• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

전자거래 보안대책, 보안업계 ┖희비‘ 엇갈려 2005.10.11

- PC보안,OTP는 수혜, 키로거?민간공인인증은 피해 예상

- 금융권 보안제품 이중 규제 논란


정보통신부와 금융감독원이 ┖전자거래 안전성 강화 종합대책┖을 공동발표함에 따라 정보보호 업계에 ┖희비┖가 엇갈리고 있다.

PC보안, 일회용비밀번호생성기(OTP), USB, 텔레뱅킹 도청방지시스템 개발 업체의 경우는 때 아닌 특수가 예상되는 반면 금결원을 제외한 정보공유분석센터(ISAC)나 민간 공인인증기관, 키로거프로그램 제작업체 등은 일정부분 피해를 감내해야 할 것으로 예상되어서다.

 

뿐아니라 금융산업용 정보보호제품 평가의 경우 금감원이 별도의 조직을 운영키로 함에 따라 민간기업들이 국정원과 한국정보보호진흥원(KISA)으로 부터 받는 평가 외에 또 다른 평가를 받게 되어 제품 평가도 불편하고 까다로와졌다.

 

특히 이번 대책 발표로 올 12월부터 은행사이트뿐 아니라 증권 및 보험사이트에도 PC보안 프로그램 제공이 의무화되고, 내년 12월부터 OTP 솔루션 역시 전면 도입될 예정이라 안철수연구소나 잉카인터넷 등의 PC보안 업체 및 소프트포럼, 퓨처시스템 등의 OTP 솔루션 공급업체들이 가장 큰 수혜를 입을 것으로 예상된다.

특히 OTP 솔루션은 현 보안카드처럼 금융권에서 전 고객을 대상으로 도입이 확산된다면 엄청난 시장규모를 형성할 것으로 기대되고 있다. 아직까지는 가격적인 이슈로 인해 일부에서 도입하고 있지만 사용자 층이 많아지면서 가격 이슈도 안정화되면 기하급수적으로 늘어날 전망이다.

 

USB 개발업체들도 특수가 예상된다. 정통부와 금감원은 내년 6월부터 원칙적으로 PC가 아닌 USB 등 이동형 저장장치를 이용해 공인인증서를 저장토록 권고했기 때문이다.

USB에 공인인증서를 저장하면, PC 해킹을 통해 공인인증서의 아이디와 비밀번호를 알아내도 인터넷 금융거래시 해킹할 수 없다는 장점이 있다. 특히 USB 개발업체가 전자서명 기능(공인인증서)을 내장한 제품을 출시할 경우, 상당한 특수가 일 것으로 보인다. 이외에 텔레뱅킹 도청방지 시스템 개발업체도 이번 전자거래 보안대책으로 인한 수혜주가 될 것으로 예상된다.

 

하지만 이번에 발표된 ┖전자거래 안전성 강화대책┖으로 인해, 상대적으로 피해를 보는 기업도 있을 것으로 보인다. 관련업계에서는 이번 대책이 악재로 작용할 분야에 대해서는 키로거 프로그램 개발업체 및 민간공인인증을 꼽고 있다.

키로거 프로그램이란 원격지에서 상대방의 키입력 정보를 탐지할 수 있는 프로그램으로 자녀의 교육목적이나 연구기관·회사의 기밀보호를 위해 사용중인데, 이번 대책에 따라 올 12월부터 상용 키로거 프로그램에 대해 백심프로그램이 탐지할 수 있게 되어 키로거 프로그램 제작자나 사용자의 항의가 발생하고 있다.

 

키로거 프로그램이 안철수연구소 등의 백신에서 탐지되거나 삭제될 경우 사용자들이 이들 제품을 부정적으로 볼 수 있기 때문이다.

현재까지는 백신업체들이 키로거 프로그램이 상용으로 개발된 만큼, 소송 등을 우려해 원칙적으로 탐지 및 삭제 기능을 제공하지 않고 있었는데 올 12월부터 탐지할 수 있게 됨에 따라 업계간 이견이 일고 있다.

 

또한 금결원을 제외한 정보공유분석센터(ISAC)나 보안컨설팅 업체, 민간 공인인증기관(한국전자인증 등)에도 상당한 영향을 미칠 전망이다. 이번 대책에서 정통부와 금감원은 금감원이 금융기관 해킹대응을 위해 전담조직을 구축하는 것을 검통했는데 이럴 경우 금융기관의 해킹방지에 효과적일 수 있다는 평가도 있지만, 금융권이 최대 시장인 민간 보안컨설팅 업체의 경우 다소 시장 축소가 예상된다. 특히 민간 공인인증기관의 경우 인증서 재발급 통로가 막혀 ┖인터넷뱅킹용 인증서┖를 독점하고 있는 금결원의 시장 독점의 우려도 있다.

 

한편 이번에 정통부와 금감원이 공동발표한 이번 대책안은 금융권용 보안제품 납품 절차도 바꿔놓을 것으로 보인다. 현재 국내 민간 보안회사들은 한국정보보호진흥원의 보안제품 평가와 국정원의 승인을 통해 개발한 정보보호 제품을 평가받고 있는데, 금감원이 전자거래해킹대응을 위한 전담조직 구축을 추진, 새로운 조직에서 은행, 증권, 보험, 전자상거래 등 전자거래 전반에 대해 위험요인을 분석하고 대응체계를 운영하며 보안 제품 평가를 추진키로 함에 따라 앞으로는 금감원이나 금융관련 기관(금결원 등)으로부터 또 한번 평가받게 된 것이다.

 

사실 이 계획은 금감원이 금융ISAC(금융정보공유분석센터)를 만들 때부터 추진해온 일인데 민간 보안 회사들의 컨설팅 시장을 침해하고, 국정원과의 보안 제품 평가 이중 규제 논란의 여지가 있어 중단됐었는데 이번에 다시 제기되어 추진됨에 따라 민간 정보보호업체들의 반발이 예상된다.

정통부와 금감원이 최근 발표한 ┖전자거래 안전성 강화 종합대책┖안이 앞으로 정보보호 시장에 어떤 영향을 미칠지 관련업계의 귀추가 주목되고 있다.

[신선자 기자 (is21@infothe.com)]


<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>