CCTV 영상정보 암호화로 개인영상정보 보호!

최근 금융기관 및 포털 사이트에 대한 해커들의 공격으로 대형사고가 발생하고 개인정보보호법이 시행되면서 데이터에 대한 보안이 매우 중요한 과제로 떠오르고 있으나, 국내의 보안 솔루션은 아직까지 방화벽, VPN 제품과 DB암호화 제품이 주류를 이루고 있으며, 근본적으로 외부의 공격을 받았을 때 정작 중요한 정보의 네트워크상에서의 보호는 매우 취약한 실정이다. 더구나 많은 기관과 기업들에서 사용하는 보안제품도 보안정책을 허술하게 운영함으로써 중요 정보의 보호는 아직도 갈 길이 먼 느낌이다.

무엇보다 국내의 경우 CCTV 또는 각종 소형 센서 등의 데이터를 보호하기 위한 암호 솔루션은 아직까지도 거의 없어 값비싼 VPN 또는, 외국 제품에 의존하는 실정이다.

이 공 식│유비즈코아 대표이사(kenny@ubizcore.com)

데이터 암호화가 왜 필요한가?

전 세계적으로 네트워크가 급속하게 확장되고 최근에는 무선 환경으로 확대되면서 네트워크상에서 데이터가 해커들에게 공격대상이 될 수 있는 가능성이 매우 커지고 불법탈취 및 위·변조 등으로 기업이나 공공기관에 위협적인 존재가 되고 있다.

최근 개인정보보호법이 시행되면서 각종 개인정보에 해당하는 데이터를 암호화하는 것을 필수적으로 여기고 있는 것은 그나마 다행스럽지만, 아직까지 개인 영상이 담긴 CCTV 영상 정보에 대해서는 암호화 조치 등은 불만족스러운 상태이다. 게다가 공공시설물의 경우 일부 장비에서는 암호화 조치를 하고 있지만 그나마 데이터 암호화에 가장 중요한 키 관리에서는 너무나도 취약하여 암호화를 한 의미가 퇴색된 것도 있으며, 아예 암호화를 전혀 고려하지 않고 시설물을 설치한 경우도 허다하다. 또한, 공공기관과 공기업에서 운영하는 시설물이 전자정부법과 국가 정보보안 기본지침에 근거한 검증 암호모듈 사용 등에 대한 철저한 보안 정책과 대책이 마련된 경우는 찾아보기 어렵다.

네트워크 활성화에 따른 사이버 공격 증가

구글에서 일반적인 해킹을 위한 여러 가지 방법들을 찾는 것도 쉽다 보니, 일반 중·고등학생들도 너무나도 쉽게 해킹이 가능해 잘못하면 범죄의 유혹에 빠져들기 쉽다. 최근 클라우드 시스템이 활발하게 구축되면서 네트워크상에서의 중요 정보의 유통이 증가하고 있지만 그만큼 해커들에게 공격의 기회가 많아졌다. 더구나 몇 년 전 이란의 원자력발전소에 스턱스넷 웜 바이러스 공격으로 상당부분 파괴시키는 등 최근에는 국가 간의 사이버 공격도 증가하고, 특히 북한으로부터의 공격으로 농협의 해킹된 사건 등은 안전한 데이터 보호를 위해 보안솔루션의 필요성은 매우 커지고 있는 게 사실이다. 그러다 보니 각종 시설물과 단말기의 데이터 생성 단계부터 암호화를 하여 서버에까지 안전하게 전달할 수 있는 솔루션의 필요성도 매우 커지고 있다.

암호 알고리즘의 안전성

암호 알고리즘 공격에서 데이터를 보호하기 위해서는 검증된 암호 알고리즘과 그 암호에 대한 구현적합성을 검증 필한 암호모듈을 채택해야 하며, 키에 대한 공격을 방지하기 위하여 키 보호 및 도용방지를 위한 설계로 대책을 마련해야 한다. 특히, 아무리 암호 알고리즘의 수준이 높다고 해도 키가 유출되면 견고한 금고를 여는 것처럼, 정상적인 키를 열고 들어가 데이터 암호화가 아무런 소용이 없게 된다. 때문에 암호 알고리즘을 학문적 분석에 비해 비교적 쉽게 공격이 가능한 방법이 키에 대한 공격으로서, 키가 유출될 경우 암호화된 데이터는 모두 공개되고, 전자서명의 경우 위조 서명이나 문서에 대한 위변조가 가능하다.

따라서 데이터 안전성을 확보하기 위해 안전성이 검증된 암호 알고리즘의 선택과 함께, 해당 암호를 적절하게 구현한 것인지를 검증하는 과정을 마친 검증필 암호모듈을 사용함으로써 암호화된 데이터를 안전하게 보호할 수 있다.

암호화 적용 대상

데이터 암호화가 필요한 대상은 네트워크에 설치된 모든 장비라고 해도 과언이 아닐 만큼 대부분의 단말장비에서 근거리 또는 이동통신망을 사용하는 원격검침, Security, 환경감시, 교통관제 등 다양한 사물통신 서비스를 포함하여 각종 공공기관, 공기업의 유무선 네트워크를 사용하는 모든 것을 포함한다.

