금융결제원 전자인증센터는 인터넷 기반 전자금융거래의 안전한 공인인증서 이용환경을 제공하기 위해 가입자 PC에 있는 공인인증서를 휴대폰으로 이동하고 휴대폰 내에서 직접 서명할 수 있는 휴대폰 전자서명 서비스를 구축·제공하고 있다. 이에 이용고객들은 보다 안전한 공인인증서의 이용환경에서 전자금융거래를 할 수 있게 되었다.

금융결제원 전자인증센터는 공인인증기관으로서 약 1,700만장의 공인인증서를 발급ㆍ관리하고 있으며 참가 은행은 등록대행 및 신원확인 창구 역할을 수행하고 있다. 특히 공인인증서는 각 은행 홈페이지를 통해 발급하고 있으며 금융결제원 전자인증센터는 공인인증서의 안전성 확보 및 이용 활성화를 위한 관련 업무를 추진하고 있다.

휴대폰을 매개체로 공인인증서 활용

금융결제원 전자인증센터는 공인인증서 이용의 활성화와 안전한 사용을 위하여 휴대폰 기반의 전자금융거래에서 전자서명 서비스를 구축해 서비스를 제공하고 있다. 이 휴대폰 전자서명 서비스 ‘모비싸인(MobiSign)’은 가입자 PC에 있는 공인인증서를 휴대폰으로 이동하고 휴대폰 내에서 직접 전자서명을 수행하는 공인인증서비스로 공인인증서의 저장과 사용 방법을 개선했다.

오병일 금융결제원 전자인증센터 인증기획팀 부부장은 “이러한 휴대폰 전자서명 서비스를 구축하기 전에는 공인인증서 이용고객들이 공인인증서를 컴퓨터 하드웨어에 저장해서 사용하거나 휴대용 USB 저장장치에 저장해 사용해왔다. 하지만 이러한 방법은 PC해킹에 의한 공인인증서 유출과 USB저장장치의 분실 등 보안에는 취약해 보안사고의 위험성이 높았다”고 설명했다.

또한 이동욱 금융결제원 e사업본부 e사업팀 부부장은 “공인인증서를 이동성과 보안성이 우수한 휴대전화에 저장해 필요할 때마다 사용할 수 있어 전자금융거래시에도 보안 위협을 낮출 수 있다는 점을 토대로 지난2007년부터 준비해 2008년 서비스를 개시하였으며 지난해부터 본격적인 서비스를 시작했다”고 덧붙였다.

이러한 모비싸인 휴대폰 전자서명 서비스는 휴대폰을 매개체로 이동통신사와 업무제휴를 통해 저렴한 비용으로 보안성 높은 공인인증서비스를 제공하게 되었다는 점에서 높은 평가를 받고 있다.

휴대폰에서 바로 전자서명

이 서비스는 휴대폰에서 공인인증서 비밀번호를 직접 입력받음으로써 키보드 해킹 등으로부터 공인인증서 비밀번호를 절취당하는 것을 차단할 수 있다. 또한 휴대폰 내에서 전자서명 기능을 수행하고 고객 PC와 휴대폰 연동을 통한 인증채널을 추가함으로써 보안성이 강화된 공인인증서비스를  제공할 수 있게 되었다. 금융결제원 전자인증센터 최광주 인증운영팀 대리는 “특히 금융결제원의 모비싸인 서비스는 Two Factor 인증을 지원하므로 안전한 전자금융거래 인증방법을 제공하는 것이 특징”이라고 덧붙였다.

모비싸인 서비스는 휴대폰만 있으면 언제 어디서든 편리하게 전자서명을 이용할 수 있고 개인용 인증모듈과 결합하여 제공함으로써 사용이 편리하고 단순할 뿐만 아니라 향후 ATM, IP TV(TV 뱅킹) 등 다양한 매체에 통합 인증서비스를 제공할 수 있을 것으로 전망하고 있다.

