다양한 이슈가 제기되며 관심을 받고 있는 스마트폰 보안 솔루션에 대한 인식수준은 일정 한계 수위에 오른 반면 3G 피처폰에서 적용되기 시작한 USIM(Universal Subscriber Identity Module, 가입자식별모듈)은 관심의 중심에서 멀어진 듯 하다. 그러나 스마트폰에서 USIM은 보안서비스 또는 보안플랫폼으로 볼 수 있기에 고려해야 할 부분이다.

USIM은 신용카드, 교통카드, 모바일뱅킹, 글로벌로밍, 전자상거래 등의 서비스제공이 가능한 플랫폼으로 가입자이탈방지의 주요한 역할로도 이용돼 왔다. 이처럼 제공된 서비스들의 주된 공통점은 휴대폰(피처폰, 스마트폰)의 네트워크 인터페이스를 통한 과금이 발생된다는 점이다.

USIM이전에 과금이 발생되는 형태는 전통적인 현금, 수표 등의 지폐방식에서 신용카드, 스마트카드 등의 물리적 형태로 발전했다. 이러한 모든 방식이 휴대폰 속의 USIM으로 이동(전이)됨으로써 독립된 물리적 형태에서 임베디드된 형태로 거듭나고 있다. 서비스제공자 입장에서는 과금이 발생하는 서비스를 USIM에서 안전하게 처리해야 하고, 그러기 위해서는 Mobility의 특성과 취급하는 개인 중요정보를 보호할 수 있는 수준의 보안이 제공돼야 한다.

이러한 역할의 중심에 위치하고 있는 USIM은 스마트폰의 저변확대와 더불어 가입자 인증과정 처리뿐 아니라 높은 수준의 보안이 필요한 주요서비스를 탑재할 수 있는 플랫폼 용도로 지속적인 개발이 있어 왔다.

그러나 스마트폰의 보안수준은 Legacy IT에는 없었던 OS의 개방성과 Mobile Ecosystem(생태계)으로 인한 시장경제의 활성화에 의해 충분히 준비되지 않은 편으로 볼 수 있다. 그러한 이유로 USIM보다는 스마트폰 서비스 영역(DNS: Device, Network, Server Service로 물리적 차원의 영역 분류)에서 PC의 경험을 반영한 디바이스에 집중된 솔루션들이 봇물처럼 쏟아져 나오는 현상을 보이고 있다.

USIM 서비스

USIM은 GSM의 SIM에서 UICC(Universal IC Card)를 거쳐 발전했다. 초기에는 가입자를 인증하는 보안수단으로 단순한 인증키 값을 연산 및 저장하는 기능에 지나지 않았으나 점차 기능의 향상과 대용량화되면서 다양한 중요정보의 저장과 콘텐츠를 취급하는 단계로 발전하고 있다. 서비스영역에서는 그 범위가 더욱 다양해지고 있다. USIM만으로 사용자인증, 신용카드, 교통카드, 의료보험카드, 멤버십, 과금/결제, 글로벌로밍, 전자상거래, 교통카드, 뱅킹, 증권거래 등 각종 생활서비스를 USIM이 장착된 휴대폰에서 진정한 멀티플레이어 역할을 제공하고 있는 것이다.

다양한 서비스가 안전하게 USIM과 커뮤니케이션 하는지 이해하기 위해서는 먼저 USIM 내부적으로 제공하는 서비스기능을 살펴 볼 필요가 있다. USSM(UICC Security Service Module)은 USIM에서 동작할 서비스의 중요 정보나 애플리케이션과의 안전한 커뮤니케이션을 위한 보안 API를 제공한다. SCWS(SmartCard Web Server)는 웹 서버 기능을 USIM 내부에 구현해 단말의 브라우저를 통해 HTTP(s) 프로토콜로 USIM의 중요정보나 서비스와 커뮤니케이션해 다양한 서비스와 콘텐츠 활용방법을 제공한다.

이러한 SCWS는 스마트폰의 다양한 단말 플랫폼에 의존성을 탈피할 수 있는 장점도 있다. 이 외에도 다양한 서비스를 제공하기 위해 NFC를 이용한 신용카드 서비스는 이미 상용화됐으며 Zigbee, RFID, GPS와 같은 네트워크 인터페이스와의 결합도 지속적으로 시도해 신규서비스와의 융합을 진행하고 있다.

