한국정보보호진흥원(KISA)의 구현적합성 평가를 통과한 보안토큰(HSM) 제품이 첫 등장했다.
KISA(원장 황중연)는 19일 피싱 및 해킹 등으로부터 공인인증서를 안전하게 보호할 수 있는 HSM에 대한 구현적합성 평가 결과, 세이프넷(지사장 황동순)의 ‘아이키’와 위노블(대표 이태종)의 ‘e토큰’ 등 2개 제품이 공인인증 서비스에 적합하게 사용할 수 있는 것으로 확인됐다고 밝혔다.
KISA는 9월부터 심사를 진행, 국내 공개키기반구조(PKI) 업체와의 호환성 및 표준 준수 여부를 중점 평가했다. 또 개인 키가 토큰 밖으로 유출될 가능성이 있는지에 대한 보안성 테스트도 함께 진행했다.
HSM이란 내부에 CPU와 메모리 등이 장착돼 외부 위협으로부터 공인인증서를 안전하게 보호할 수 있는 스마트카드나 USB토큰 등의 휴대 가능한 저장장치다.
<뉴스의 눈>
KISA가 HSM 제품에 대해 첫 구현적합성 인증을 냄에 따라 인터넷뱅킹 보안 분야에 HSM이 확산될 수 있는 계기가 마련됐다.
금융감독위원회는 1억원 이상 거래되는 1등급 인터넷뱅킹에서 1회용비밀번호(OTP)나 HSM을 반드시 사용하도록 권장한 바 있다. 금융권에선 OTP통합인증센터 설립 등과 맞물려 OTP 보급이 활발했던 반면 HSM 분야는 확산이 더딘 상황이었다.
하지만 이번에 세이프넷과 위노블 제품이 구현적합성 평가를 통과하고 HSM 제품이 최근 농협에 공급되면서 다른 금융권 기업들의 HSM 도입도 급물살을 탈 전망이다. 농협에 공급된 HSM 제품이 10만개 이상이고 3∼4개 정도의 시중 은행에서 내년 초 도입을 검토 중인 상황이다.
세이프넷코리아 황동순 지사장은 “PKI 인프라가 강력하게 구축되어 있는 한국은 USB 기반의 HSM을 활용한 공인인증서에 대한 보호만으로 안전한 인터넷 금융 거래가 가능한 곳”이라고 말했다.
또 금융기관마다 각기 다른 HSM을 발급받지 않고 하나의 HSM만으로 여러 금융기관을 편리하게 이용할 수 있는 기틀도 놓였다. KISA는 공인인증서 가입자 소프트웨어가 HSM을 인식하도록 하기 위한 프로그램 업그레이드 작업에 착수했다.
이를 위해 공인인증기관 소프트웨어에 대한 심사를 진행 중이며 솔루션 업체에 대한 평가도 조만간 진행, 이르면 내년 초부터 HSM의 호환성을 확보한다는 계획이다.
관련 업계는 OTP가 기존 보안카드를 강화한 보안 수단으로, 또 HSM은 공인인증서를 강화한 보안 수단으로 상호 공존하게 될 것으로 기대했다.
한세희기자@전자신문, hahn@
