폰 하나에 소프트웨어 eSIM, 하드웨어 USIM 동시 사용 가능
터치 한 번으로 투 번호 사용도 편리...사용 효과 기대
PUF-eSIM 기술, 무단 복제 등 악용 원천 불가 기술로 주목
[보안뉴스 김영명 기자] 스마트폰을 새로 구매하거나, 다른 기기로 교체하려고 할 때면 전원을 켜기 전에 먼저 하는 것이 유심(USIM : Universal Subscriber Identity Module)을 장착하는 것이다. 유심은 가입자 정보를 탑재한 SIM(Subscriber Identity Module)과 UICC(Universal IC Card)가 결합된 형태로 스마트폰 사용의 필수조건인 사용자 인증, 글로벌 로밍, 전자상거래 등 다양한 기능을 1장의 카드에 구현한 것이다.
▲USIM(왼쪽)과 eSIM(오른쪽)의 사용 체계 비교[이미지=과학기술정보통신부]
그러나 9월부터는 유심이 아닌 ‘e심(embedded SIM)’의 사용이 본격적으로 가능해졌다. 과학기술정보통신부는 지난해 7월부터 이동통신사, 제조사, 유관기관 등과 ‘이심(eSIM) 협의체’를 구성하고, 이달 1일부터 본격적으로 eSIM이 도입됐다.
보안 알고리즘 내장된 eSIM, 사용성과 안전성 향상
eSIM(eSIM : embedded Subscriber Identity Module)이란 유심(USIM)과 동일한 역할을 하지만, 유심과 차이점이 있다면 심의 성질의 차이다. 유심은 스마트폰 사용자가 스마트폰을 처음 구매할 때 개통 전 일정한 모양을 갖춘 형태의 칩이 포함된 플라스틱 카드를 말한다면, eSIM은 스마트폰 제조 과정에서 단말기에 내장된 칩에 이용자가 QR코드 등을 활용해 통신사의 프로파일을 내려받기 해서 이용하는 무형의 소프트웨어 방식이다.
스마트폰 eSIM은 세계이동통신사업자연합회(Global System for Mobile communications Association, GSMA)의 주도하에 2016년부터 표준화 규격이 발간됐다. 2020년 12월 기준 전 세계 60개국 175개 통신사가 eSIM 서비스를 도입했으며, 지난해 말까지 삼성전자, 애플, 화웨이, 구글, 모토로라, 소니, 오포 등 전 세계 7개 제조사가 총 57종의 eSIM이 내장된 스마트폰을 출시하며 세계적인 이용의 중심축이 유심에서 eSIM으로 옮겨지고 있다.
▲단말기 분실도난 관리 체계[이미지=과학기술정보통신부]
eSIM 솔루션의 보안요소를 특히 eUICC(embedded Universal Integrated Circuit Card)라고 부르며, IMSI(International Mobile Subscriber Identity, 국가 모바일 가입자 구별자), ICCID(Integrated Circuit Card Identifier, SIM 카드의 시리얼 번호), 보안 알고리즘을 포함한다.
따라서 eUICC는 eSIM을 구성하고 있는 eUICC를 기반으로 스마트폰 사용자의 프로필을 통해 프로필을 만든 사용자가 발급한 이동식 SIM과 같은 방식으로 작동할 수 있으며, 뛰어난 보안성을 갖추고 있다.
국내에서는 알뜰폰 사업자인 KCT(알뜰폰 tplus)가 2020년 7월에 제일 처음으로 스마트폰 eSIM 서비스를 도입했으며, KT, SKT, LGU+ 등 통신3사는 2018년부터 스마트워치 류에 한해 eSIM 서비스를 제공하고 있다.
eSIM 서비스를 사용하게 되면 물리적 SIM 삽입이나 교체가 필요 없으며, 스마트폰에서 프로파일 내려받기만으로 스마트폰 개통이 가능하다. 따라서 스마트폰 대리점 방문 등 시간적·공간적 제약을 받지 않고 비대면·온라인 개통과 통신사 이동을 간편하게 할 수 있다.
