지난해부터 올해까지 발생한 여러 금융보안사고는 더이상 기존에 해왔던 보안방식을 고수하는 것만으로는 치밀하고, 집요하게 이뤄지는 공격을 막아내기 힘들다는 점을 보여준다.
더구나 금융당국이 과거에는 가이드를 주고 일종의 '의무보안'을 지키도록 감시하는데 그쳤다면 이제는 정책변화에 따라 금융사 스스로 알아서 잘 보안해야하는 '자율보안' 시대가 됐다. 그만큼 은행, 증권사, 카드사 등이 보안사고에 대해 짊어져야하는 책임이 늘어났다는 것이다.
23일 금융보안원이 주최한 금융정보보호컨퍼런스(FISCON2015)'에서 발표를 맡은 김기영 플라이하이 실장은 자율보안 시대 금융보안에서 중요한 것은 여러가지 연결고리들을 서로 잘 꿰어 한쪽이 뚫린다고 다른 시스템까지 뚫리지 않게 만드는 것이라고 강조한다.
이제는 방화벽, 백신, 인증서 등 몇몇 보안기술을 개별적으로 적용하는데 그칠 것이 아니라 이들을 조합한 일련의 보안아키텍처를 구성하고, 연결고리를 만들어 한 쪽이 뚫린다고 하더라도 여러 보안요소를 모두 해킹하지 않는 이상 핵심정보에 접근하지 못하게 해야한다는 것이다.
■국내 금융보안, 안전하지 않은 이유
우리나라 금융서비스는 여러가지 보안모듈들이 설치되기는 하지만 여전히 연결고리를 만들지는 못하고 있다는 게 그의 진단이다. 실제로 주요 은행, 카드사 사이트를 점검해 본 결과, 대부분 HTTPS를 통해 사용자와 웹사이트 사이에 암호화 통신을 제공하고는 있지만 SHA1, RC4 등 글로벌 보안환경에서 보안이 취약한 탓에 사용 중단을 권고한 암호화 알고리즘을 쓰고 있다는 것이다. 더구나 공격자가 아니라 실제 사용자, 실제 서버가 맞는지를 확인하는 무결성 검증도 제대로 구현되지 않고 있는 경우가 많다고 덧붙였다.
공인인증서의 경우 일부 은행이 웹브라우저 내에 인증서와 개인키를 저장해 사용하는 방식을 도입했지만 이 역시 인터넷익스플로러 외에 엣지, 크롬, 파이어폭스, 사파리 등 여러 웹브라우저에서 공인인증서를 사용할 수 있다는 점 외에 보안적으로는 이전까지 줄곧 문제로 제기됐던 하드디스크 내 NPKI폴더 내에 인증서, 개인키를 저장하는 방식과 달라진 점이 없다고 밝혔다. 인증서와 개인키를 웹브라우저 내 저장소에서 유출시킨 뒤 다른 PC나 노트북에 복사해서 그대로 사용할 수 있다는 지적이다.
키보드보안프로그램 역시 무결성을 점검할 수 있는 기능을 추가했지만 이를 우회할 수 있는 방법이 있어 키보드 입력 정보를 훔쳐보는 일이 여전히 가능하다고 그는 설명했다.
■보안, 연결고리 만들어야...
김 실장에 따르면 글로벌 보안시장에서 주목하고 있는 패러다임 중 하나가 '트러스티드컴퓨팅베이스(Trusted Computing Base, TCB)'라는 것이다. 위키피디아는 TCB를 하드웨어, 펌웨어, 소프트웨어 등으로 이뤄진 각종 시스템 구성요소들로 이뤄진 안전한 영역으로 정의한다. 이 영역이 해킹될 경우 전체 시스템에 영향을 줄 수 있지만 반대로 제대로 관리한다면 해킹에 성공하더라도 모든 시스템에 접근할 수 있는 권한을 갖지 못하게 막을 수 있다는 것이다.
인텔이 자사 프로세서를 통해 제공하는 '아이덴티티프로텍션테크놀로지(IPT), ', 이와 유사한 방식으로 인증에 필요한 암호화키를 칩 내부의 안전한 영역에 저장하는 기술에 대한 국제표준인 '트러스티드플랫폼모듈(TPM)', 반도체 설계회사인 ARM이 자사 아키텍처 내에서 제공하는 보안영역인 '트러스트존(Trust Zone)', 내부에 암호화 기능을 적용해 인증서와 개인키를 외부로 유출시킬 수 없게 만드는 보안토큰 등이 모두 여기에 해당한다.
김 실장은 TCB를 구성할 수 있는 요소가 반드시 하드웨어 영역만을 의미하는 것은 아니라고 말한다. 컴퓨터시스템에 대해 신뢰할 수 있는 기반이 되는 어떤 것이라도 TCB라는 범주에 포함할 수 있다는 것이다. 이런 점에서 그는 서비스 사업자가 안전하게 운영한다는 전제로 서버 역시 TCB로 볼 수 있다고 설명했다.
■TCB 기반 위에 보안을 확장할 것
중요한 것은 TCB를 기반으로 전체 시스템 혹은 서비스에 필요한 여러 영역으로 보안을 확장해 나가야한다는 것이다. 이 과정에서 중요한 것이 각 보안이 필요한 영역을 서로 연결시켜놔야한다는 점이다. 이전까지 방화벽, 백신 등이 별개 보안모듈로 작동했다면 이와 달리 TCB라는 가장 안전한 영역을 견고하게 유지하면서 이를 바탕으로 여러가지 연결고리(chain of trust)를 만들어나가야 제대로 된 보안을 유지할 수 있다는 것이다.
관련기사
- 모바일뱅킹앱에 삼성 녹스 투입될까?2015.10.24
- 크롬 주소창서 '자물쇠 아이콘' 사라진다2015.10.24
- 웹표준 인터넷뱅킹 보안 부실…개선 필요2015.10.24
- 액티브X 완전히 없앤 인터넷뱅킹 써보니2015.10.24
예를들어 금융서비스에 사용되는 서버가 안전한 프로토콜을 사용해 클라이언트(PC, 노트북, 스마트폰 등)에 연결되는 과정을 생각해 볼 수 있다. 여기서 양쪽이 서로 본래 허가된 사용자, 서버가 맞는지에 대해 상호무결성검증을 하고, OS와 드라이버 등을 확인하며, 이를 기반으로 보안성이 높은 HTTPS 연결을 사용하고 있는지에 대한 검증이 우선이다. 그 뒤에는 웹브라우저, 표준암호인터페이스 등에서 제공하는 기본적인 보안 기능을 활용하는 것으로 TCB에서 부족한 부분을 채워가면 된다는 것이다.
김 실장은 "반드시 최신 보안기술을 써야만하는 것이 아니라 기밀성, 무결성, 가용성이라는 보안 3원칙만 지켜도 공격을 어렵게 할 수 있다"고 강조했다. 또한 "이러한 방법은 돈을 들이지 않고서도 할 수 있는 것들이 많다"며 "가능하면 OS나 제품(PC, 노트북, 스마트폰 등)이 지원하는 방식을 사용하는 것이 공격에 악용할 수 있는 통로를 줄이는 방법"이라고 조언했다.
