마스터키 유출돼도 사용자 정보 없이는 비밀번호 파악 힘들어


[보안뉴스 오병민] EMC는 17일(현지시각) 美 RSA 정보보안사업부 본사 서버의 해킹으로 RSA의 OTP(일회용 패스워드시스템 솔루션)인 시큐어ID(SecureID) 제품의 기밀 정보가 탈취됐을 우려가 있다고 밝혔다.
 
이에 따라 국내에서 시큐어ID OTP 제품을 이용하고 있는 사용자들에게도 피해가 나타날 수 있을지 여부에 대해 관심이 집중되고 있다.

국내에서 금융권에 발급된 RSA 시큐어ID OTP는 80만개 정도로 파악되고 있다. 전체 금융권 OTP의 발급 개수가 480만개이기 때문에 비율로 보면 17%에 해당된다.

현재 한국 EMC RSA측은 유출된 정보에 대한 범위를 파악하고 있다고 밝히고 아직까지는 피해접수가 없었다고 전한다. 그리고 전문가들 역시 이번 유출로 인해 시큐어ID OTP 이용자가 피해를 입을 확률은 매우 적다고 이야기한다.

우선 유출로 인한 최악의 시나리오부터 살펴보면, 마스터키가 유출된 경우이다. 마스터키가 유출되면 OTP비밀키를 생성하는 키 생성 알고리즘을 파악할 수 있기 때문이다. 이때 공격자는 특정 시점에서 OTP키를 생성할 수 있어 그 시점에서 생성된 키 정보를 알 수 있다.
 
그러나 생성된 키가 있더라고 하더라도 해당 OTP의 사용자가 누구인지 알고 있지 않으면 무용지물이다. 따라서 사용자에게 직접적인 영향을 주는 공격은 특정인을 대상으로 한 공격이 아니라면 거의 불가능 하다는 것이 전문가들의 소견이다.

물론 이 마스터키의 유출은 최악의 시나리오이다. 마스터키나 알고리즘을 제외한 부분적인 정보가 유출 됐다면 직접적인 공격에 이용될 가능성은 매우 적다.

그러나 EMC RSA 입장에서는 세계 유명 보안기업 이미지에 큰 타격이 있을 것으로 예상된다. 특히 유명 보안기업이 해킹으로 주요 정보 문서가 유출 됐다는 것 자체에 대한 상징성이 있기 때문이다. 또한 EMC RSA의 암호 알고리즘이 공개 알고리즘이 아니기 때문에 알고리즘에 대한 주요 정보가 공개될 수 있어 치명적일 수 있다.

강우진 금융보안연구원 본부장은 “일단 아직까지는 사용자들에게 큰 영향은 없을 것으로 예상되지만 보다 명확한 유출 범위를 파악을 위해 EMC RSA와 정보를 주고받고 있다”면서 “명확한 정보가 수집되면 금융권에 이번 사건에 대한 정보를 제공할 방침”이라고 밝혔다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>