모비싸인 서비스의 핵심기술인 공인인증서 저장, 서명, 이동은 국가 표준을 준수하고 행정안전부 실질 심사를 완료하였으며 휴대폰을 통해 전자서명을 하는 경우 PC해킹 공격에 따른 문제를 해결할 수 있게 되었고 공인인증서 및 서명 정보 중계 등이 신뢰할 수 있는 공인인증기관(금융결제원)을 통해 처리됨으로써 이용고객들은 안심하고 사용할 수 있다.

공인인증서 유출 원천 차단 수단

모비싸인 서비스 실시후 나타나는 효과는 보안성 강화측면에서 공인인증서의 유출이나 관련 보안사고의 예방이 가장 크다. 이용고객들이 공인인증서를 PC에 저장해 사용하다가 다른 장소에서 사용하기 위하여 공인인증서를 재발급받다보면 보안위협에 노출되기 마련인데 이를 휴대폰에 저장하고 있으면 재발급에 따른 노출을 감소시킬 수 있어 이용고객들이 보다 안정적으로 이용할 수 있다.

금융결제원은 이 서비스의 장애와 보안위협으로부터 대응하기 위해 시스템 관리와 운영에 최대한의 노력을 기울이고 있으며 이를 위해 각종 보안시스템 및 침해행위 실시간 모니터링시스템을 도입해 운영하고 있다. 특히 정부의 인증기관 시설관리 기준에 따라 설계된 건물에 시스템을 설치하여 외부침입, 자연재해 및 외부 충격에 대비하고 있다.

휴대폰 전자서명 서비스의 보안 강화

모비싸인 서비스의 보안 대책은 ‘휴대폰 등 무선단말기로의 공인인증서 이동 기술규격’ 및 ‘무선 단말기에서의 공인인증서 저장 및 이용 기술 규격’의 보안요건을 준수하고 있다. 또한 전송메시지의 무결성 보장, 중계시스템의 신뢰성 검증 및 보호설비 마련, 공인인증서 전송 완료 후 중계시스템의 메모리 및 임시파일 삭제 등도 수행하고 있다.

‘무선단말기에서의 공인인증서 저장 및 이용 기술규격’ 보안요건은 공인인증서 저장(PKCS#5로 암호화하여 안전하게 저장)과 무선단말기에서의 공인인증서 이용고객 인터페이스 요건 등의 준수이다. 또한 이용고객 PC와 휴대폰 간 세션 레벨에서의 E2E(End-to-End) 보안을 적용해 이동통신사의 무선GW와 금융결제원 중계시스템에서 중계되는 데이터 보안을 위해 PC와 휴대폰 간 세션 레벨에서 E2E 보안을 적용하고 있어 중계시스템에서 중계되는 데이터를 풀어볼 수 없다.

그리고 휴대폰과 이용고객 PC간의 중계세션 수립시 인증번호 입력을 통한 이용고객 인증을 적용해 중계시스템은 인증번호를 생성하여 휴대폰에 전송하고 가입자는 휴대폰에 디스플레이되는 인증번호를 PC에 입력하도록 한다. 중계시스템은 휴대폰으로 전송된 인증번호와 PC로부터 수신된 인증번호의 동일여부를 확인하여 이용고객을 인증하고 안전한 중계세션을 형성한다.

그리고 휴대폰 내 개인키는 이중 암호화하여 저장하고 휴대폰 내 설치된 모듈에서만 접근 가능하며 암호화 방법 외에 휴대폰 모듈 내 내부키로 이중 암호화하여 저장하고 있다. 한편 금융결제원은 지속적으로 모비싸인 서비스 적용 사이트를 확대시킬 계획이며 2013년부터 공인인증서 하드디스크 저장 금지 정책이 확정될 경우 공인인증서 이용고객들도 공인인증서를 PC 이외 다른 매체에 저장해야 하기 때문에 모비싸인 서비스의 활용도 점차 높아질 것으로 예상하고 있다.

<글/사진 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>