세이프넷 "핀테크-IoT 보안 키워드는 키관리"

일반입력 :2015/01/13 16:15

손경호 기자

금융과 IT기술을 결합한 핀테크, 사물인터넷(IoT)이 주목받기 시작하면서 이들 기술에 대한 보안성 강화가 키워드로 떠오르기 시작했다.

13일 세이프넷코리아는 세이프넷 아태 지역 담당 라나 굽타 부사장이 참석한 가운데 서울 삼성동 인터콘티넨탈 호텔에서 기자간담회를 열고, 핀테크, IoT 분야에서도 키 관리의 중요성, 토큰화를 포함한 전체 데이터에 대한 보안 플랫폼을 적용하는 작업이 중요해질 것이라고 밝혔다. 신용카드 정보를 포함한 각종 개인정보, 스마트폰으로 연결되는 커넥티드카, 스마트홈, 스마트그리드 등에서 오가는 정보를 안전하게 보호하기 위해서는 데이터 암호화 자체보다도 암호화를 풀 수 있는 일종의 비밀번호 역할을 하는 키에 대한 관리가 중요해졌다는 것이 회사측 설명이다.

공격자는 굳이 훔쳐낸 정보에 대한 암호화를 풀려는 노력 없이 키만 알고 있으면 정보가 어떤 내용을 담고 있는지 쉽게 확인할 수 있기 때문이다. 이에 더해 토큰화(tokenization)와 같이 원본 데이터를 전혀 다른 값으로 치환해 전송하는 방식 또한 정보유출을 막기 위한 대안으로 거론된다.

굽타 부사장은 IoT용 기기는 결국 소프트웨어를 통해 구동되므로 해킹에 노출될 수밖에 없고, 네트워크를 통해 서로 연결돼 있다는 점에서 외부 공격에 취약하게 된다며 사설 네트워크로 자동차 제조사 본사에서부터 서비스센터, 딜러, 고객 등이 서로 연결된 에코시스템에 누군가 침입했을 때는 이와 연결된 자동차들 자체를 움직일 수 없는 상황이 올 수 있다고 밝혔다.

그는 지난해부터 등장하기 시작한 의료기기 해킹, 스마트그리드 등에서도 유사한 문제가 발생할 수 있다고 덧붙였다.

핀테크의 경우 금융+IT기술을 조합해 새로운 서비스가 등장할 수 있을 것으로 기대되지만 금융업이라는 특성상 보안성이 최우선적으로 해결해야 하는 과제 중 하나다. 사용자단에서는 손쉽게 각종 금융업무를 볼 수 있도록 하더라도 카드사, 결제대행사(PG), 온라인쇼핑몰 등이 뒷단에서 주고 받는 각종 카드정보, 결제관련 정보 등은 안전하게 관리될 수 있도록 해야한다는 것이다.

기존에 데이터 보안을 위해서는 공개키기반구조(PKI)를 통해 공인인증서, 사설인증서를 활용하는 방식이 적용돼 왔다. 문제는 이러한 방식을 쓴다고 하더라도 암호화된 정보를 열어 볼 수 있는 키가 제대로 관리되지 않는다면 보안성을 보장하지 못한다는 점이다.

세이프넷은 이러한 키를 별도 암호화 알고리즘을 적용해 저장하는 것만 가능하고, 외부 공격자들이 수집하지 못하도록 하드웨어시큐리티모듈(HSM)이라는 제품을 공급 중이다.

함께 참석한 세이프넷 코리아 박종필 이사는 핀테크에서 말하는 테크는 결국 본인인증과 데이터 보호(금융 및 개인 정보보호)를 말한다고 강조했다.

핀테크의 경우에도 전체 생태계를 보면 소매/유통, 온라인 쇼핑몰, VAN, 카드사, 금융기관, PG사 등이 유기적으로 정보를 주고 받는 프로세스를 가지는 만큼 사용자단에서는 이전보다 편리한 인증수단을 쓴다고 하더라도 다른 관계사들이 데이터를 주고 받기 위해서는 PKI기술과 함께 여기에 적용된 암호를 풀 수 있는 키 관리가 중요해진다는 설명이다.

관련기사

박 이사는 금융보안연구원이 지난해 12월 발간한 '금융 부문 암호기술 활용 가이드'에서도 암호에 이용된 키가 유출될 경우 암호문은 키를 통해 쉽게 복호화할 수 있기 때문에 키를 보호하는 것은 암호화 될 정보를 보호하는 것과 같거나 그 이상의 가치를 지닌다고 강조했다. 한국인터넷진흥원 암호화 규정 가이드, 행정자치부 시큐어코딩 가이드 등에서도 이러한 점을 중요하게 보고 있다는 설명이다.

핀테크의 일종으로 분류되는 간편결제의 경우 금융당국은 해외 비자, 마스터카드 등이 만든 결제정보보호 관련 기술표준인 'PCI-DSS'에 준하는 보안성을 유지할 것으로 요청했다. PCI-DSS에서는 토큰화 기술을 적용한 곳에 한해서는 관련 분야에 대한 감사를 제외시켜줄 정도로 안전성을 높일 수 있는 기술로 보고 있다.