미 국립표준기술연구소(NIST)가 개인ID인증 카드(PIV card)를 각 시민단체의 접근통제시스템에 적용하기 위한 가이드라인(SP800-116)을 발표했다고 최근 한국정보보호진흥원이 정보보호 동향 자료를 통해 밝혔다.

개인ID인증 카드(Personal Identity Verification Card, PIV card)는 미 정부가 연방정부의 보안을 강화하기 위해 국토안보 대통령 지침 12호(HSPD-12)에 의해 도입한 것으로써, 카드홀더의 사진, 지문, 인증서, 암호화 키 등 다양한 개인 식별정보를 담고 있다.

허나 국토보안 대통령 지침 12호에 의해 사용되는 개인ID인증 카드엔 몇몇 취약점들이 있다.

▲가용성 문제(몇몇 접근제어시스템은 카드번호 길이에 대한 버퍼 오버플로우를 발생시킴) ▲보안성 문제(대부분의 접근제어시스템은 단순한 암호기법을 사용) ▲유효성 문제(PIV 카드의 만기 및 폐기관리가 미흡) ▲효율성 문제(카드마다 적용된 개인식별정보가 상이해 호환문제 발생) 등등이 바로 그것이다.

이에 미 국립표준기술연구소는 이상의 취약성을 해결할 수 있는 방법과 함께 이 카드를 각 단체의 보안 요구사항에 맞게 사용하는 지침도 추가로 제공했다고 한국정보보호진흥원은 덧붙였다.

[최한성 기자(boan1@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>