국내 통신사업자는 USIM의 교체 시 USIM Lock을 해제해야 사용할 수 있는 USIM 보호서비스를 제공한다. USIM Lock 기능은 USIM의 활용 범위가 다양해지고 개인의 중요정보를 취급하는 주요 매개체 역할이다 보니 개인의 신상정보 확인과정을 거쳐 USIM 교체만으로 편리하게 단말을 사용할 수 있는 서비스다. 즉 단말의 분실로 인한 피해를 최소화 하기 위해 교체 사용할 두 단말 모두 USIM Lock 해제를 위한 신상정보 확인 과정을 갖는 단말 보호서비스다.

표준 보안플랫폼으로서의 USIM

보안 플랫폼은 콘텐츠와 서비스가 안전하게 상호 커뮤니케이션 할 수 있는 환경을 제공해 신규서비스의 창출 또는 Secure value-add 된 서비스가 활성화 될 수 있는 H/W, S/W 집합으로 정의가 가능하다. 이러한 정의측면에서 USIM은 다양한 H/W, S/W 서비스와의 융합 환경에 안전한 커뮤니케이션을 제공하기 위한 보안플랫폼일 뿐 아니라 표준 아키텍처(USSM, SCWS, PKCS#11)를 제공해 스마트폰의 다양한 GPOS에 의존하지 않아도 되는 장점을 갖는다.

USIM 아키텍처는 스마트폰과 유사하게 CPU, 저장소와 같은 H/W, 그리고 OS 플랫폼 및 다양한 애플리케이션을 구동시키는 S/W 형태로 구분 지을 수 있다. 하지만 애플리케이션측면에서는 조금 다른 특징을 갖는다. 다양한 플랫폼에서 구동하기 위한 애플리케이션을 플랫폼 별로 개발해야 하는 스마트폰과는 달리 USIM은 표준화 된 서비스를 제공한다는 측면과 현재까지는 스마트폰 플랫폼 상의 애플리케이션이 주로 USIM의 일부 기능과 저장소를 활용하는 수준에 머물러 있다는 점이다.

이처럼 스마트폰 단말과 유사한 아키텍처를 갖는 USIM은 플랫폼 내부에 또 하나의 개별 플랫폼이라기 보다는 스마트폰에 보안기능을 극대화하기 위해 Mobility 환경에 최적화한 보안플랫폼이라는 점을 주된 특징으로 볼 수 있다. 이러한 특징을 가장 잘 설명할 수 있는 대표적인 예로 공인인증서를 들 수 있다.

2010년 3월, 행정안전부는 안드로이드와 윈도우 모바일 기반의 스마트폰에서 보안매체에 저장된 인증서를 관리할 수 있는 국제표준 인터페이스인 PKCS(Public-key Cryptography System)#11에 준한 방법으로 공인인증서를 개발함으로써 기존 인증서를 복사해 스마트폰의 저장소(내/외장형 메모리, USIM)에 복사할 수 있는 공인인증서 규격을 발표했다. USIM 보안플랫폼은 표준 암호토큰 인터페이스 함수인 PKCS#11를 지원해 공인인증서와 같은 인증에 필요한 인터페이스(API)를 제공한다. 또한 USSM과 같은 표준 보안 아키텍처 기반에서 단말과 USIM간 HTTPs를 이용한 SCWS를 활용해 공인인증서의 안전한 관리도 가능하게 할 수 있을 것으로 본다.

애플의 Soft SIM

2010년 11월, 애플의 Smart SIM 출시관련 기사에 언론이 많은 집중을 하고 있다. Smart SIM은 H/W기반에 S/W로 구현된 USIM의 서비스범위를 벗어나 S/W 타입의 Downloadable SIM이다. 비록 정확한 서비스형태가 공개되지는 않았지만 이러한 방식은 기존의 방식과 적용 기술의 차이뿐 아니라 통신사가 보유하고 있는 휴대단말의 유통방식에 적지 않은 변화를 가져올 수 있다. 즉 휴대폰의 구매는 기존 통신사업자의 대리점이 아니라 인터넷 또는 애플이 지정한 사이트에서 구매하고 사용자가 직접 통신사업자를 지정해 자유롭게 요금제를 선택할 수 있다는 점이 가장 큰 변화로 볼 수 있다.