다음은 암호화 적용 대상의 예를 든 것이며, 이미 암호화를 상당 수준으로 적용한 것도 있음을 밝힌다.

-CCTV설치 시 영상데이터를 관제센터까지 보낼 때 영상 암호화 필요

-다리 및 철교 등의 교각의 상태 데이터를 전송을 위한 무선장비에서 데이터 암호화 필요

-수자원 및 농어촌개발 공사의 하천관리를 위한 원격 수문관리 시스템 도입으로 수문 여닫는 데이터 암호화 필요

-송유관 누수 및 도난방지를 위한 센서장치의 무선데이터 전송 시 암호화 필요

-한전 전력망의 데이터 수집 장치 및 스마트 전력량계의 데이터 암호화 필요

-도로 교통정보 수집 장치의 RSE 및 OBE 장비의 데이터 암호화를 검증암호로 개선 필요

-각 지자체의 지능형 교통시설, 방범장비, 환경 센서(수질, 공해감지 등), 가로등 원격관리 등의 데이터 암호화 필요

-범죄자 위치추적을 위한 전자발찌 시스템, 해양의 어선위치추적에서 데이터 암호화 필요

-군부대, 발전소 등의 중요 기관 및 산업체의 외곽펜스 및 원격감시 장치의 데이터 암호화 필요

-이외에도 공항, 기상청의 각종 원격감시 및 제어 시스템, 공공사업의 M2M 등에 추가적으로 암호화가 필요

-국가 및 공공기관에서 사용하는 원격화상회의 시스템의 보안을 위한 검증된 암호로 영상 및 데이터, 음성의 암호화 필요

-클라우드 시스템의 도입으로 네트워크상에서의 데이터 보안이 매우 중요해지면서 전송망에서의 데이터를 암호화하도록 단말에서부터 암호화 기능을 탑재할 수 있는 솔루션 필요

-이외에도 일반기업의 공장자동화 데이터의 무선화 또는 각종 공장 시설의 원격감시 및 제어시스템을 무선으로 구축할 때 데이터의 암호화를 위한 솔루션 필요

국내 CMVP 제도

몇 년 전부터 국내에서도 미국에서 시행되고 있는 ‘FIPS 140-2’ 검증 기준에 준해서 국가사이버안전센터의 IT보안인증사무국에서 KCMVP(Korea Cryptographic Module Validation Program) 암호검증 제도를 시행하고 있다.

미국 NIST에서는 이미 오래 전부터 정보시스템의 발전에 따라 안전한 정보 보호를 위한 공개된 암호모듈 평가시험제도(CMVP)가 시행되어 지금까지 약 2,000여 개 이상이 검증되어 판매되고 있으나, 국내는 2006년부터 시행되어 2013년 2월말 현재 약 98개 암호제품이 검증되어 판매·적용되고 있다. 또한, 미국에는 CMVP 검증기관이 약 18개 시험기관이 있고, 모두 유료로 실시하고 있지만, 국내에서는 국가보안연구소에서만 무료로 검증 시험을 하고 있다.

아직까지 미국의 CMVP 검증제도와 국내의 KCMVP 제도가 서로 호환이 되고 있지 않아 국내 검증암호일지라도 미국에서 암호제품을 판매하기 위해서는 미국에서 비용을 지불하고 검증을 따로 받아야 한다. 국내에서는 국가 및 공공기관에서 사용하는 단말 또는 컴퓨터, 네트워크 장비가 비밀로 분류되지 않은 중요정보를 유통하는 경우 반드시 KCMVP 검증 암호를 사용하도록 규정되어 있다.

그런데 미국과 달리 국내에서는 암호 검증제도를 도입한 지 벌써 6년이 지나는 시점에도 불구하고 VSL1에 해당하는 소프트웨어로 된 암호제품이 대부분이며, VSL2는 2건에 불과하다. 그나마 대부분의 검증 암호 소프트웨어가 PC 또는 서버에서 적용되는 제품 중심이다. 미국은 검증 암호제품의 높은 비율이 이미 VSL2이상의 하드웨어로 된 제품이 많고 적용 범위 또한 PC와 서버 이외에 각종 센서 및 소형디바이스에 적용 가능한 제품들이 많고 보안등급이 그만큼 높아 중요정보를 보호할 수 있는 수준이 높다고 할 수 있다.

그동안 국내 암호시장이 매우 협소해 손쉬운 소프트웨어 방식의 암호제품을 개발하여 검증받고 있었으나, 최근 지능형 전력망, 상수도 검침 등 공공기관 및 공기업의 SCADA망, 원격감시 및 제어시스템 등이 점차 확대 구축되면서 해당 소형 센서 및 단말기에 탑재 가능한 암호 S/W 및 암호 칩, 암호 하드웨어 제품의 필요성이 급증하고 있다.