eSIM은 유심과 함께 듀얼심(eSIM+USIM) 이용이 가능해져 하나의 스마트폰으로 일상용·업무용, 국내용·해외용 등 사용자의 취향에 따라 용도를 분리해 사용할 수 있어 단말기 비용의 절감도 가능하다. 또한, eSIM 프로파일 내려받는 비용도 유심보다 저렴해 통신비 절감에도 기여할 것으로 보인다.
eSIM과 유심을 함께 사용하면, 하나의 휴대폰에 2개의 번호를 동시에 사용할 수 있게 되며, 각각의 번호에 서로 다른 2개의 이동통신사, 한국의 eSIM과 미국의 유심을 함께 사용하는 등 사용자 편의에 따라 유용하게 회선을 사용하는 것도 가능하다. 다만, 시간을 분할해 사용하지 않고, 메인 SIM으로 통화할 때는 보조 SIM이 비활성화되며, 두 SIM 중 사용하지 않는 SIM은 전화나 데이터 착신이 가능한 대기 중 상태로 바뀌게 된다.
eSIM 사용을 위한 프로파일 다운로드 비용은 2,750원으로 책정돼 있는 반면, 기존의 방식인 유심을 발급받을 때는 대리점에 가서 5,500~7,700원의 비용을 지불해야 하기 때문에 e심이 훨씬 저렴하다.
▲반도체 칩 내부에서 생성하는 고유 ID로 암호화 키 유출 우려 원천 차단[이미지=ICTK홀딩스]
eSIM의 강력한 보안성, PUF 기술로 시너지 효과
LG유플러스는 ICTK홀딩스와 공동으로 지난해 11월 세계 최초로 물리적복제 방지기능(Physical Unclonable Function, PUF)을 적용한 초소형 eSIM(PUF-eSIM)을 개발했다. ‘PUF-eSIM’은 제조공정에서 물리적으로 생성되는 반도체의 미세구조 차이를 이용해 복제나 변경이 불가능한 ‘Inborn ID’ 즉, ‘반도체 지문’을 활용해 보안을 강화하는 PUF 기술과 가입자인증 기능을 하나의 칩셋으로 구현한 것이다.
PUF 기술의 바탕에는 반도체 제조공정 상에서 재료의 미세한 물리적 구조 차이로 인해 자연적으로 발생하는 서로 다른 특성의 응용이 있다. PUF 기술은 제조공정에서 발생하는 미세한 물리적 구조 차이로부터 각각의 반도체에 대해 고유값을 부여한다. 반도체 생산을 위해 사용되는 금속과 실리콘 등 서로 다른 재료들이 소유한 각각의 복잡한 구조와 다양한 물성을 그대로 유지해 동일한 하나의 공정을 거쳐 반도체를 생산했으면서도 생산재의 특성을 살린 고유한 성질을 보유하게 된다.
PUF 솔루션 내에서 난수들의 조합으로 형성된 고유한 ID는 자연 발생된 암호화 개인 키를 바탕으로 하는데, 이러한 키 암호화 방식은 보안 프로토콜 구조를 채택해 보안성이 높다. 암호화를 위한 개인 키는 메모리나 버스(bus) 구조를 사용하지 않아, 암호화 동작 시 반도체 칩 외부로의 추출이 불가능한 구조를 유지한다. 따라서 반도체 칩 내부에서 해당 데이터의 순간적인 암·복호화가 가능하다. 고유한 ID를 외부에서 임의로 생성시켜 칩 내부에 주입하는 방식이 아니기 때문에 IoT 보안의 핵심인 암호키의 외부 유출 위험을 사전에 방지할 수 있다.
▲스마트폰 eSIM 상용화 일정[자료=과학기술정보통신부]
이 PUF-eSIM이 인증키와 데이터를 암호화하면 LTE망 접속 시 가입자 인증과 함께 △디바이스 부팅 시 위·변조된 펌웨어 실행 차단 △디바이스-서버 간 E2E 보안 통신 강화에 사용될 수 있다.
