중요한 정보를 주고 받는 모바일 앱과 기업이 운영 중인 서버 사이에는 일반적으로 암호화 기술이 쓰인다.
복잡한 과정을 단순하게 말하면 여러 기기에서 암호화키로 암호화한 중요 정보를 보내고 이를 받은 서버는 암호화키를 이용해 정보를 복호화해 의미를 확인한다.
문제는 이런 '블랙박스 암호' 방식은 이미 여러 공격자들에게 손쉽게 노출되고 있다는 점이다. 마치 블랙박스처럼 내부에 뭐가 들었는지 외부에서 확인하지 못할 것이라는 가정에서 출발한 이 보안 방식은 더이상 안전함을 보장하기 힘들게 됐다.
이를 보완하기 위해 등장한 것이 '화이트박스 암호' 방식이다. 블랙박스와 반대로 공격자가 어떤 식으로든 내부에서 암호화키를 알아낼 수 있다는 가정에서 보안대책을 마련한다.
카카오뱅크는 화이트박스 암호의 원조격인 글로벌 보안회사 화이트크립션의 '시큐어 키 박스'라는 솔루션을 활용하고 있다고 밝혔다.
2008년 DRM 기술로 유명했던 인터트러스트에 인수합병된 화이트크립션은 금융 등 보안이 중요한 곳에 쓰이는 모바일앱이 서버와 안전하게 통신할 수 있도록 암호화키 자체를 암호화하는 방법을 썼다.
화이트박스 암호 방식을 쓰는 경우 공격자가 암호화키를 훔쳐가더라도 이를 악용하기 힘들게 암호화키 자체를 암호화한다.
24일 인터트러스트 한국지사 강승한 대표와 류영식 기술실장을 만나 더 상세한 얘기를 들을 수 있었다.
강승한 대표는 "화이트박스 암호 솔루션은 보안 부하를 작게 주면서도 강력한 보호장치를 제공한다는 점이 특징"이라고 밝혔다.
류영식 기술실장에 따르면 화이트박스 암호 솔루션을 쓰기 이전에는 프로세스 내 TEE와 같은 하드웨어 기반 영역에 암호화키를 숨겨놓는 방식을 썼다. 이런 방식은 칩셋이 이런 기술을 지원해야한다는 점에서 모바일에 적용할 경우 스마트폰 마다 서로 다른 칩셋에 적용하기는 어려움이 컸다.
이와 달리 시큐어 키 박스의 경우 소프트웨어를 활용하는 만큼 모바일 기기의 기종을 크게 타지 않으면서도 보다 활용도가 크다는 점에서 주목된다.
류 실장은 "이전까지는 암복호화 작업을 실행하는 과정에서 메모리 상에 암호화키가 평문 형태로 노출돼 악용되는 경우가 있었지만 화이트박스는 그런 암호화키도 별도 알고리즘을 활용해 안전하게 관리한다"고 설명했다. 메모리에 로딩된 상태의 암호화키까지도 안전하게 보호할 수 있다는 뜻이다.
카카오뱅크의 경우 모바일뱅킹앱이 은행이 관리하는 뱅킹 전용 서버와 암호화 통신하는 과정에서 오가는 데이터를 보호하는데 활용된다.
현재 카카오뱅크 외에도 네이버 V라이브앱에 더해 지난 5월 일본 도쿄에서 열린 라인-인터트러스트 시큐리티 서밋에서는 모바일메신저 라인에 이러한 기술을 활용한 사례가 소개되기도 했다. 이외에도 샤오미, 글로벌 자동차 회사, 은행, 신용카드사 등에서도 이 기술을 활용하는 중이다.
관련기사
- 카카오뱅크, '화이트크립션' 보안 기술 쓴다2017.10.24
- 에버스핀, 우리은행에 다이내믹 보안 기술 도입2017.10.24
- 에스이웍스, 모바일 앱 보안 솔루션 '앱솔리드' 출시2017.10.24
- 락인컴퍼니, 모바일 앱 보안 솔루션으로 공공시장 공략2017.10.24
화이트박스 암호 방식 역시 100% 안전한 기술이라고 보기는 어렵다.
이에 대해 류 실장은 "주요 화이트해커들로 구성된 단체들로부터 최신 해킹 방법들을 확보해 내부에서 해킹 시도를 해보고 다시 보안 업데이트를 하는 형태로 보완하고 있다"고 설명했다.
