’05년 외환은행사건, 키보드보안 제품의 체계적 보안정책 수립계기

<순서>

1. “경쟁사간 출혈경쟁이 매출규모 악영향 초래”

2. [인터뷰] 특허분쟁의 중심, 테커스 남충희 대표

3. 키보드보안 특허분쟁의 의미...지적재산권, 왜 중요한가!

지난 2003년 테커스 키보드보안 특허와 관련해 처음으로 특허권 무효소송이 제기돼 지금까지 특허분쟁이 야기되고 있는 가운데 보압업계에도 지난 7월 초 테커스의 특허분쟁과 관련한 어려움이 전해지면서 이슈가 된 바 있다. 하지만 7일 발생한 DDoS대란은 여타 이러한 이슈들을 잠식시키기에 충분할 만큼 큰 파급효과를 낳았다. 하지만 테커스 및 잉카인터넷, 킹스정보통신, 소프트캠프 등 업체 간 특허분쟁은 최종 대법원 판결을 통해 테커스 측이 승소를 했음에도 불구하고 여전히 분란이 야기되고 있다. 이에 이번 키보드보안 기획기사를 통해 키보드보안 시장의 기술 및 보안상황 변화를 살펴보는 한편 이번 키보드보안 특허분쟁이 보안업계에 주는 의미를 살펴보도록 한다.

키보드보안은 개인정보 입력의 최초 수단인 키보드 단계에서부터 서비스 전 구간에 걸쳐 시행되는 보안을 말한다. 특히 키보드 해킹방지 프로그램은 입력정보 해킹을 막는 가장 기본적인 프로그램으로 품질에 대한 검증이 필요하며 현재 국내 모든 금융 사이트들은 의무적으로 이 키보드 해킹방지 프로그램을 설치하고 있다.

하지만 지난 1999년 보안강화 정책으로 인터넷뱅킹에 공인인증서가 도입되고 고객에게 백신과 방화벽을 제공하였으나 키보드 해킹에 대한 보안은 전무한 상태였다. 그런 상황에서 이듬해인 2000년 11월 경, 국내에서는 처음으로 세이프텍에서 하드웨어 방식의 보안키보드 제품인 ‘Keys’를 출시했으나, 가격과 배포의 문제로 상용화에 실패했다. 그리고 다음해인 2001년에 테커스에서 소프트웨어 방식의 키보드보안 기술을 발명해 특허출원을 했다.

그리고 2002년 테커스와 소프트캠프에서 거의 동시에 제품이 출시돼 상용화되면서 키보드보안의 효과를 확인한 금융권(2003년 소프트캠프에서 조흥은행)을 시작으로 키보드보안 프로그램은 급속히 설치되기 시작했다. 그런 점에서 국내 키보드보안 프로그램이 일반화된 시점을 2002년으로 본다는 것이 업계의 중론이다.

그렇게 2003년부터는 테커스와 소프트캠프, 킹스정보통신 3개 경쟁사 간 치열한 크로스해킹으로 키보드보안 제품의 보안도와 안정성을 빠르게 확보해가는 시기였다.

특히 2005년에는 외환은행을 제외한 모든 제1금융권에 자발적으로 키보드보안을 도입했으며, 많은 증권사에서도 도입을 시작하다 유일하게 키보드보안 서비스를 제공하지 않았던 외환은행에서 키보드해킹으로 불법인출 사건이 발생해 키보드보안이 관심을 받으며 많은 변화가 생기게 됐다.

우선 2005년 외환은행 해킹 사건으로 인해 당시 정보통신부, 산업자원부, 금융감독위원회, 금융감독원, 한국정보보호진흥원(KISA) 등 전자거래 관련 유관 부처들이 공동으로 만든 전담반(TFT)의 전자금융거래보안종합대책 수립되면서 키보드보안은 제도권의 감독을 받게 됐다. 현재는 국정원(국가보안기술연구소), 금융감독원(금융보안연구원)의 감독을 받고 있다. 이로써 키보드보안 제품이 보안정책 전문가들의 참여(감독기관)로 체계적인 보안 정책을 따르게 된 것이다.

2005년 9월 당시 금융감독원이 발표한 ‘전자금융거래 보안 종합대책’을 살펴보면, 당시 PC용 보안프로그램의 현재 문제점으로 키보드 보안제품의 경우 ▲Port, Interrupt Service Routine(ISR) 등 물리적 수준의 보안 위협 ▲키보드 입력 값의 암호화에 대한 해독 가능성 ▲응용 프로그램, 웹 브라우저 환경에서의 입력 값 보호를 위한 PKI 프로그램과의 연동 부족 등을 지적한 바 있다.

특히 금감원은 키보드보안 제품과 응용 프로그램 보안(PKI) 제품 간 보호 영역이 중첩되지 않아 취약점이 발생할 수 있다는 우려와 함께 보안 솔루션 업체간 특허 공유 체계 미비로 보안 기능상의 제한과 법적분쟁이 발생할 가능성이 있다고 문제를 제기하는 한편 분쟁조정에 나섰지만 이후 키보드보안 특허분쟁은 최근까지 이어졌다.

이렇듯 제 1,2금융권의 키보드보안 도입이 법제화 되면서 증권, 카드, 보험 등의 금융사의 도입이 가속돼 더욱 시장 경쟁이 치열해졌다. 많은 보안전문가로부터 키보드 보안에 대한 기대와 문제점을 집중 조명 받게 되어 전문가들의 취약점 보고와 기관의 감독으로 대부분의 취약점을 극복해 현재의 상당한 수준의 보안도를 가지게 된 것이다.

이에 키보드보안업체 한 관계자는 “현재 보고된 모든 키보드보안의 취약점에 대해 대안을 가지고 있는 것으로 알고 있으며, 각 개발사들은 도입을 서두르고 있는 것으로 알고 있다”며 “공인인증서와 키보드보안 간 협조는 기관의 감독으로 비교적 잘 이루어졌지만 더 나은 서비스를 위해 계속 노력해야 할 것이라 여긴다. 이를 위해서는 키보드보안 솔루션도 다른 보안제품과 마찬가지로 지속적인 개발을 통해 더욱 안전하게 서비스를 제공해야 할 것”이라고 말했다.

또한 그는 “당시 키보드보안업체들은 기술개발에 힘을 쏟은 것이 아니라 경쟁사간 시장선점에 골몰하다 보니 결국 출혈경쟁으로 시장(수요처)은 과거에 비해 무척이나 커졌지만 시장규모 즉 매출 측면에서는 더욱 줄어들었다”며 “현재 출혈경쟁으로 인한 매출측면의 시장규모는 무척이나 열악한 상황이 현주소인 것 같아 안타깝다”고 지적했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>