보안성 강화를 위해 적용된 PUF는 물리적인 미세구조의 고유성을 기반으로 해 사전 예측과 함께 제어도 불가능하기 때문에 해당 미세구조를 복제하는 건 원천적으로 불가능하다.
PUF는 일반적인 단일 암호화키를 구현하지 않고, ‘챌린지-응답 인증’을 구현해 이 미세구조를 평가한다. ‘챌린지-응답 인증’이란 한쪽이 질문을 제시했을 때 다른 쪽이 유효한 응답을 제공해야 인증되는 프로토콜 패밀리를 뜻한다. PUF의 물리적 자극이 미세구조에 적용되면 장치의 미세구조와 자극이 복잡한 상호작용을 통해 전혀 예측할 수 없는 방식으로 반응하게 된다.
PUF는 매번 랜덤 방식으로 발생하게 된다. 이때 미세구조의 차이를 키 값으로 사용하는데, 기기 자체에 키 값이 저장되지 않아 해킹 자체가 불가능하며, 고유한 키 값을 사용한 전자서명 구조를 통해 거부방지 기능도 강화돼 간편한 기기인증에도 유용하게 활용될 수 있다.
eSIM과 유심은 각각 IMEI(국제 휴대전화 식별번호, International Mobile Equipment Identity)가 부여돼 SIM(회선) 간 충돌 가능성은 없다. 그리고 명의도용 등의 범죄 예방을 위해 두 회선의 명의가 다를 경우 사용을 못하도록 금지돼 있다. 그렇기 때문에 두 회선의 명의가 동일해야만 한다.
현재 국내에 eSIM을 지원하는 스마트폰은 국산으로는 삼성전자의 갤럭시 Z 폴드4와 갤럭시 Z 플립4가 있으며, 외산 스마트폰으로는 아이폰X 시리즈 등이 있다. 이번 eSIM 서비스 도입과 함께 향후 스마트폰 해킹과 도용 등 모바일 피해 사례가 줄어들 수 있을지 주목된다.
[김영명 기자(sw@boannews.com)]
터치 한 번으로 투 번호 사용도 편리...사용 효과 기대
PUF-eSIM 기술, 무단 복제 등 악용 원천 불가 기술로 주목
[보안뉴스 김영명 기자] 스마트폰을 새로 구매하거나, 다른 기기로 교체하려고 할 때면 전원을 켜기 전에 먼저 하는 것이 유심(USIM : Universal Subscriber Identity Module)을 장착하는 것이다. 유심은 가입자 정보를 탑재한 SIM(Subscriber Identity Module)과 UICC(Universal IC Card)가 결합된 형태로 스마트폰 사용의 필수조건인 사용자 인증, 글로벌 로밍, 전자상거래 등 다양한 기능을 1장의 카드에 구현한 것이다.
▲USIM(왼쪽)과 eSIM(오른쪽)의 사용 체계 비교[이미지=과학기술정보통신부]
그러나 9월부터는 유심이 아닌 ‘e심(embedded SIM)’의 사용이 본격적으로 가능해졌다. 과학기술정보통신부는 지난해 7월부터 이동통신사, 제조사, 유관기관 등과 ‘이심(eSIM) 협의체’를 구성하고, 이달 1일부터 본격적으로 eSIM이 도입됐다.
보안 알고리즘 내장된 eSIM, 사용성과 안전성 향상
eSIM(eSIM : embedded Subscriber Identity Module)이란 유심(USIM)과 동일한 역할을 하지만, 유심과 차이점이 있다면 심의 성질의 차이다. 유심은 스마트폰 사용자가 스마트폰을 처음 구매할 때 개통 전 일정한 모양을 갖춘 형태의 칩이 포함된 플라스틱 카드를 말한다면, eSIM은 스마트폰 제조 과정에서 단말기에 내장된 칩에 이용자가 QR코드 등을 활용해 통신사의 프로파일을 내려받기 해서 이용하는 무형의 소프트웨어 방식이다.
