"하루에 5건 정도 데이터 유출 사태가 터진다. 유출 된 데이터 중 95% 암호화되지 않았다. 결국 해법은 데이터를 암호화하는 것이다. 그러나 암호화가 전부는 아니다. 키관리도 중요하다."
젬알토의 박종필 이사는 19일 지디넷코리아가 코엑스 그랜드볼륨에서 개최한 시큐리티 넥스트 컨퍼런스(SNC)를 통해 "암호화가 확산되고 있는 상황에서 사용자 부주의로 암호화 키가 유출되면 자료 열람 및 도청은 물론 문서 변조로까지 이어질 수 있다"면서 암호화의 핵심은 키관리라는 점을 거듭 강조했다. 공격자는 굳이 훔쳐낸 정보에 대한 암호화를 풀려는 노력 없이 키만 알고 있으면 정보가 어떤 내용을 담고 있는지 쉽게 확인할 수 있기 때문이다.
금융당국은 해외 비자, 마스터카드 등이 만든 결제정보보호 관련 기술표준인 'PCI-DSS'에 준하는 보안성을 유지할 것으로 요청하는 상황이다. PCI-DSS는 토큰화 기술을 적용한 곳에 한해서는 관련 분야에 대한 감사를 제외시켜줄 정도로 안전성을 높일 수 있는 기술로 평가받는다.
박종필 이사는 "PCI-DSS 표준을 봐도 키관리 애기 부분이 많고 여신금융협회가 POS 단말기를 상대로 제정한 암호화 표준도 키관리에 대한 내용이 많은 비중을 차지하고 있다"고 말했다. 한국인터넷진흥원 암호화 규정 가이드,행정자치부 시큐어코딩 가이드 등에서도 이러한 점을 중요하게 보고 있다는 것이 그의 설명이다.
젬알토는 암호화 키를 별도 암호화 알고리즘을 적용해 저장하는 것만 가능하고, 외부 공격자들이 수집하지 못하도록 하드웨어시큐리티모듈(HSM)이라는 제품을 공급 중이다. 키라이프사이클관리 솔루션과 합쳐서 키관리시스템이라는 어플라이언스로 판매하고 있다.
관련기사
- 삼성전자, 녹스 파트너 생태계 확키운다2015.08.19
- "사이버 보안, 청와대가 직접 챙긴다"2015.08.19
- "기업 보안 경쟁력 강화, 우선순위부터 정해야"2015.08.19
- "끝없는 사이버침해, 즉시탐지-즉시조치 체제 필요"2015.08.19
박종일 이사에 따르면 요즘은 자동차 회사들도 키관리 솔루션을 적극 도입하고 있다고 한다. IoT용 기기는 결국 소프트웨어를 통해 구동되므로 해킹에 노출될 수밖에 없고, 네트워크를 통해 서로 연결돼 있다는 점에서 외부 공격에 취약하게 된다. 사설 네트워크로 자동차 제조사 본사에서부터 서비스센터, 딜러, 고객 등이 서로 연결된 에코시스템에 누군가 침입했을 때는 이와 연결된 자동차들 자체를 움직일 수 없는 상황이 올 수 있다.
그는 "SW를 자동차에 업로드할 때 전자서명이 된 SW만 올릴 수 있다"면서 "마찬가지로 이유로 애플도 젬알토 솔루션을 쓰고 있다"고 전했다.