치를 누릴 수 있다.
나아가 국내 인터넷뱅킹 체제가 PKI 공인인증서를 기반으로 이뤄진 점에서 HSM이 확산될 여지는 충분하다. 공인인증서 방식에 대한 별도의 변경 없이 HSM 토큰을 도입하는 것만으로도 보안성 향상의 효과를 누릴 수 있기 때문. 최근 방한한 한 해외 보안 인사는 “PKI 선진국인 한국에서 HSM이 아닌 OTP 열풍이 부는 것은 다소 아이러니한 일”이라고 언급하기도할 정도. 이 관계자는 “OTP는 중복투자의 가능성이 있으며, PKI 기반이 잘 다져져 있기에 한국은 HSM을 통해 비용효율적으로 보안수준 향상을 높일 수 있다”고 조언하기도 했다.
그렇지만, HSM 토큰 진영에서는 금융권 도입에 대해 조심스러운 입장이다. 알라딘의 보안토큰을 공급하는 위노블 신진수 차장은 “금융권은 일단 OTP로 넘어가는 추세이기에 HSM 도입이 일어난다고 해도 많은 물량으로 예상되지 않는다”며 “금융권 보다는 일반 기업 시장에 보다 주력할 방침”이라고 밝히고 있다.
보다 적극적으로 금융권 공략에 나서고 있는 기업은 세이프넷코리아. 세이프넷코리아 황동순 사장은 “그동안 OTP에 급격하게 몰려갔던 은행들의 관심이 이제 HSM으로 옮겨오고 있다”며 “올해 20만개의 HSM 토큰 공급을 목표로 시장 공략을 진행할 것”이라고 밝혔다. 이어 황 사장은 “최근 모 금융기업과 HSM 토큰 계약이 거의 성사단계에 이르렀다”며 “이 계약이 공식 체결되면 시장 인식 변화가 일어날 것”이라고 자신감을 보였다.
금융보안연구원 발족, 금융보안 업그레이드
지난해 말 설립된 금융보안연구원(원장 정성순)은 은행·증권·보험 등 금융시장에서의 보안 향상 이슈를 보여주는 한 단면이다. 금융보안연구원은 이름 그대로 금융 시장의 보안강화를 위해 탄생한 특화 단체. 금융권에서 발생하는 이슈에 대해 집중적으로 연구하는 전문 조직의 탄생으로 향후 국내 금융보안 기술이 한 단계 업그레이드될 수 있는 계기가 될 것으로 기대된다.
OTP가 이슈화된 것과 마찬가지로 금융보안연구원의 탄생에 있어서도 2005년 5월 외환은행 인터넷뱅킹 해킹사고가 결정적 계기가 됐다. 정보통신부, 산업자원부, 금융감독위원회 등이 공동 수립한 대책 가운데 전자금융거래 안전성 강화를 위한 금융보안전담기구 설립이 언급된 것. 이후 금융기관들의 의견을 수렴하고, 실무 담당자와 업무협의를 거쳐 탄생한 금융보안연구원은 금융·보험·증권 등 55개 금융기관이 회원사로 가입돼 있다.
지원부서를 제외하면 금융보안연구원은 인증관리팀과 보안기술팀으로 나눠볼 수 있다. 인증관리팀은 현재 금융보안연구원의 주 업무라고 할 수 있는 OTP 통합인증센터 구축·운영 및 OTP 제품의 적합성 테스트 등을 담당하며, 보안기술팀은 금융 IT 및 정보보호에 관한 정책 연구·개발, 해킹·피싱 등 전자적 침해사고 대응 등의 업무를 수행하고 있다.
금융보안연구원 강우진 인증관리팀장은 “OTP 통합인증센터의 역할만 놓고 보면 금융결제원과 업무가 겹친다고 볼 수 있지만, 금융보안연구원은 통합인증센터 외에도 전자금융사고 대응, 금융정보보호에 대한 정책 및 기술 연구 등도 진행하고 있는 금융보안 특화 조직으로 차별화된다”며, “인증관리팀의 경우, OTP 센터의 구축 및 운용 경험을 통해 우리나가 국제표준화를 주도하고, 나아가 보안을 더욱 강화할 수 있는 새로운 인증기술 개발·발굴에도 적극적으로 나설 계획”이라고 밝혔다.
독특한 미로 트랩, 비밀번호 개념 ‘혁신’
솔메이즈(대표 안태호)는 ‘미로트랩’이란 독특한 솔루션으로 눈길을 끈다. 미로트랩이란, 미리 설정한 아이콘들의 거리를 이용해 비밀번호를 입력 방식의 인증 솔루션이다. 아이콘들의 위치가 매번 바뀌기 때문에 비밀번호가 매번 변화하는 효과가 있어 높은 보안성을 확보할 수 있다.
보다 높은 보안성 향상을 위해서는 아이콘의 총 개수나 지정 아이콘의 개수를 증가시킴으로써 증가시킬 수 있다. 아이콘 화면을 5×5에서 7×7로 확대하거나 지정아이콘을 3개에서 4개, 5개로 증가시킬 때마다 복잡성이 증가돼 더욱 높은 보안성을 확보할 수 있는 것이다.
이렇듯 복잡성이 증가하면, 일반적으로는 사용자 불편도 높아지게 된다. 지정아이콘의 증가는 비밀번호를 한 자리씩 늘리는 것과 같은데 비밀번호의 자릿수가 증가하면 할수록 기억하기는 더욱 어려워지기 때문이다. 하지만, 미로트랩은 복잡성이 증가해도 사용자 불편이 크게 늘어나지 않는다는 특징이 있다. 아이콘이 복잡한 듯 보이지만, 자신만의 문장을 구성함으로 쉽게 기억하게 만들 수 있기 때문이다. 예를 들어, 돼지와 소주, 그리고 해골 아이콘을 지정, ‘삼겹살에 소주는 죽음이다’라는 문장으로 기억하면 번호로 이뤄진 비밀번호보다 쉽고 오랫동안 기억할 수 있다. 사람마다 생각이 다르므로 아이콘만큼이나 다양한 문장이 생길 수 있어 보안성도 높다고 할 수 있다.
관건은 사용자 교육. 기존의 비밀번호 개념과는 완전히 다른 것이기에 담당자의 입장에서는 채택이 부담스러운 것이 사실이다. 교육에 대해 확신할 수 없기 때문이다.
솔메이즈 김봉주 부장은 “데모를 해 보면 담당자들이 큰 관심을 느끼지만, 교육에 대한 확신이 없어 도입을 망설이는 경우가 많다”며 “재미와 보안성을 함께 추구할 수 있는 미로트랩의 장점을 살려 아이콘을 문장화하는 게임 개발·보급을 통해 사용자 교육 문제를 해소할 것”이라는 계획을 밝혔다.
