[화요특집-정보보안기술] 해외 정보보호 정책.기술 동향과 우리의 과제

인터넷과 같은 개방형 통신망을 이용한 전자상거래(EC)가 보편화되면서 보안기술에 대한 중요성이 크게 부각되고 있다. 개방형 통신망을 통한 정보 유통시에 발생 가능한 문제점은 통신망을 통한 정보의 도청, 변조, 삽입, 그리고 개인정보의 침해 등을 들 수 있다. 이러한 정보기술의 역기능은 각종 보안기술을 정보시스템에 채용함으로써 예방이 가능하다.

현재 해외에서 활발히 연구되고 있는 보안기술 분야는 시스템보안, 망보안, 운용체계보안, 보안관리기술 등이 있다. 시스템보안의 대상에는 △개인 ID와 공개키를 연결하는 공캐키 인증서 △개인비밀키 등을 안전하게 보관하는 스마트카드 기술 △전자우편, 원격지접근, 파일전송, 웹브라우저 제어 등의 보안응용 분야가 있다. 여기에는 또한 현재 모든 나라에서 주목받고 있는 EC관련 보안기술도 포함된다.

망보안은 안전한 내부망과 인터넷과 같이 개방형 외부망을 상호 연결하는 칩입차단기술과 공개된 정보통신망를 통해 유통되는 정보를 보호하기 위한 망 자체의 보안기술로 구성된다. 현재 망 자체 보안을 위해 동기식 광네트워크인 SONET 신호, 초고속 통신망의 근간을 이루는 비동기전송방식(ATM) 신호, 그리고 기존 종합정보통신망 신호와 X.25 패킷망 신호 등에 적용되는 보안제품이 속속 개발, 발표되고 있다.

통신망이 아무리 안전하게 동작한다 해도 컴퓨터 시스템의 안전에 구멍이 생긴다면 소용이 없다. 따라서 운용체계 보안기술은 컴퓨터 시스템 자체를 안전하게 운영하기 위한 기술로서 여러 평가기준이 적용된 컴퓨터 시스템이 개발되고 있다.

보안관리 기술은 암호키 쌍의 생성 및 분배와 공개키기반구조(PKI)에서 인증서의 발급 및 분배 기능을 수행하며 체계적이고 안전한 시스템 동작을 보장하는 기술이다. 위에서 언급한 보안기술중 한 곳에서라도 틈새가 생기면 다른 곳에서 안전한 시스템을 구축했다 하더라도 확실한 보안대책은 될 수 없다.

또한 EC시스템에서 보안기술의 중요성이 부각되면서 마스타, 비자카드사가 주축이 돼 구축하고 있는 SET 기반 전자지불 시스템과 몬덱스 등 소액 단위의 전자화폐 기술, 그리고 전자수표 기술이 개발되고 있다. 전자상거래 보안 제품은 인증기관에 의해 보장되는 것과 함께 시범 서비스를 시도하면서 상용 서비스에 대비하고 있다.

안전한 전자지불 시스템으로는 유로페이, 비자, 마스타 등 신용카드사가 구축한 SET프로토콜이 대표적인 경우며 프랑스에서는 신용카드, 칩카드를 포괄한 C-SET프로토콜을 독자적으로 개발하고 있다. 또한 기존의 소액전자화폐, 신용카드, 전자수표 시스템 등을 통합한 결합전자지불이니셔티브(JEPI)를 구축하겠다는 시도도 이뤄지고 있으나 아직 구체적인 모습은 드러나지 않았다.

미국 NSA(National Security Agency)는 국방망의 기밀정보을 보호할 목적으로 비밀리에 개발한 「스킵잭(SKIPJACK)」 이라는 블록암호알고리즘과 키교환 알고리즘을 지난 6월23일 공개했다. 스킵잭은 80비트의 키길이를 갖는 블록암호알고리듬으로 지금까지 알고리듬의 내부 동작이 공개되지 않았다. 특히 이는 미국 국방망에 널리 적용된 블록암호알고리듬이며 스마트카드의 일종인 「포르테자(FORTEZZA)」 카드에 내장, 사용돼 왔다. FORTEZZA카드는 미 국방부의 다계층정보시스템 보안이니셔티브(MISSI)에서 국방메일시스템과 여러 보안 응용을 위해 사용된 스마트카드의 일종으로 기능과 속도에서 기존 상용 스마트카드를 능가한다. 이는 미 국방부가 암호알고리듬을 공개해 민간 보안제품에 응용할 수 있게 한 최초의 시도로서, 민간 기업은 앞으로 FOTEZZA 카드에 기반을 둔 보안제품과 관련 소프트웨어의 개발이 가능할 것으로 예측하고 있다.

