하반기 '염가' 혹은 '무료'로 이용자 보급…HW 방식보다 편리하지만 '안전성'은 뒤쳐져
최근 악성코드를 통한 공인인증서 탈취사고가 기승을 부리고 있는 가운데, 이용자가 별도의 하드웨어(HW) 보안토큰을 구입하지 않아도 소프트웨어(SW) 방식으로 인증서를 비교적 안전하게 PC에 보관할 수 있는 기술이 개발된다.
13일 미래창조과학부 관계자는 "지난달부터 한국인터넷진흥원(KISA) 등과 함께 SW 방식의 보안토큰 기술개발에 착수한 상태"라며 "하반기 중 해당 기술을 상용화할 계획"이라고 밝혔다.
보안토큰(HSM)은 발급된 공인인증서의 무단 유출을 방지하기 위해 전자서명 생성키 등 비밀정보를 안전하게 보관할 수 있는 휴대용 저장정치다. 기기 내부에 프로세스 및 암호 연산 장치가 있어 전자서명키가 내부에서 생성되고 저장장치 외부로 유출되지 않아 피싱과 해킹 등으로부터 안전하다. 정부가 그동안 공인인증서를 보안토큰에 저장할 것을 권장해왔던 것도 이 때문이다.
하지만 별도로 구매비용(2만원)이 필요한데다 사용상 불편하다는 이유로 이용률이 저조하다는 게 문제다. 이제껏 보안토큰 이용률은 작년 기준으로 전체 공인인증서 이용자의 3.7%에 불과했던 것으로 나타났다.
이번에 미래부가 하반기 상용화할 SW 보안토큰은 기존 HW 방식으로 처리했던 보안토큰 처리방식을 SW 방식으로 구현해 외부에서 인증서를 쉽게 빼갈 수 없도록 하는 보안 기술이다.
미래부 관계자는 "물론 안전성 측면에서 HW 방식을 따라갈 수는 없겠지만 최근 빈번해지는 해킹을 통한 인증서 유출 피해를 억제하는데 도움이 될 수 있을 것"이라고 "기술 개발이 마무리되면 관련 기관과 함께 SW 보안토큰을 염가 혹은 무료로 이용자들에게 보급하는 방안을 검토할 계획"이라고 밝혔다.
다만, 이 기술은 궁극적으로 보다 외부 해킹으로부터 안전한 HW 방식의 보안토큰이 대중화되기 위한 과도기적 처방으로 해석되고 있다.
한편, PC에 저장된 공인인증서를 탈취하는 해킹 수법은 갈수록 고도화되고 있다. 최근에는 파일공유 서비스 등 일부 웹사이트에서 유포된 악성코드를 이용해 불과 일주일만에 불특정 다수의 PC에서 7000건에 이르는 공인인증서 탈취 사고가 발생해 보안당국을 크게 긴장시켰다. 금융결제원 등 인증기관들은 이번에 유출된 공인인증서를 모두 일괄 폐기했지만, 특단의 대책이 없는 한 이같은 공인인증서 유출 사고는 더욱 늘어날 것이라는 게 보안 전문가들의 진단이다.