안녕하세요! 여러분의 IT 비타민 SK브로드밴드 Blog지기입니다^_^ 최근 공인인증서 폐지 논란이 일고 있는 가운데 공인인증서 유출로 인한 피해가 심각한 사회문제가 되고 있습니다. 특히 스마트폰에서의 공인인증서 유출이 전체의 90%를 차지하고 있어 대책 마련이 시급하다는 주장이 나오고 있습니다. 이처럼 공인인증서 유출이 심각한 가운데 모바일 보안토큰이 그 대안 중 하나로 떠오르고 있는데요, 오늘은 Blog지기와 함께 공인인증서 유출의 심각성과 모바일 토큰에 대해 알아보도록 하겠습니다:^D 


지난 해 단 8건이던 공인인증서 유출이 올해 상반기에만 6,933건으로 작년 대비 800배 이상 증가했습니다. 이 중 90%에 달하는 6,156건이 스마트폰에서 일어났습니다. 이러한 이유는 스마트폰 기반 모바일 뱅킹 이용자수가 3,131만명을 돌파하면서 공인인증서 탈취의 표적이 PC에서 스마트기기로 이동하고 있고, 피싱과 파밍, 스미싱 등 해킹수법도 날로 교묘해지고 있기 때문이라고 합니다. 특히 스마트폰에 대한 스미싱 수법은 공인인증서 유출뿐만 아니라 스마트폰에 저장된 사진이나 개인연락처 등 민감한 개인정보와 사생활 노출까지 가능해 각별한 주의가 요구됩니다.

<이미지 출처 : 중앙일보>

공인인증서 정보 유출 공격은 공인인증서 폴더를 감염시킨 해커가 인증서 폴더 전체를 압축한다는 게 특징입니다. 압축된 파일은 해커가 이미 장악해 둔 국내 특정업체의 비공개 FTP 서버에 올려두고 원격지와 주기적으로 접속을 시도합니다. 이는 추가명령을 받아 공인인증서 유출 외의 다른 악성행위(개인정보와 예금을 탈취하는 해킹 등)를 하기 위한 것으로 보여 그 문제가 더욱 심각합니다.


공인인증서 유출 사고가 끊이지 않는 가운데 이를 방지하기 위한 수단으로 모바일 보안토큰이 주목 받고 있습니다. 하드디스크, 이동식디스크(USB), 보안토큰, 휴대폰에 이어 또 하나의 공인인증서 저장매체로 떠오른 것인데요, 한국인터넷진흥원에서 현재 모바일 보안토큰 기술 규격을 마련하고 있으며 이르면 이번 달 초 이를 확정할 예정입니다.

전자서명 부분에서는 기술 규격안이 마련되었고 최종 기술 비교안을 거쳐 공표되면 공인인증서를 사용할 때 모바일 토큰을 쓸 수 있다고 합니다. 보안토큰은 전자 서명 생성키 등 비밀 정보를 보관하고 내부 프로세스 및 암호 연산장치로 전자서명을 생성하거나 검증할 수 있는 별도의 하드웨어 장치 입니다. 스마트카드, USB 토큰 등의 형태가 있지만, 별도의 비용이 들고 휴대하기 번거롭다는 이유로 사용자들에게 환영 받지는 못했습니다.

<이미지 왼쪽 : 카드형 OTP, 오른쪽 : 토큰형 OTP>

반면 모바일 보안토큰은 높은 보안성과 휴대성을 동시에 갖추고 있다는 점에서 각광받고 있습니다. 모바일 보안토큰은 스마트폰의 유심(USIM) 내 (공인)인증서를 직접 발급 받거나 저장해 PC와 스마트TV, 태블릿 등 다양한 매체에 개별인증서가 없더라도 전자인증을 수행할 수 있습니다. 실제로 미국 국립표준 기술원도 보안토큰 같은 프로세스 내장 하드웨어 방식에 가장 높은 수준인 4등급을 주고 있습니다. 일반 일회용비밀번호는 2등급, 현행 소프트웨어 방식 공인인증서는 3등급, 잠금장치가 있는 OTP는 4등급으로 평가하고 있습니다.

개인키를 개인PC의 폴더에 저장하는 것은 공인인증서 보안 취약점으로 지적되는 부분 중 한 가지인데, 별도의 물리적 공간인 유심칩에 개인 키를 저장함으로써 이 같은 문제를 해결할 수 있고, 스마트폰 앱을 이용한 전자서명 생성 방식으로 플러그인 설치 없이 전자서명도 만들 수 있어 액티브엑스(X)를 사용할 필요가 없다는 것도 모바일 보안토큰의 장점입니다. 또한 모바일 토큰은 대다수 스마트폰이 유심칩을 탑재하고 있는 만큼 사용자 인프라가 갖춰져 있기 때문에 과거 보안토큰보다 확산되기에도 좋다는 전망입니다.

모바일 보안토큰이 활성화 될 경우 현재 제기되는 공인인증서의 문제점을 상당 부분 해소할 수 있을 것으로 기대되고 있습니다. 모바일 보안토큰을 사용하는 것 이외에도 악성코드에 감염되지 않도록 평소 정품 소프트웨어를 쓰고, 악성코드 유포지로 악용될 위험이 있는 사이트나 웹 하드의 이용은 지양하는 노력을 해야겠죠? 그럼 지금까지 Blog지기와 함께 알아 본 공인인증서 유출의 대안 모바일 토큰! 이었습니다.

 

Posted by SK브로드밴드
TAG ,

댓글을 달아 주세요