스마트카드는 암호알고리듬을 내장, 신용카드, 전자지갑, 교통, 의료, 이동통신 분야 등 다양한 분야에 응용될 수 있는 지능형 카드다. 현재 접촉식 스마트카드 표준이 국제표준화기구(ISO)에서 개발되고 있는 것은 물론 민간분야에서도 EC에 적용가능하도록 업계 표준을 제정하고 있으며 이를 채택한 스마트카드가 상용화되고 있다. 데이터리퀘스트 조사에 의하면 스마트카드는 2000년에 10억 달러의 시장규모가 형성되는데 그 중 유럽이 50%, 아시아가 30%, 그리고 미주지역이 20%의 시장을 각각 점유할 것으로 예측된다.

앞으로 EC 등의 결제수단에는 스마트카드를 활용한 하드웨어 토큰이 응용될 것으로 예측된다. 실제로 지금도 스마트카드의 저장기능과 연산능력을 한층 향상시키고, 주요 보안 알고리듬을 카드에 내장한 「스마트토큰」 기술이 PC카드나 3.5인치 디스켓 크기로 구현되고 있다.

스마트토큰은 기능이 대폭 향상된 스마트카드라고 볼 수 있다. 스마트토큰과 PC의 정보 교환은 기존 노트북 PC에서 많이 활용되고 있는 PCMCIA 인터페이스를 통해 이뤄지며 동작가능한 환경도 윈도95와 윈도NT 등 다양한 운용체계를 지원하고 있다.

스마트토큰이 내장하고 있는 보안 알고리즘은 공개키 방식인 RSA 알고리듬, SHA 해쉬 알고리듬, DSA 서명 알고리듬, 56비트 DES 알고리듬, 128비트 IDEA 알고리듬이 있다.

스마트토큰의 주요 응용분야는 전자서명을 위한 물리적인 키 보관, 웹 상의 안전한 EC 구현을 위한 하드웨어 토큰, 비밀키의 안전한 보관 등 대부분의 정보보호시스템에 이용될 수 있다. 현재 이같은 스마트토큰 기술을 보유한 회사는 내셔날반도체(NS)를 비롯한 몇개사가 있다.

한편 미국 크립토그래피리서치사는 최근 스마트카드 해킹기술인 「차분전력분석(DPA:Differential Power Analysis)」 기법을 발표했다. 이는 스마트카드와 보안 하드웨어에 대한 암호 해독 기법으로 스마트카드 동작시에 발생하는 전력 신호를 분석, 비밀키나 사용자 정보인 PIN을 유출할 수 있는 기술이다. 이 방식은 동작중인 스마트카드에만 적용될 수 있는 방식으로 현재 대부분의 스마트카드는 차분전력분석 기법에 안전하지 않은 것으로 알려져 있다.

그러나 이 공격은 스마트카드의 동작시에 스마트카드 소지자가 접근을 묵시적으로 동의해야만 가능하다는 한계가 있다. 현재는 차분공격분석을 피할 수 있는 스마트카드나 보안토큰의 개발이 진행중에 있으며 수개월 이내에 가시적인 성과가 나올 것으로 예상된다. 국내에서도 이러한 공격방법에 대처할 수 있는 스마트카드 응용기술의 개발이 요구되는 것은 물론이다.

EC 시장의 성장 잠재력과 다양한 응용 분야에서의 보안기능 요구에 부응해 국내에서도 충분한 대비책을 가져야 한다. 첫째, 국내 보안관련 업체는 보안의 제반분야 중 특정분야를 선정해 전문성 있는 제품개발에 주력, 선진국과 비교해 제품 경쟁력을 갖춰야 한다. 이를 위해 정보보안 분야에서 현재의 시장성만 감안할 게 아니라 최소 10년 이상을 내다보는 장기적인 관점이 필요하다.

둘째, 민간업체들이 주도하고 정부차원에서 지원하는 컨소시엄을 구성, 공동 프로젝트 형태로 보안시스템을 개발할 필요가 있다. 특히, EC 분야는 기존 정보기술과 함께 거의 모든 보안 응용제품을 필요로 하므로 업계 공동 협력연구는 더욱 중요하다. 미국의 경우 전자수표 시스템을 IBM, 선마이크로시스템 등의 개발업체와 보스턴 은행을 비롯한 여러 은행들이 컨소시엄을 구성, 개발하고 있다. 국내에서도 개별적으로 관련 사업에 참여할 게 아니라 금융권과 업체들이 컨소시엄을 구성하고 각자의 역할을 분명히 할때 보안제품의 성능은 물론 경제성도 지닐 수 있을 것이다.

셋째, 국내 독자적인 정보보호 기술을 확보, 앞으로 예상되는 선진국의 시장개방요구에 적극 대응해야 한다. 단순히 외국 기술을 그대로 들여와서 시스템을 개발할 것이 아니라 원천 기술을 대학 및 학회가 공동 개발하고 응용기술은 민간업체가 개발하는 산학연 활성화가 요구된다. 이를 위해 정통부는 보안산업 발전정책을 명확히 밝히고 또 기관간 분쟁발생시 조정 기능을 체계적으로 수립해야 한다. 특히 연구기관이나 업체가 기반 기술 분야를, 정보보호센터가 보안정책 수립 및 국가적 차원의 표준화 사업을 주도해야 한다. 그런 의미에서 지난해 발표된 정통부의 정보보호 산업 발전 방안은 매우 적기였다는 생각이다.

넷째, EC 등에 이용되는 하드웨어 토큰 기술의 확보가 필요하다. 특히 스마트카드 기술은 EC나 보안 시스템에서 핵심적인 기능을 수행할 것으로 예상되므로 관련 업계의 기술력 확보가 절실히 요구된다. 그리고 스마트카드 하드웨어 기술의 확보는 이를 이용한 칩운용체계(COS) 등의 소프트웨어 분야도 동시에 발전시킬 수 있는 계기가 되므로 매우 중요하다. 이처럼 스마드카드 관련 기술의 확보는 국내 보안 기술의 수준을 한층 높이는 계기가 될 것이다. 이를 위해서는 스마트카드와 관련한 국가적 차원의 프로젝트를 예산 문제로 소홀히 다룰 게 아니라 역점을 두고 추진할 필요가 있다.

다섯째, 보안은 EC라는 큰 시장에 근간을 두고 있고 이제 막 시장이 형성되고 있는 분야이므로 긴 안목을 갖고 지속적인 연구 개발을 진행해야 한다. 특히 보안제품의 개발 지원은 국가적 차원의 정보자원 보호의 측면에서 중시돼야 한다. 미국의 경우 「국가정보구조(NII)」라는 전략아래 각급 정부기관에서 보안 관련 표준화를 진행중이며 국가표준의 암호화알고리듬 개발도 추진하고 있다.

여섯째, 보안제품 도입시 가장 문제가 되는 것은 보안제품이 지닌 양면성이다. 즉 정보보호 시스템이 갖는 개인정보 보호의 기능이 범죄나 국가안보 위협요소로 활용될 수 있다는 것이다. 따라서 보안정책은 정보보호와 공공이익이라는 두가지 긴장관계를 충분히 고려한 후 가장 합리적인 방향으로 추진돼야만 한다.

이를 위해 제한 조치하에서 암호키를 믿을 수 있는 여러 기관에 예치하는 「키 에스크로우」정책의 도입도 고려할 만하다. 이를 통해 사용자 부주의로 인한 암호키의 망실로부터 개인 정보 보호를 위한 키 복구 시스템의 도입도 자연스럽게 이뤄질 수 있을 것이다.

우리는 현재 국가 정보력이 국력을 좌우하는 시대를 맞고 있으며 미래 정보사회를 대비, 정보경쟁력을 갖춰 나가야 하는 소명을 안고 있다. 바로 이 시점에서 정보보호 기술, 산업의 중요성이 절체절명의 과제로 나서는 것이다.

비록 IMF라는 경제적 위기를 맞고 있는 지금이지만 정보가 곧 경제적 자원이 되는 미래 사회에서 「정보IMF」만은 피할 수 있도록 정부, 업계, 학계가 정보보호 산업 육성에 적극 나서야 할 시점이다.

<한국통신정보보호학회 김재공 부회장>