스마트폰 eSIM은 세계이동통신사업자연합회(Global System for Mobile communications Association, GSMA)의 주도하에 2016년부터 표준화 규격이 발간됐다. 2020년 12월 기준 전 세계 60개국 175개 통신사가 eSIM 서비스를 도입했으며, 지난해 말까지 삼성전자, 애플, 화웨이, 구글, 모토로라, 소니, 오포 등 전 세계 7개 제조사가 총 57종의 eSIM이 내장된 스마트폰을 출시하며 세계적인 이용의 중심축이 유심에서 eSIM으로 옮겨지고 있다.
▲단말기 분실도난 관리 체계[이미지=과학기술정보통신부]
eSIM 솔루션의 보안요소를 특히 eUICC(embedded Universal Integrated Circuit Card)라고 부르며, IMSI(International Mobile Subscriber Identity, 국가 모바일 가입자 구별자), ICCID(Integrated Circuit Card Identifier, SIM 카드의 시리얼 번호), 보안 알고리즘을 포함한다.
따라서 eUICC는 eSIM을 구성하고 있는 eUICC를 기반으로 스마트폰 사용자의 프로필을 통해 프로필을 만든 사용자가 발급한 이동식 SIM과 같은 방식으로 작동할 수 있으며, 뛰어난 보안성을 갖추고 있다.
국내에서는 알뜰폰 사업자인 KCT(알뜰폰 tplus)가 2020년 7월에 제일 처음으로 스마트폰 eSIM 서비스를 도입했으며, KT, SKT, LGU+ 등 통신3사는 2018년부터 스마트워치 류에 한해 eSIM 서비스를 제공하고 있다.
eSIM 서비스를 사용하게 되면 물리적 SIM 삽입이나 교체가 필요 없으며, 스마트폰에서 프로파일 내려받기만으로 스마트폰 개통이 가능하다. 따라서 스마트폰 대리점 방문 등 시간적·공간적 제약을 받지 않고 비대면·온라인 개통과 통신사 이동을 간편하게 할 수 있다.
eSIM은 유심과 함께 듀얼심(eSIM+USIM) 이용이 가능해져 하나의 스마트폰으로 일상용·업무용, 국내용·해외용 등 사용자의 취향에 따라 용도를 분리해 사용할 수 있어 단말기 비용의 절감도 가능하다. 또한, eSIM 프로파일 내려받는 비용도 유심보다 저렴해 통신비 절감에도 기여할 것으로 보인다.
eSIM과 유심을 함께 사용하면, 하나의 휴대폰에 2개의 번호를 동시에 사용할 수 있게 되며, 각각의 번호에 서로 다른 2개의 이동통신사, 한국의 eSIM과 미국의 유심을 함께 사용하는 등 사용자 편의에 따라 유용하게 회선을 사용하는 것도 가능하다. 다만, 시간을 분할해 사용하지 않고, 메인 SIM으로 통화할 때는 보조 SIM이 비활성화되며, 두 SIM 중 사용하지 않는 SIM은 전화나 데이터 착신이 가능한 대기 중 상태로 바뀌게 된다.
eSIM 사용을 위한 프로파일 다운로드 비용은 2,750원으로 책정돼 있는 반면, 기존의 방식인 유심을 발급받을 때는 대리점에 가서 5,500~7,700원의 비용을 지불해야 하기 때문에 e심이 훨씬 저렴하다.
▲반도체 칩 내부에서 생성하는 고유 ID로 암호화 키 유출 우려 원천 차단[이미지=ICTK홀딩스]
eSIM의 강력한 보안성, PUF 기술로 시너지 효과
LG유플러스는 ICTK홀딩스와 공동으로 지난해 11월 세계 최초로 물리적복제 방지기능(Physical Unclonable Function, PUF)을 적용한 초소형 eSIM(PUF-eSIM)을 개발했다. ‘PUF-eSIM’은 제조공정에서 물리적으로 생성되는 반도체의 미세구조 차이를 이용해 복제나 변경이 불가능한 ‘Inborn ID’ 즉, ‘반도체 지문’을 활용해 보안을 강화하는 PUF 기술과 가입자인증 기능을 하나의 칩셋으로 구현한 것이다.
