> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“인증서+지문 통한 본인확인, 글로벌 경쟁력 있어”
최운호 유엔난민기구 CISO “공인인증서, 기술적 결함 없어…적용 절차 문제로 생체인식 인증 필요”
     관련기사
  한국화웨이, 사이버보안책임자로 최운호 박사 영입
2014년 09월 17일 10:37:26 김선애 기자 iyamm@datanet.co.kr
   

“공인인증서는 전 세계가 인정한 가장 안전한 본인인증 기술이다. 실제 적용하는 방법에 보안 취약성이 있는 것은 사실이지만, 기술 자체에 문제가 있는 것은 아니다.”

2000년대 초반 공인인증제도 수립을 주도했던 최운호 유엔 난민기구 정보보호총괄책임(CISO)의 일성이다. 최운호 CISO는 동남아시아, 아프리카에서는 우리나라보다 더 강력한 공인인증제도를 신분확인용으로 사용하고 있으며, 유럽에서도 PKI 기반 인증기술 도입을 확대하고 있다고 주장했다.

“PKI 기반 인증 기술, 안전성 높아”
우리나라 공인인증서는 PKI 암호화 기술을 기반으로 하고 있으며, 인증서 자체가 해킹을 당하는 일은 없다는 것이 관련 업계 전문가들의 주장이다.

다만 전 국민이 동일한 인증 시스템을 사용하고 있으며, ‘NPKI’라는 동일한 폴더에 저장되는 특징 때문에 해커들이 쉽게 인증서를 가져갈 수 있다는 점, 잦은 개인정보 유출과 키로깅 공격으로 비밀번호를 공격자가 쉽게 얻을 수 있다는 점 등이 공인인증서 보안 취약점으로 꼽힌다.

이외에도 액티브X 방식으로 공인인증서가 설치되고 있으며, 금융거래와 각종 공공서비스에 동일한 인증서가 쓰이고 있어 유출됐을 때 피해 규모가 크다는 문제도 있다.

실제로 국내외 보안기업이 발표하는 지능형 공격 보고서에서는 우리나라 공인인증서를 집중적으로 수집하는 공격툴이 지하시장에서 판매되고 있으며, 일부 공격툴은 우리나라 국민의 개인정보와 금융정보를 체계적으로 수집해 공격을 할 수 있는 프레임워크로 개발되고 있다는 경고도 나온 바 있다.

최운호 CISO는 “초기 인터넷뱅킹 활용을 빠르게 확대시키기 위해 비밀번호를 통해 공인인증서를 열 수 있도록 했던 것이 문제”라며 “지문인식 등 보다 강력한 수단을 이용해 공인인증서에 접근할 수 있도록 해야 했다”고 강조했다.

인증서+지문인식 결합기술, 적용범위 넓어
그는 PKI 기반 인증서와 지문인식을 결합한 2팩터 인증이 최근 높은 관심을 보이고 있다고 설명하며, 미국의 항만 컨테이너 관리 시스템을 소개했다.

선박에 화물을 실을 때 컨테이너에 계약된 물건 외에 다른 물건이 없는지 담당 직원이 확인한 후 전자키로 잠그는데, 이 때 담당직원의 ID카드와 지문인식을 거치도록 해 실제 담당 직원이 직접 확인했는지 인증하도록 한다. 컨테이너를 운송하는 트럭 운전사도 ID카드와 지문인식을 이용해 항만으로 진입한다. 이 인증절차에는 PKI 기반 인증서와 지문정보가 IC칩으로 내장돼 있으며, GPS 기능도 탑재돼 있어 해당 컨테이너의 실시간 이동 경로를 관제센터에서 확인할 수 있다.

선박에 적재할 때 해당 컨테이너가 계약된 것이 맞는지, 잠금잠치에 기록된 담당직원의 ID카드 번호와 지문을 확인하고, 목적지에 도착했을 때에도 같은 과정을 거쳐 수출입 절차를 완료하게 된다.

이러한 시스템은 컨테이너 내에 무기 등 위험물질이 없는지 검증하고, 담당 직원의 책임을 강화하기 위해 도입했으며, 항만에서 컨테이너를 적재하고 하역하는 시간을 획기적으로 단축시켜 상품의 이동시간을 크게 줄일 수 있다.

2팩터 인증으로 본인인증 강화
생체정보를 이용한 본인인증은 가장 확실한 본인확인 수단이지만, 해당 정보가 유출됐을 때 변경할 수 없다는 치명적인 약점이 있다. 이러한 문제를 해결하기 위한 것이 PKI 기반 인증기술을 함께 사용하는 것이다.

최근 출시되는 스마트폰에는 지문인식 기능이 적용돼 있는데, 해당 지문정보는 스마트폰에 저장되며, 외부로 유출되지 않는다. 지문인식 기능이 없는 스마트폰을 이용할 경우 별도의 리더기를 이용해 지문정보를 읽고 확인하는데 해당 정보 역시 스마트폰에 저장된다.

ID카드나 신용카드에 별도의 인증서를 탑재한 후 해당 인증서를 이용해 스마트폰에 저장된 지문 정보에 접근하며, 두개의 정보가 일치할 경우 인증 키값을 서비스 제공 사업자에게 전달한다. 키 값은 암호화돼 전송되며, VPN을 이용하기 때문에 안전을 보장할 수 있다. 스마트폰을 잃어버리더라도 지문정보는 암호화돼 보관되기 때문에 본인 자신의 인증서가 없으면 지문정보를 열어볼 수 없다.

그는 “우리나라는 안전한 인증 기술을 사용해 거의 대부분의 국민들이 전자금융거래와 공공서비스를 이용하고 있다. 또한 18세 이상 전 국민의 지문정보를 디지털 저장해 관리하고 있다. 전 세계 어느 나라도 전국민의 생체정보를 관리하는 나리가 없다”며 “공인인증서와 지문정보를 이용한 본인확인은 간편하고 안전하며 보안성이 높은 기술로, 도입을 주저할 이유가 없다. 애플페이, 페이팔 등 글로벌 서비스 기업의 국내 진출 속도가 높아지고 있는데, 우리나라가 이미 갖고 있는 기술과 인프라를 이용해 글로벌 기업과 경쟁할 수 있는 환경을 만드는 것이 시급하다”고 주장했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  최운호, 공인인증서, PKI, 지문, 생체정보, 페이팔, 애플페이
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr