기업체들은 원거리 접속에 대한 보안 강화를 위해 공개키 인증을 사용할 수 있다. 유닉스시큐어셸(SSH:Unix Secure Shell)을 포함한 인증방법은 사용될 때마다 독특한 인증정보를 산출함으로써 네트워크 탐색과 회신에 대한 공격의 위험성에 대처한다. 하지만 핀(PIN)으로 보호된 스마트 토큰이 없이 시행하는 공개키 인증은 강력한 인증을 제공하지 못한다. PIN으로 보호된 스마트 토큰으로 하는 공개키의 인증은 사용자로 가장한 침입자의 침투 위험을 줄이기 위한 강력한 이중 인증이 필요할 때 사용할 수 있다.
이중 인증을 필요로 하는 사람들은 기업의 시스템, 네트워크 및 보안관리자, 기업의 인력자원, 건강 또는 금융정보와 같이 민감한 정보를 취급하는 담당자, 온라인뱅킹과 같이 금융서비스에 접속하는 고객 등이라 할 수 있다.
스마트 토큰은 공개키 인증을 강화하는 외에 몇 가지 다른 용도로 유용하게 사용할 수 있다. 우선 스마트 토큰은 ‘패스워드 금고’로 사용할 수 있다. 대부분의 대기업이나 기관은 사용자가 로그인 해야 할 여러 종류의 시스템이 많이 있다. 이런 상황에 적절히 대처할 만한 사용자 인증방법이 없을 뿐 아니라 많은 각기 다른 ID와 패스워드가 필요하게 된다. 여기에 적합한 소프트웨어만 있으면 스마트 토큰이 이들 ID와 패스워드를 안전하게 저장할 수 있다. 게다가 이동이 가능하고 PC 외부 저장에 대한 추가적인 보안이 가능하다. 또 스마트 토큰은 공개키 암호에 기반한 다양한 보안 응용 프로그램을 지원한다.
또한 스마트 토큰, 특히 스마트 카드는 사무실이나 방, 시설, 데이터센터, 서버룸 등과 같은 시설물에 대한 접근확인에 사용할 수 있다. 표준 스마트 카드는 판독기에 삽입, 처리된 다음 뽑아내는 데 시간이 많이 걸리지만 비접촉 스마트 카드는 이러한 경우에 매우 효율적이다. 복합카드는 시설물과 정보시스템에 모두 사용할 수 있을 것이며 기업 직원의 ID카드로도 사용할 수 있을 것이다.
공개키와 스마트 토큰에는 몇 가지 유리한 점과 위험성이 있다. 먼저 공개키 인증은 외부 침입자를 막을 수 있다. 기존의 인증 토큰에서 만들어낸 1회용 패스워드(OTP:One-Time Password)와 마찬가지로 공개키 인증시에 교환되는 인증정보는 독특하고 예측이 불가능하다. 따라서 공개키 인증방법은 어느 공개된 공공 네트워크에서도 사용자 인증에 사용할 수 있다.
스마트 카드나 USB 키에는 공개키기반구조(PKI:Public Key Infrastructure) 인증서를 안전하게 저장할 수 있다. 또 이들은 외부에 정보를 노출시키지 않고 안전하게 정보를 처리할 수 있는 장소다. 이들은 전자적이나 기계적 또는 화학적 간섭을 막아주고 카드에 저장된 데이터를 암호화하며 PIN에 의한 이중 인증 등을 통해 정보의 안전성을 확보해 준다.
신용카드, 현금차감 카드, 고객우대 카드 등 각종 카드가 널리 사용되고 있어 스마트 카드도 매우 눈에 익은 형태의 카드가 돼 사용자들이 쉽게 수용할 수 있다. USB도 이와 비슷하게 유리하다. 또 스마트 카드는 기업체 직원 신분증에 채용, 여러 가지 목적에 사용하게 함으로써 정보보안에 도움을 준다. 뿐만 아니라 스마트 토큰은 사회공학적 공격을 방지할 수 있다. 일반적으로 사람들은 남을 도와주려는 마음을 갖고 있는데 정보시스템 침입자들은 이러한 심성을 악용하는 경우가 있다. 하지만 사용자들은 스마트 토큰이나 PIN을 요구하는 사람을 믿지 않을 것이므로 이러한 형태의 침입시도는 성공하지 못할 것이다.
반면 여기에는 키 관리 및 증명절차의 취약성, 스마트 토큰 없는 공용키 인증의 취약성, 사용자 부주의, PKI 호환성 등의 여러 가지 문제가 있다.
공개키 인증은 부분적으로 사용자의 신분과 관련이 있는 공개키에 의존하게 되는데 PKI가 없으면 사용자의 공개키를 보관하고 있는 서버파일을 철저하게 관리하고 보호해야 한다. PKI 환경에서는 이런 관련 사항들은 공개키 증명과정에서 처리되는데 인증기관이 처리해야 신뢰할 수 있다.
공개키 인증에서 또 하나의 강점은 개인키를 사용자가 갖고 있다는 것인데 개인키가 사용자의 PC에 있을 때는 안심할 수 없다. 또 사용자가 스마트 토큰을 워크스테이션에 남겨 놓는다든지 분실하는 등의 부주의로 외부에 노출될 가능성이 있다. 만일 사용자가 스마트 카드를 판독기에 남겨두거나 USB키를 포트에 그대로 두고 책상을 떠나면 그 사무실에 있는 다른 사람이 쉽게 동일 사용자로 가장할 수 있다. PIN이 어느 정도의 보호를 할 수 있으나 PIN도 역시 다른 사람이 찾아낼 수 있다. 기업의 직원이 스마트 토큰을 분실했을 경우 기업은 임시 토큰을 발급하든가 그 사용자로 하여금 대체 인증방식을 사용할 수 있도록 허용해야 한다.
또 스마트 토큰은 논리적이거나 물리적 또는 트로이 목마 방식의 공격에 약하다. 보안 응용 프로그램에 스마트 토큰을 사용하는 기업체는 스마트 토큰 및 응용 프로그램 공급업체가 이들 제품에 적절한 논리적 또는 구조적 대응조치를 취했는지를 확인해야 한다. 그러나 이런 대응조치는 스마트 토큰의 편리성을 약화시킬 가능성이 있다. 강력한 공개키 인증을 시행하려면 사용자의 신원을 그의 공개키와 묶어주는 공개키 증명이 있어야 한다. 따라서 공개키 인증을 사용하려고 하는 기업은 PKI를 설치해야 한다. 하지만 PKI는 구조가 복잡하고 가격이 비싸 설치에 제한을 받는다. 또 여러 공급업체 제품 사이의 호환성이 없고 기존 플랫폼이나 응용 프로그램과 통합이 불완전하다는 문제도 있다. 그뿐 아니라 증명 기반 공개키 인증이 윈도2000이나 IBM의 z/OS 등을 비롯한 상용화된 OS에서는 지원되지만 모든 OS에서 지원되는 것은 아니다. 모든 OS에서 지원되려면 적합한 인증 미들웨어나 각기 다른 플랫폼 사이에 커버로스(Kerberos) 응용 프로그램을 설치해야 한다.
◆표준 기술
공개키 인증 관련 표준기술에는 국제표준, 미국표준, 인터넷 엔지니어링 태스크포스(IETF) 표준, ISO 표준과 업계 표준 등이 있다.
◇국제표준=ISO/IEC(International Electrotechnical Commission:국제전자기술위원회) 9798과 ISO/IEC 9798-3:1998이 있다. ISO/IEC9798은 정보기술, 보안기술 및 실체 인증을 규정한 것이고 ISO/IEC9798-3는 디지털 서명기술을 사용하는 체계를 정한 것이다.
◇미국표준=ANSI(American National Standards Institute:미국국립표준원) X9.30, -X9.30.1-1997, -X9.30.2-1997, -X9.30.3, ANSI X9.31, ANSI X9.45, FIPS(Federal Information Processing Standards:미국연방정보처리표준) PUB(Publication) 186, FIPS PUB 190, FIPS PUB 196 등이 있다. 이 중 ANSI X9.30은 금융서비스산업을 위한 공개키 암호화에 관한 표준이며 -X9.30.1-1997은 디지털서명알고리듬(DSA) 관련 표준이고 -X9.30.2-1997과 -X9.30.3은 각각 시큐어해시알고리듬(Secure Hash Algorithm:SHA-1)과 DSA를 위한 증명관리에 관한 표준이다. 또 ANSI X9.31은 금융서비스산업을 위한 취소 가능 공개키 암호를 사용한 디지털 서명의 표준을 규정한 반면 ANSI X9.45는 디지털 서명과 특성 증명을 사용한 향상된 관리 제어에 관한 표준을 정한 것이다. 한편 FIPS PUB 186, 190, 196은 각각 디지털 서명 표준, 최신 인증 대체기술의 사용지침, 공용키 암호를 사용한 실체 인증의 표준을 정한 것이다.
◇IETF 표준=시큐어셸인터넷(Secure Shell Internet:www.ietf.org/html.charters/secsh-charter.html)으로서 아직 정식 표준으로 채택되지 않고 검토안 상태에 있다. 시큐어셸워킹그룹은 현재 SSH 프로토콜이 강력하고 효과적인 보안기능을 제공할 수 있도록 성능을 향상하고 표준화하는데 노력을 기울이고 있다.
◇ISO는 여러 산업분야가 사용할 수 있는 스마트 카드 표준을 제정했고 이를 바탕으로 산업계는 분야별로 각기 관련업계에 적합하면서도 호환성이 있는 스마트 카드 응용제품을 지원할 수 있는 기술을 개발하고 있다. 접촉성 스마트 카드의 기본 표준은 ISO 7816 시리즈이고 비접촉성 스마트 카드 표준은 ISO14443이다. 이들 표준은 ID카드 표준에 근거한 것으로서 물리적, 전기적 및 기계적 특성과 응용 프로그램 인터페이스(API:Application Programming Interface)를 구체적으로 규정하고 있다.
◇업계 주요 표준사양에는 PC/SC(Personal Computer/Smart Card) 스페시피케이션(Specification) 1.0과 PKCS(Public Key Cryptography Standards) 시리즈가 있다. 지난 97년에 제정된 PC/SC 스페시피케이션 1.0 사양은 플랫폼에 상관없이 모든 OS에서 사용할 수 있다. 현재 PC/SC 워크그룹 기술위원회가 PC/SC 스페시피케이션 1.0의 성능을 향상시키는 2.0을 개발중에 있다. PKCS 사양은 RSA연구소가 각국 관련기관과 협조, 지난 91년 제정한 것으로 ANSI X9, PKI(Public Key Infrastructure) X.509, SET(Secure Electronic Transaction), S/MIME(Secure Multipurpose Internet Messaging Extensions), SSL(Secure Sockets Layer) 등 여러 가지 업계 표준의 기초가 되고 있다. 이 중 PKCS#11은 API, 암호 토큰 인터페이스, 암호화된 정보를 갖고 암호 기능을 수행하는 장치 등의 사양을 규정하는 사양이고 PKCS#15는 암호 토큰 정보포맷을 규정하는 사양이다.
관련 통계자료 다운로드 공개키 인증 관련 ISO 표준