이러한 Soft SIM 형태는 나라간 이동이 잦은 GSM환경의 유럽에서는 사용자에게 편리성을 가져다 주는 반면 악성코드로 인해 악용되는 경우 이동지역에서 불통되거나 통화요금제의 변경 등으로 인한 직접적인 피해는 상당할 것으로 예상된다. 이러한 피해를 방지하기 위해서는 기존의 보안수준에서 고려해야 할 점들이 많을 것으로 예상된다. 예를 들면, PKI 공인인증서와 유사한 형태로도 예상할 수는 있겠지만 안드로이드 플랫폼에서 공인인증서가 유출된 사례를 되돌아 본다면 그 이상의 고민이 필요할 수 밖에 없다.

물론 애플의 Soft SIM은 iOS 플랫폼의 특정 저장소에 보안저장되거나 앞서 강조한 USIM자체의 저장공간에 보안저장 될 수도 있다. Jailbreak된 단말이 아니라면 폐쇄적인 iOS에서는 보안이 충분히 고려된 Soft SIM 서비스를 기대할 수도 있을 것이다.

현재까지의 USIM은 공급자 관점의 서비스로 자리매김을 해왔고 당분간 그 방향성은 크게 바뀌지 않을 것이다. 반면 애플의 Soft SIM은 공급자 관점이 아닌 소비자 관점으로의 전환에 시작점이 될 것으로 예상된다.

소비자는 스마트폰에서 통신사업자를 선택하고 요금제를 자유롭게 변경하는 서비스적 측면에서는 고무적이나 통신사업자 입장에서 이러한 서비스의 활성화를 바라만보고 있지는 않을 것이다. 한 예로 구글의 Nexus One 단말에서 Soft SIM을 시도하려 했으나 통신사업자의 거센 반발로 불발된 사례가 있었다. 통신사업자와 정면대결이 예상되는 애플의 전략이 이번에는 어떻게 전개될지 모르겠으나 이러한 시도에서 시사하는 점은 소비자의 관점으로 한발 더 다가갔다는 점이 Soft SIM을 관심의 대상으로 보는 이유일 것이다.

하지만 모바일 생태계 활성화의 주도적 역할을 해온 애플의 성공사례를 떠올려보면 Soft SIM의 결과에 관심 갖기 이전에 상생이라는 측면을 고려해 볼 필요가 있다. 모바일 생태계의 상생은 스마트폰 서비스와 관련된 이해관계자들 즉, 단말제조사, 플랫폼개발사, 소비자, 애플리케이션 개발자, 보안전문기업 등이 Win-Win할 수 있는 터전(스토어)을 개척하고 제공했다는 점에서 많은 의미를 시사하고 있다.

USIM은 스마트폰 보안 플랫폼으로서 다양한 이해관계자가 스스로 참여할 수 있는 상생의 단초가 될 가능성이 높다고 본다. 다양한 서비스와의 융합, 정보의 저장 및 콘텐츠 활용 확장측면에서 지속적으로 발전하고 있는 플랫폼 환경이라는 것이 이를 반증하고 있다. 이러한 이유로 함께 참여할 수 있는 터전의 개척을 고민하는 것이 선행될 필요가 있다고 본다. 소비자의 선택은 Soft SIM과 같은 기존의 방식을 벗어난 신규서비스가 일부 활성화 된다면 소비자 관점에서 선택할 수 있는 통신사업자의 브랜드인식과 서비스 퀄러티는 중요한 요소일 것이다.

하지만 두드러지게 보이지는 않은 채 서비스에 녹여져 있는 보안영역도 적지 않은 영향을 미칠 수 있다는 생각을 해본다. 이러한 측면에서 볼 때 여러 개발자들이 USIM에서 구동 가능한 애플리케이션을 개발할 수 있는 모바일 생태계 차원의 환경 제공이 필요하다.

또한 USIM에 pre-installation 가능한 애플리케이션이나 콘텐츠를 개발할 수 있도록 관련업계나 사업자들에게 다양한 기회의 터전을 제공해야 할 필요가 있다. 이렇게 함으로써 보안플랫폼으로서의 USIM이 활성화돼 고급 모바일 개발자들로부터 관심을 가질 수 있고 보다 수준 높은 보안서비스에서 안전한 스마트폰 세상으로 거듭날 수 있으리라 본다.

<글 : 황해수 인포섹 융합컨설팅/SI사업본부 전략컨설팅담당 수석컨설턴트(sea@skinfosec.co.kr)>

[월간 정보보호21c 통권 제124호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>