USB 기반 HSM에 저장된 공인인증서 사용 ‘최초’
암호화 연산, HSM 내부서 수행...해킹에 안전 
각종 웹사이트의 IDㆍPW 한꺼번에 암호화 가능   

세이프넷 코리아(대표 황동순 www.safenet-inc.com)는 농협에 HSM(하드웨어 보안 모듈) 기반의 인증 토큰 제품인 ‘아이키(iKey, 모델명: iKey2032)’의 공급 계약을 체결했다고 밝혔다.

HSM 보안 제품은 USB 장치에서 강력한 보안 인증을 제공함으로써 인터넷 뱅킹을 더욱 안전하게 활용하도록 하는 방식으로, 국내 은행권에서는 농협이 처음으로 도입했다.

농협의 HSM 기반 인증 토큰 도입은 지난해 금융감독원이 ‘전자금융거래 종합대책’에 명시한 OTP 단말기(일회용 암호 생성 단말기)나 HSM 솔루션의 도입 권고에 따른 것. HSM 보안 인증 토큰은 OTP 단말기보다 사용이 편리하고 다양한 기능을 갖추고 있으면서도, 강력한 사용자 인증을 제공하는 보안 제품이다.

세이프넷 코리아와 함께 이스라엘의 보안 솔루션 업체인 알라딘(www.aladdin.com)이 농협에 HSM 보안 제품을 공급하는 회사로는 선정됐으며, 6월부터 본격적인 서비스를 개시할 계획으로 알려졌다.

USB 보안 인증 토큰, 사용은 간편하고 보안은 안전하게 USB 기반의 HSM 보안 인증 토큰을 사용할 경우 인터넷 뱅킹 사용 고객은 물리적으로 안전한 USB 보안 인증 토큰 내에 저장된 공인인증서를 지급받게 된다. USB 보안 인증 토큰의 외형은 이동식 디스크(USB 메모리)와 유사하지만 슬롯에 삽입 시 고유의 암호화 모듈을 통해서만 내부 접속이 가능하도록 한다.

USB 보안 인증 토큰은 작은 보안 장치 내에 자체 CPU와 메모리 등이 포함된 스마트카드 칩을 탑재하고 있어 외부의 물리적 압박이나 논리적 공격에서 안전하다. USB 보안 제품은 별도의 장비를 필요로 하는 스마트카드와 비교할 때 똑같은 보안 성능을 제공하면서도 편리하게 사용할 수 있다.

특히 USB 장비 내에 보안 칩을 탑재해 암호화 키 생성, 키 관리, 암호화 등 보안 연산이 PC의 메모리가 아니라 HSM 내부에서 수행되기 때문에 암호화 키가 유출될 염려가 없다. 또한 공인인증서를 PC 하드웨어에 저장해 두지 않음으로써 바이러스나 해킹의 위험도 원천적으로 차단한다.

세이프넷 코리아가 이번에 공급하는 아이키(iKey)는 이중 보안 인증(Two-factor Authentication)을 통해 더욱 강력한 디지털 신원 관리 및 인증 기능을 제공한다. 즉, 금융 거래를 위해서는 USB 보안 인증 토큰뿐 아니라 본인이 설정한 보안 키를 입력해야 하는 이중 장치로 설계돼 있어 USB 보안 인증 토큰을 분실하더라도 안심할 수 있다.  

세이프넷 코리아는 농협에 USB 보안 인증 토큰을 공급하면서, 사용자 편의를 극대화하기 위해 부가 서비스도 함께 제공하기로 했다.

OTP는 단순히 인증을 위해서만 사용될 수 있는 데 반해, HSM은 인증서를 이용하는 하드디스크, 전자문서, 이메일 암호화, VPN 인증 등 각종 PKI(Public Key Infrastructure: 공개키기반구조) 솔루션의 아이디와 패스워드를 암호화해 HSM에 저장한 후 사용자가 직접 타이핑할 필요 없이 로그인할 수 있는 기능도 지원한다. 이 기능을 활용하면, USB 장치를 제거할 경우 본인 이외의 다른 사람이 컴퓨터를 사용할 수 없도록 제한할 수 있기 때문에 기업의 정보 보안에도 유용하게 활용할 수 있다.

또한 인터넷 쇼핑몰, 포털 등 아이디와 패스워드를 사용해야 하는 다양한 사이트에 키보드 입력 없이 직접 로그온 할 수 있어 매우 편리하다. 모든 사이트에 똑같은 아이디와 패스워드를 사용할 필요가 없고 사이트마다 다른 인증 정보를 등록해 둠으로써 한 사이트에서 인증 정보가 노출되더라도 그 정보를 다른 사이트에서 활용할 수 없도록 방지할 수 있다.

농협 담당자는 “농협은 더 강력한 보안, 더욱 편리한 고객 편의성을 고려해 USB 기반의 보안 제품으로 결정했다”면서 “OTP 생성기의 경우 전지 수명이 끝나면 고객의 추가 부담이 크고, 인증 외의 용도로는 사용할 수 없다는 단점이 있다. 반면에 USB 보안 인증 토큰은 고객 편의와 보안성을 모두 만족하는 제품이었다”고 선정 배경을 설명했다. 

세이프넷 코리아의 황동순 지사장은 “한국은 강력한 공개키기반(PKI) 보안 시스템을 이미 구축해 두고 있기 때문에 전 세계적으로도 보안 의식이 높은 국가로 꼽히고 있다. PKI의 공인인증서는 암호화를 통해 해킹으로부터는 안전하지만, 공인인증서 자체가 유출되고 비밀번호가 노출되는 경우가 문제였다”고 지적하면서 “USB 토큰은 PKI가 이미 강력하게 구축돼 있는 상황에서 추가 시스템에 대한 이중 투자 없이 강력한 보안 환경을 구축할 수 있는 방법”이라고 설명했다.
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>