에이티솔루션즈, “공인인증서보다 편한 모바일 보안 솔루션 노린다”

가 +
가 -

스마트폰이 잘 알려져서 사용하게 된 건 2008년 스티브잡스가 청바지 주머니에서 아이폰을 꺼내면서다. 손바닥 크기만한 이 작은 기기는 그 때부터 우리 생활을 바꿔나갔다. 카메라, 녹음기, MP3, 메모장 등 각각 존재한 물품이 스마트폰 하나에 녹아들었다. 영화도 보고, 음악도 듣고, 길도 찾고, 이메일도 보내고, 인터넷 쇼핑도 스마트폰 하나로 해결할 수 있게 됐다.

스마트폰 다음에 태블릿PC가 등장하면서 모바일 기기 시장은 꽃피기 시작했다. 더 많은 일을 PC가 아닌 모바일 기기에서 할 수 있게 됐다. 동시에 불안감도 커졌다. PC만큼이나 자주 사용하는 이 기기를 안전하게 쓸 수 있는 방법을 두고 여러 보안 솔루션이 등장했다.

“특히 핀테크 앱이 보편화되면서, 스마트폰 기반의 금융 서비스가 늘어나면서 거래 안정성도 높이고, 본인인증도 지원하는 모바일 보안 솔루션에 대한 관심이 높아졌습니다.”

1999년 설립돼 국내에서 최초로 증권사 모바일트레이딩시스템(MTS)을 구축하고, 여기서 얻은 기술력을 바탕으로 스마트 인증과 보안 솔루션을 개발한 에이티솔루션즈 김종서 대표 얘기다.

에이티솔루션즈는 피처폰 시절부터 네이트 증권 대기화면 16개 증권사와 제휴를 맺어 모바일 금융 솔루션을 제공하고, KB 뱅크온 시스템을 구축했다. 스마트폰 등장 이후엔 신한은행, NH농협은행, KDB산업은행, BNK부산은행 스마트OTP 서비스 지원을 시작으로 간편인증 서비스 시장에 발을 디뎠다.

금융권, 공인인증서보다 더 편한 보안 솔루션 찾아

국내 대부분의 금융권은 안전한 모바일 뱅킹 환경 지원을 위해 유심(USIM), 트러스트존(Trustzone) 등 하드웨어 기반의 보안 매체와 SW SE, 키스토어, 키체인 등을 활용하고 있다. 특히 유심이나 트러스트존은 암호화 키 뿐만 아니라 암호화 알고리즘까지 보호할 수 있기 때문에 보안 안정성이 높다. KB국민은행이 공인인증서나 OTP 없이 이체, 신규 계좌 개설 지원할 때 사용하는 ‘KB든든간편인증’이 대표적이다.

“공인인증서가 왜 그렇게 복잡해졌을까요. 왜 공인인증서는 1년마다 갱신해서 사용해야 할까요. 안전하지 않은 곳에, 유출될 수 있는 영역에 정보가 저장되어 있기 때문에 1년마다 갱신을 다시 하라고 하고, 비밀번호 암호 등을 변경하라고 합니다. 금융권이 더 좋은 보안 기술, 더 편한 인증 방법에 자꾸 관심을 보이는 이유이기도 하지요.”

운영체제 환경에서 기본 제공하는 키스토어나 키체인 등은 보안 스토리지로 분류된다. 그러기에 암호화 알고리즘을 보호하는데 한계가 있다. 암호화 과정에서 암호화 키가 노출되면 바로 해킹으로 이어진다. 하드웨어 기반의 보안매체는 기기 제조사별, OS별로 파편화 문제가 존재한다. 보안성은 우수하지만 별도의 에이전트가 필요한 것도 단점으로 작용한다. 에이티솔루션즈가 소프트웨어 기반의 모바일 보안 매체 개발에 집중하는 이유다.

“SW SE(Secure Element) 기반의 모바일 보안 인증은 데이터 자체를 안전한 영역에 저장하고, 거기서 잔자서명된 결과값만 일회용 번호(OTP)등으로 전달됩니다. 혹여 해킹이 되더라도, 일회용 번호만 해킹되지요. 애초에 암호화 키가 노출되는 것과는 차이가 있습니다. 그래서 저희는 모바일 보안과 인증 시장이 SW SE로 움직일거라고 봅니다.”

그러나 SW SE 기반으로 보안 솔루션을 개발하긴 쉽지 않다. 김종서 대표 설명에 따르면, 불과 몇 년전에만 해도 삼성, LG, 애플 등 주요 스마트폰과 주요 OS 버전에만 대응하면 문제 없었다. 그러나 최근에는 다양한 외산 스마트폰과 OS 버전에 대한 대응 문제가 존재한다. 고객 스마트폰 실행 환경에 맞춰, 다양한 환경을 지원하는게 변수로 떠올랐다.

애플리케이션 보안 공격도 문제다. 다양한 레이어에서 모바일 앱 공격이 이뤄진다. 에이티솔루션즈는 보안 솔루션을 개발할 때 애초에 고객 모바일 기기에 악성 앱이 설치되어 작동되고 있다고 가정하고 솔루션을 실행 시나리오를 구성했다.

그 외에도 유심과 트러스트존 등 하드웨어 기반 SE와 소프트웨어 기반 SE를 병행했다. 갤럭시 노트7, G5, V10 등 모바일 기기는 출시 초기에 트러스트존에 대한 암호화 키를 주입, 등록 등 문제점을 발견해 지원 단말도 검증한다. 퀄컴 AP 상용화 검증 단계에서 메모리 부문 보안의 결함을 밝히고 관련 버그 리포트를 제공하는 등 기기 제조사와 파트너십을 구축했다.

이동통신사 3사 합작 본인확인 서비스 PASS, 서비스 확장할 것

“보안 인증 수단으로 SE를 잡으려고 전세계가 난리입니다. 퀄컴, 젬알토 등 저마다 조인트 벤처를 만들어서 활약 중이지요. 저흰 자체 보안 알고리즘에 대한 욕심보다는 OTP와 PKI를 이용해 SE 솔루션을 개발하고, 기기 제조사와의 파트너십을 통해 안전한 모바일 솔루션을 빠르게 개발할 수 있도록 연구하고 있습니다.”

에이티솔루션즈는 SK텔레콤, KT, LG유플러스가 서로 합작해 운영하는 본인확인 서비스 PASS(패스)의 공동 사업 파트너이기도 하다. 현재 패스가 제공하는 본인확인 기능은 2019년 1월 안에 로그인, 인증서 서비스까지 확대될 계획이다. 아이디와 비밀번호를 기억하지 못해도, 패스를 이용하면 휴대폰 번호로 안전하게

패스는 공인인증서와 다르게 모바일 앱에서 모든 인증 프로세스가 진행된다. 인증서를 등록하거나 PC에서 공인인증서 내보내기 등을 하지 않아도 된다. SE 상에 인증서를 저장하기 때문에 인증서가 유출되거나 노출된 확률도 적다. 1년마다 갱신해야 하는 공인인증서와 다르게 유효 기간이 3년이다. 김종서 대표는 내심 패스가 공인인증서도 대체할 수 있을 것으로 기대하는 눈치다.

“향후 비대면 계좌 개설과 같이, 비대면 인증 서비스 플랫폼으로 확대를 준비하고 있습니다. 금융상품을 온라인에서 쉽게 인증하고 가입할 수 있게 됩니다. 주로 사용하는 은행이나 보험 서비스를 이용할 때마다 별개로 보안 인증을 거칠 필요 없이 패스 하나면 충분하게끔 생태계를 만들어 나갈 계획입니다.

네티즌의견(총 0개)