공공부문의 무선보안 솔루션

이번에 유비즈코아는 국가사이버안전센터 IT보안인증사무국의 검증필을 획득한 CMVP 암호모듈을 탑재한 무선장비를 출시했다. 이 제품은 그동안의 보안제품과 달리, Wi-Fi 무선장비 내에 국산검증 암호를 탑재해 공공기관에서 사용 가능한 보안적합성 검증 기준을 만족할 수 있다는 것이 가장 큰 특징이다. 현재 무선 Wi-Fi 보안제품, 유선암호제품, 복호 및 인증서버 시스템이 출시되어 판매 중이며, 이동통신망용 WCDMA, LTE 모뎀과 연계된 암호단말장비도 개발되어 곧 출시할 예정이다.

공공부문의 현장에 있는 시설물 장비에 유선 또는 무선까지 지원하는 암호탑재 유선, 무선 장비를 부착하여 데이터를 국산 검증암호로 공공기관의 센터까지 안전하게 전송하여 센터 내에서 복호화 할 수 있는 제품이다. 기존의 가상사설망(VPN)과 다른 점은 암호터널을 구성하는 것은 같으나, 제품화 된 CPU 등이 달라 기존의 VPN에 비해 저렴하게 구축할 수 있다. 또한, 소프트웨어 암호방식으로 개발되어 직접적으로 시설물 장비 내에 탑재할 수 있으므로 시설물 개발 단계부터 설계를 하게 되면 암호제품의 추가 부담을 대폭 줄일 수 있는 장점도 가지고 있다.

게다가 시중에서 판매되는 보안제품들이 대부분 공개키 방식으로 인증을 하고 있으나, 대칭 키 방식으로 키 관리 및 양방향 인증을 하는 방식으로 개발되어 매우 가볍다. 게다가 가볍지만 키 관리를 안전하게 하기 위해서 키 값을 네트워크에서 주고받지 않고 키를 유도해 낼 수 있는 키 유도함수 알고리즘을 탑재했고, 키 유도함수 알고리즘에서 키 값을 유도할 때에도 KCMVP 검증암호를 사용함으로써 안전성을 한층 높였다.

해당 기관의 보안정책에 따라 키 갱신을 시행하고 필요에 따라 암호도 선택 사용할 수 있도록 했으며, 무선 Wi-Fi에서 사용하는 AES-CCM 방식과 같은 방식으로 ARIA-CCM, SEED-CCM을 지원한다.

유비즈코아는 국토해양부 U-Eco City 연구단의 1핵심과제 ‘시큐리티가 보장된 접근망 기술’ 연구개발을 담당하고 있으며, 이번에 출시한 공공부문 무선보안 솔루션도 해당 연구개발 산출물로 출시되었다.

따라서 향후 그동안 공공기관 및 공기업에서 사용 가능한 무선보안 솔루션이 없어 값비싼 가상사설망(VPN)을 무선장비 뒤에 부착하던 방식을 개선하고, 또한 무선의 필요성에도 불구하고 유선으로 구축함으로써 구축비용이 많이 들던 것을 개선할 수 있어 사용자 편의성을 높였다.

향후 과제

국내의 대부분의 보안 솔루션들이 백신, VPN, UTM 등의 방화벽, 그리고 최근 무선침입탐지 시스템 등으로 출시되었으나, 미국 등의 보안 솔루션처럼 핵심 암호를 탑재한 하드웨어 타입의 보안 솔루션은 거의 없다. 게다가 CMVP 검증필을 획득한 암호 칩이나, 암호 하드웨어 제품도 없고, 점차 늘어나는 원격감시 및 제어 시스템에 필요한 무선센서용 암호 솔루션과 최근에 각광을 받는 클라우드 시스템과 BYOD(Bring Your Own Device)에서의 보안솔루션을 준비할 수 있는 암호 칩, 암호 하드웨어 솔루션 개발이 시급하다고 할 수 있다.

해외에서는 USN 환경에서 적용할 수 있는 경량 대칭키 암호알고리즘 사용에 대한 연구와 TinyOS 기반의 암호 알고리즘 연구 등을 준비하는 등 암호 알고리즘을 경량 칩에 내장할 수 있는 설계까지 진행하고 있다. 때문에 국내에도 초경량 구현환경에 적합한 암호로 다양하게 적용될 수 있도록 암호모듈의 개발을 서둘러야 한다.

국내에는 ‘전자정부법’ 제27조 및 시행령 제35조에 따라 국가·공공기관이 도입하는 정보보호제품에 대한 안전성 확인을 위한 국가용 암호제품 지정제도에 적합한 128 비트 또는 256 비트 이상의 블록암호를 소형 디바이스에 적용할 수 있는 암호모듈과 암호 하드웨어 솔루션 개발도 시급하다.

따라서 지금부터라도 하루빨리 암호 알고리즘에 대한 연구와 소형센서 등에도 탑재가 가능한 암호솔루션 개발을 해야 하며, 암호 검증된 제품으로 사용할 수 있는 다양한 암호솔루션이 출시되어야 한다. 이를 위해서는 암호 전문가와 보안업계 모두가 관심을 갖고 준비해야 할 것이다.

<글 : 시큐리티월드 편집부>

[월간 시큐리티월드 통권 제196호(sw@infothe.com)]

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>