PUF 기술의 바탕에는 반도체 제조공정 상에서 재료의 미세한 물리적 구조 차이로 인해 자연적으로 발생하는 서로 다른 특성의 응용이 있다. PUF 기술은 제조공정에서 발생하는 미세한 물리적 구조 차이로부터 각각의 반도체에 대해 고유값을 부여한다. 반도체 생산을 위해 사용되는 금속과 실리콘 등 서로 다른 재료들이 소유한 각각의 복잡한 구조와 다양한 물성을 그대로 유지해 동일한 하나의 공정을 거쳐 반도체를 생산했으면서도 생산재의 특성을 살린 고유한 성질을 보유하게 된다.
PUF 솔루션 내에서 난수들의 조합으로 형성된 고유한 ID는 자연 발생된 암호화 개인 키를 바탕으로 하는데, 이러한 키 암호화 방식은 보안 프로토콜 구조를 채택해 보안성이 높다. 암호화를 위한 개인 키는 메모리나 버스(bus) 구조를 사용하지 않아, 암호화 동작 시 반도체 칩 외부로의 추출이 불가능한 구조를 유지한다. 따라서 반도체 칩 내부에서 해당 데이터의 순간적인 암·복호화가 가능하다. 고유한 ID를 외부에서 임의로 생성시켜 칩 내부에 주입하는 방식이 아니기 때문에 IoT 보안의 핵심인 암호키의 외부 유출 위험을 사전에 방지할 수 있다.
▲스마트폰 eSIM 상용화 일정[자료=과학기술정보통신부]
이 PUF-eSIM이 인증키와 데이터를 암호화하면 LTE망 접속 시 가입자 인증과 함께 △디바이스 부팅 시 위·변조된 펌웨어 실행 차단 △디바이스-서버 간 E2E 보안 통신 강화에 사용될 수 있다.
보안성 강화를 위해 적용된 PUF는 물리적인 미세구조의 고유성을 기반으로 해 사전 예측과 함께 제어도 불가능하기 때문에 해당 미세구조를 복제하는 건 원천적으로 불가능하다.
PUF는 일반적인 단일 암호화키를 구현하지 않고, ‘챌린지-응답 인증’을 구현해 이 미세구조를 평가한다. ‘챌린지-응답 인증’이란 한쪽이 질문을 제시했을 때 다른 쪽이 유효한 응답을 제공해야 인증되는 프로토콜 패밀리를 뜻한다. PUF의 물리적 자극이 미세구조에 적용되면 장치의 미세구조와 자극이 복잡한 상호작용을 통해 전혀 예측할 수 없는 방식으로 반응하게 된다.
PUF는 매번 랜덤 방식으로 발생하게 된다. 이때 미세구조의 차이를 키 값으로 사용하는데, 기기 자체에 키 값이 저장되지 않아 해킹 자체가 불가능하며, 고유한 키 값을 사용한 전자서명 구조를 통해 거부방지 기능도 강화돼 간편한 기기인증에도 유용하게 활용될 수 있다.
eSIM과 유심은 각각 IMEI(국제 휴대전화 식별번호, International Mobile Equipment Identity)가 부여돼 SIM(회선) 간 충돌 가능성은 없다. 그리고 명의도용 등의 범죄 예방을 위해 두 회선의 명의가 다를 경우 사용을 못하도록 금지돼 있다. 그렇기 때문에 두 회선의 명의가 동일해야만 한다.
현재 국내에 eSIM을 지원하는 스마트폰은 국산으로는 삼성전자의 갤럭시 Z 폴드4와 갤럭시 Z 플립4가 있으며, 외산 스마트폰으로는 아이폰X 시리즈 등이 있다. 이번 eSIM 서비스 도입과 함께 향후 스마트폰 해킹과 도용 등 모바일 피해 사례가 줄어들 수 있을지 주목된다.
[김영명 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
