“핀테크·IoT 인증에 ‘PKI’ 유용하게 쓰일 것”

‘PKI+생체인식’ 강력한 암호인증…사용자 소지한 2개 이상 사물로 PKI 인증해도 보안 강화

핀테크와 사물인터넷(IoT)은 최근 IT를 강타한 핫이슈이다. 핀테크는 IT와 결합한 금융서비스로 새로운 시장을 만들어내기 위한 것이며, IoT는 네트워크에 모든 사물을 연결시켜 보다 지능적이고 편리한 환경을 조성하기 위한 것이다.

이 두 환경을 관통하는 핵심 기술 중 하나가 ‘인증’이다. 인증을 위해서는 인증값에 대한 암호화와 키관리가 매우 중요한 기술로 꼽히며, 공개키기반기술(PKI)이 가장 널리 사용되고 안전한 기술로 꼽힌다.

김주영 한국인터넷진흥원 보안산업기술단 1단장은 “PKI는 오랜 기산 사용돼 온 안전한 암호화 인증 기술로, 다른 국가나 IT 기업들도 강력한 보안이 요구되는 인증에서 PKI 기술을 활용한다”며 “최근에는 생체인식 기술과 PKI를 결합해 인증을 보다 안전하게 하려는 시도도 크게 늘어나고 있다”고 말했다.

사물간 암호화 통신·인증 필수

IoT 환경에서 기기 간 커뮤니케이션이 이뤄질 때 인증된 대상이 맞는지, 접속수단이나 정보에 위변조가 없는지 반드시 확인할 수 있어야 한다. 경량 센서를 이용한 통신에는 가벼운 암호화 통신이 필요하지만, 그렇지 않은 단말을 이용할 경우 PKI 기술을 통해 안전한 통신을 확보할 수 있다.

박종필 세이프넷코리아 이사는 “사물인터넷과 IoT를 위한 인증 기술에서 가장 핵심이 되는 것은 암호화와 키관리”라며 “인증 정보가 암호화되지 않은 상태로 전송되거나, 암호화 키와 함께 전송되면 위변조·탈취돼 심각한 피해를 입을 수 있다. 정확하고 빠른 인증도 중요하지만 그보다 더 중요한 것은 인증 정보를 안전하게 보호하는 것”이라고 말했다.

다른 차량과 소통을 시도할 때 해당 차량에서 전송되는 정보가 실제 그 차량에서 전송된 정확한 정보인지 확인할 수 있도록 인증하는 기술이 필요하다. 특히 전송구간의 데이터가 탈취‧위변조 되지 않도록 암호화하고, 안전한 키관리를 통해 데이터의 무결성을 입증하는 것이 필요한 일이다.스마트카의 예를 들어보면, 자동차 내부에 설치된 카메라·내비게이션 등 각종 센서와 단말로부터 정보가 수집되고, 외부의 신호시스템이나 다른 차량과 커뮤니케이션하면서 안전하게 운행할 수 있도록 도와준다.

박종필 이사는 “사물간 통신에서 데이터 무결성을 입증하기 위해서는 양 기기에 암호화 키를 두고 인증하는 기술이 필요하며, PKI 등 안전한 암호화 인증 기술을 채택해야 할 것”이라며 “또한 HSM과 같은 암호화 키를 관리할 수 있는 장치도 마련돼야 한다”고 설명했다.

생체인식 기술, 보안이 선결과제

핀테크에서는 본인확인과 부인방지를 위한 인증 절차가 필요하다. 사용자 본인을 확인하는 가장 정확한 방법은 생체인식 기술을 이용하는 것으로, 현재 지문인식을 통한 인증은 일상적으로 사용되고 있다.

생체인식 기술은 FIDO 연합에 의해 표준작업이 완료된 ‘FIDO 1.0’을 따라야 하며, 단말의 보안영역에 생체정보를 암호화 해 저장한다. 스마트폰의 보안영역에 지문정보를 암호화 해 저장한 후 사용자가 센서에 지문을 인식시켰을 때 이것이 암호화 키로 사용되며, 인증에 대한 키값이나 해시값이 암호화 된 상태로 인증서버로 전송돼 인증을 완료하는 방식이다. 따라서 전송구간의 데이터를 탈취해도 생체정보가 빠져나가지 않으며, 단말을 분실했을 때 암호화 키가 없어 데이터가 안전하게 보호될 수 있다.

생체인식 기술과 PKI 암호인증 기술을 함께 적용하면 보다 편리하고 안전한 인증이 이뤄질 수 있다. 공인인증제도를 만드는데 앞장섰던 최운호 UN난민기구 CISO가 이 주장을 가장 적극적으로 펼치고 있다.

최운호 박사는 “해외 많은 나라들과 글로벌 기업들이 지문인식과 PKI를 결합하는 방식으로 인증하는 기술을 이용하고 있다. 우리나라는 이미 공인인증서에 PKI 기술을 이용하고 있으며, 주민등록증 발급 시 지문정보를 수집하고 있어 제도만 잘 만들면 안전한 인증 체계를 만들 수 있을 것”이라고 강조한다.

카드·스마트폰 이용한 인증도 ‘주목’

그러나 전 국민의 지문정보를 수집·이용하는데 대한 거부감이 크고, 국민들의 기본권을 해칠 수 있다는 사실이 한계로 지목된다. 더불어 지문정보를 안전하게 보호할 수 있는 기술과 제도가 반드시 마련돼야 한다.

생체정보를 이용한 인증에 저항감을 갖는 사람들은 자신이 늘 소지하고 있는 두개의 매체를 이용해 간편하게 인증을 받을 수 있다. 스마트카드와 스마트폰을 가까이 대는 방법으로 인증을 완료하는 방식이다.

스마트폰에 인증 관련 앱을 실행시킨 후 스마트카드를 가까이 대 NFC 통신으로 인증을 수행하게 된다. 스마트카드는 항상 소지하고 있는 신용카드에 해당 기능을 탑재할 수 있으며, 신분증, 회원카드, 웨어러블 디바이스 등 다양한 분야에 활용할 수 있다.

PC와 스마트폰을 활용한 인증도 제안된다. PC에 QR코드를 띄운 후 스마트폰으로 읽어들이면 OTP를 발생시키고, OTP를 인증창에 입력하면 된다. 보안을 더욱 강화하려면 스마트폰으로 QR코드를 읽을 때 지문인식을 이용해 본인인증을 한 번 더 수행하도록 할 수 있다.

서비스 방식의 인증도 간편한 인증 방법으로 꼽힌다. 인증을 수행하기 위해서는 비싼 인증서버를 구축하고, OTP 단말을 배부하는 등의 작업이 필요하지만, 서비스 방식을 이용하면 클라우드에서 인증이 이뤄지기 때문에 간편하고 안전하게 인증을 수행할 수 있다.

김선애 기자 다른기사 보기