HSM 보안토큰은 전자서명이 저장장치 내부에서 생성되며, 저장된 전자서명생성키가 저장장치 외부로 나오지 않도록 설계돼 해킹이나 피싱 등에 의한 공인인증서 누출사고를 방지할 수 있다. KISA는 지난 6월 보안토큰 기반의 공인인증서 이용기술을 표준화, 9월부터 평가를 진행하고 있다. 구현적합성 평가에서는 KISA 표준준수 여부와 더불어 소프트포럼과 이니텍 등 국내 PKI 업체와의 호환성, 개인키 유출 가능성 여부 등이 중점 테스트되며, 인증통과 제품은 1억원(1일 5억원) 이상의 보안 1등급 인터넷뱅킹에 이용될 수 있다. 금융감독원은 지난해 기업의 인터넷뱅킹, 보안 1등급(1회 1억원, 1일 5억원) 개인고객은 일회용비밀번호생성기(OTP) 또는 HSM 사용을 의무화했다.
HSM 기업은 이번 KISA의 적합성 인증을 계기로 HSM 도입 사례가 점차 증가할 것으로 기대했다. OTP가 금융보안연구원의 OTP통합인증센터의 설립으로 가시화된 반면, HSM은 표준 및 표준인증테스트 제품 미비로 활성화가 지연돼 왔다. 하지만, HSM 관련 업계는 “HSM 토큰은 별도의 인증시스템 구축이 필요한 OTP와 달리 기존 공인인증서 시스템를 그대로 활용할 수 있음은 물론 공인인증서 이용에 익숙한 사용자들의 불편을 최소화할 수 있는 장점이 있다”며 빠른 시장 확산을 자신하고 있다. 현재 농협이 금융권 중 최초로 이번 인증받은 2종의 제품을 대상으로 HSM 서비스를 준비하고 있는 것으로 알려진다.
세이프넷코리아 황동순 지사장은 “PKI 인프라가 강력하게 구축되어 있는 한국은 HSM 인증토큰의 도입 효과를 크게 볼 수 있는 국가”이라고 설명하면서 “세이프넷 아이키는 전세계 인증토큰 시장에서 1위를 기록하고 있는 제품으로 이번 인증을 계기로 금융기관에서 더욱 주목 받을 것”이라며 기대감을 표현했다.
한편, 공인인증서는 금융거래 뿐 아니라 주택청약, 연말정산, 의료 등 생활전반에서 이용되고 있는 생활필수품으로 이번 인증은 유출 시 커다란 사회적 문제가 될 수 있는 공인인증서의 보안성을 더욱 향상시킬 수 있는 계기가 될 것으로 전망된다. <오현식 기자>
