[화요특집] 전자화폐 보안기술 어디까지 왔나

전자화폐의 관건은 시큐리티(Security)를 얼마나 보장할 수 있느냐에 달려있다.

다시 말해 암호체계를 통해 위조, 개조, 변조를 완벽하게 막아야만 마음놓고 이용할 수 있기 때문이다. 데이터 암호화를 통한 인증과 복제방지책이 선행돼야 한다는 것이다.

전자화폐 시장 주도권은 이같은 보안문제를 누가 먼저 해결하고 보급하느냐에 따라 좌우될 수밖에 없다.

현재 우리나라에서 추진중인 대표적인 전자화폐는 스마트카드를 이용한 전자지갑이다.

스마트카드의 시큐리티 체계는 암호알고리듬, 프로토콜, 키 관리 등 3요소로 구성돼 있다. 이들의 유기적인 결합과 운용에 의해 시큐리티 체계가 이뤄진다.

현재 세계 20국이 전자화폐 사용 시험프로젝트를 추진중인데 시큐리티 분야만큼은 공개하지 않을 정도로 각국이 보안에 만전을 기하고 있다. 다만 VISA의 「비자캐시」만 시큐리티 체계를 일부 공개한 정도다.

하지만 대부분 국가가 추진중인 전자화폐는 공통열쇠(Key)방식인 DES알고리듬의 보안성을 보완하기 위해 세 가지 열쇠를 사용하는 「트리플DES」나「RSA」와 같은 공통 키방식과 공개키방식의 공개된 알고리듬, 각국 금융환경에 알맞은 고유알고리듬을 개발해 채용할 것으로 보인다.

DES와 같은 공개된 알고리듬을 사용할 경우 알고리듬 자체만 볼 때 시큐리티 강도가 높지만 외부공개로 인해 공격받을 확률도 높아지게 된다.

한 예로 DES와 같은 공개된 알고리듬을 전자지갑에 적용할 경우 해커들이공격장비를 갖추고 충분히 공격할 수 있다는 전문가들의 지적이다.

이에 따라 각국은 자체적인 전자지갑용 보안체계 마련에 투자를 아끼지 않고 있다.

우리도 시큐리티 강도를 높이고 안전성을 보장하며 국제 호환을 위해 국제적으로 공개된 암호알고리듬을 채택하면서 우리 금융환경에 맞는 고유 알고리듬을 자체 개발해 채택해야 한다.

특히 전자지갑용 IC카드가 다양한 알고리듬을 필요로 함에 따라 카드공급사들은 DES를 비롯해 RSA, 카드공급사의 고유 알고리듬 등을 스마트카드에서구현하고 있다.

프랑스 슐렘버저사의 경우 DES와 고유 알고리듬을 구현해 자사의 카드 사용자가 원하는 알고리듬을 선택해 사용할 수 있도록 하고 있다.

이밖에도 시큐리티의 강도를 높이기 위해 대칭키 가운데 하나인 「스킵잭(Skipjack)」과 같은 알고리듬도 전자화페의 시큐리티 수단으로 적용할 수있다.

이는 일반에 공개되지 않아 PC나 소프트웨어상에서 구현되지 않는데 반도체 마스킹시에 알고리듬을 집어넣어 상품화한 것으로 물리적 접근을 불가능하게 한 것이 특징이다.

전자화폐 즉 스마트카드를 이용한 화폐개혁은 멀지않은 장래에 닥쳐올 것이며 이같은 개혁 파고에 능동적으로 대처할 수 있는 무기가 바로 시큐리티체계다.

따라서 우리도 우리 화폐에 맞는 고유 알고리듬을 개발해 공개된 알고리듬과 함께 사용, 이같은 파고를 지혜롭게 넘어야 한다.

다시 말해 전자화폐에서 구현하는 암호화 알고리듬이 대외적으로 노출됐을경우 상대 국가와 전쟁같은 극단적인 외교문제가 발생한다면 상대국은 이를경제교란의 무기로 삼을 것이다. 이처럼 암호화 알고리듬 문제는 심각한 양상을 띠고 있다.

따라서 우리가 우리 돈을 우리 손으로 찍어 사용하고 있듯, 전자화폐의 안전판인 암호 알고리듬도 우리 손으로 개발해 우리가 생산한 칩에 넣어 전자지갑을 발행할 수 있도록 정부는 물론 업계, 학계가 다같이 지혜를 모아야할 것으로 보인다.