차세대 전자지갑으로 주목받고 있는 마이크로소프트 인포카드에도 보안허점이 내제돼 있는 것으로 알려져 화제가 되고 있다.

5일 양재동 서울교육문화회관 거문고홀에서 개최된 제4회 국제 보안/해킹 컨퍼런스 ‘POC 2009(http://www.powerofcommunity.net/)’의 강연자로 나선 중국 해커 Xu Hao는 전자인증 시스템에 대한 내용을 담은 ‘Attacking Certificate-based Authentication System & Microsoft InfoCard’라는 주제에 대해 발표했다.

마이크로소프트의 인포카드는 틀라이언트를 PC에 설치해 인터넷상에서 거래나 인증이 필요할 경우, 아이디나 비밀번호를 이용하지 않고 인증을 수행하도록 해주는 기능을 가지고 있다. 특히 일부의 외국에서는 스마트카드에 담아 금융거래에 이용하고 있다. 즉, 우리나라의 금융거래에서 이용하는 보안토큰과 비슷하다고 볼 수 있다.

이번 발표에서는 마이크로소프트 인포카드를 비롯해 공인인증서 인증 기반 기술에 대한 취약점을 공개했다. 우리나라도 공인인증서 기반 보안토큰을 이용하고 있기 때문에 이와 같은 취약점은 관심의 대상이 될 것으로 보인다.  

Xu Hao는 “전체 메커니즘으로 봤을 때 이런 공인인증서 방식은 패스워드보다는 안전하지만 비용을 고려했을 때, USB키를 위한 하드웨어는 많은 비용이 필요하다”면서 “MS가 최근 출시한 카드 스페이스는 안전한 인증방식을 이용하고 있지만 자체의 보안문제가 있다”고 말했다. 그리고 하드웨어는 제3자 기업이 개발하다보니 보안상의 문제가 나타날 수 있다고 지적했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>