| USB, 저장용 아니냐고요? 글쎄, 보안용이라니깐요 | 2005.04.17 |
USB, 저장용 아니냐고요? 글쎄, 보안용이라니깐요 얼마 전 국정원과 정통부가 발표한 산업보안 관련 자료에 따르면, 지난 8월까지 21조 4,000억원의 피해액이 기업정보 유출사고로 발생한 것으로 나타났다. 지금까지 알려진 주요 정보유출의 경로는 노트북과 같은 이동식 저장매체를 비롯해, 이메일, 웹 하드, 메신저 등 다양한 방법이 동원되고 있으며, 그중에서도 성능 대비 효과가 뛰어난 USB는 모든 보안 담당자의 ‘공공의 적’이다. 하지만 얼굴이 험악하다고 모두 범죄자가 아니듯, USB 장치라고 해서 정보유출에만 악용되는 것은 아니다. 오히려 USB를 악용한 정보유출을 막는 최선의 솔루션으로 보안용 USB 장치가 등장하고 있다. 모든 PC에 기본적으로 내장된 포트를 이용하는 USB는 간단한 인스톨 과정만으로 연결이 가능해 그 어떤 PC 주변기기보다 뛰어난 호환성을 자랑한다. 뿐만 아니라, 크기가 작아 간편하게 소지할 수 있으며, 64메가 정도에 머물던 저장용량도 최근에는 기가급 용량을 자랑하는 등, USB의 활용분야는 매우 높아지고 있다. 그러나 이 작고, 기특한 발명품이 보안 담당자들의 경계 대상 1호로 떠오른 것은 아이러니하게도 USB의 이런 편의성과 저장기능을 악용해 기업의 정보자산을 유출하는 수단이 되기 때문이다. 골칫거리로 떠오른 USB. 그러나 어떻게 사용되느냐에 따라 USB 기기의 기능은 전혀 달라질 수 있다. 그렇다면 새롭게 등장하는 보안용 USB는 과연 어떤 기능으로 쓰인다는 것일까. 보안용 USB 어떤 건가요?
그렇다면 이런 의문도 생길 법하다. ‘스마트카드를 이용하면 되지, 별도의 USB가 필요한가’, 혹은 ‘출입통제 시스템이나 기타 물리적 보안기기와도 호환이 가능한 스마트카드가 보다 편리하지 않겠냐’고. 물론 그 말이 틀린 것은 아니다. 하지만 USB를 연결할 수 있는 포트는 모든 PC에서 기본적으로 제공하기 때문에 별도의 기기를 부착하지 않아도 사용할 수 있는 강력한 편의성이 있는 반면, 스마트카드를 이용한 사용자 인증은 별도의 리더기를 설치해야 하는 등의 단점이 있어 USB 기기를 선호한다고 볼 수 있다. 다기능 보안 유틸리티, USB 이처럼 보안성이 강화된 USB는 VPN 클라이언트의 접근제어나 특정 웹 사이트의 접근제어, 폴더 접근제어 등으로 이용되며 최근에는 이보다 한발 더 나아가 소프트웨어의 불법복제 방지를 위한 수단으로 활용되는 추세다. VPN 사용자 인증
한편, VPN의 사용자 인증과 유사하게 특정 사이트 접속 시에도 허용된 사람만이 접속할 수 있도록 이용되는 USB 장치도 있는데, 특정 웹 사이트로 사용자가 접속을 시도할 경우 e-Token을 통해 사용자의 신원을 점검하기 때문에 불법적인 사용자의 접근은 원천적으로 차단할 수 있다. 가상 Security 폴더
그림 2, 3의 경우에서 보듯, USB를 가진 정당한 사용자가 접속할 경우, 기존 폴더에서는 보이지 않던 새로운 가상 디스크가 생겨남을 알 수 있다. 이 가상 디스크의 접속허용은 허가된 USB 기기를 가진 사람으로 제한해 허가받지 않은 사람은 폴더에 접근할 수 없게 된다. 불법 소프트웨어 복제도 해결 한편, 아직 국내에서는 활성화되지는 않았지만, USB를 이용해 소프트웨어의 불법복제 문제를 해결하기도 한다. 특히 국내외적으로 CD-RW나 P2P 통신의 발달로 소프트웨어를 불법 복제하는 것은 흔한 일 중 하나. 이를 방지하기 위해 각 소프트웨어 개발업체들은 불법복제를 방지하기 위한 노력들을 펼치고 있다. 대표적인 방법은 시리얼 숫자가 반복돼 사용될 경우, 사용이 불가능하도록 하는 방법을 꼽을 수 있다. 하지만 이 역시 크래킹을 통해 시리얼 번호가 유출되고 있어 효과적인 대응수단이 되지 못하는 실정이다. 하지만, USB를 이용한 불법 소프트웨어 복제 방지법은 정품 소프트웨어와 USB (혹은 다른 포트를 이용하는 하드락 장치)를 한 쌍으로 소비자에게 제공해, 해당 프로그램을 사용할 때에는 별도로 암호화된 키 값을 요구하도록 하고 해당 키 값은 USB로 승인받는 방식을 사용하고 있다. 결국 키 값을 제공하지 못할 경우는 프로그램을 사용할 수 없게 돼, 해당 소프트웨어를 복제한다 해도, 실질적인 사용은 불가능하게 된다. |
|
 |
최근 등장한 보안용 USB의 사용용도는 PC 사용자 인증수단으로, 그 예는 스마트카드를 떠올리면 쉽게 이해할 수 있다. 저장정보에 대한 위·변조가 쉬운 마그네틱 카드와 달리, 스마트카드는 자체적으로 거의 완벽한 보안성을 가지며이를 통해 다양한 인증수단으로 사용되고 있다. 스마트카드가 높은 보안성을 유지할 수 있는 이유는 스마트카드에 부착된 조그마한 칩 때문으로 이 칩을 물리적으로 분해한다는 것 자체가 어렵고, 칩에 저장된 정보 역시 암호화돼 저장되기 때문에 저장정보를 해독하기란 현실적으로 불가능에 가깝다. 대개 인증수단으로 쓰이는 보안용 USB는 이런 스마트카드 칩이 USB 기기 내 저장돼 있다고 보면 된다. 즉, 사용자의 정보를 암호화해 보안성을 높인 후 이를 인증수단으로 사용한다는 얘기다. 물론 저장되는 정보 역시 스마트카드처럼 아이디/비밀번호는 물론, 생체정보, 공인인증서 등 다양한 인증정보를 암호화 알고리즘을 적용해 저장할 수 있다는 장점을 지니고 있다.
대기업이나 지사가 많은 금융권 등에서 주로 사용되는 VPN은 내부망으로 접속하는 사용자에 대한 인증이 필수적이기 때문에 사용자 인증수단으로 보안성과 사용 편의성이 높은 USB를 선호하고 있다. 이는 기존 아이디 패스워드 인증절차를 강화시킨 것으로 아이디 패스워드 유출로 인해 발생 가능한 문제를 보완할 수 있다는 강점이 있다.
대부분의 보안용 USB가 인터넷이나 네트워크 통신 상 필요한 인증 용도로 사용되기는 하지만, PC 내 중요 폴더를 관리하는 용도로도 활용된다. 기업의 정보유출 사고의 원인 중 하나가 권한 이외의 사용자가 해당 시스템이나 폴더에 접속해 정보를 유출하는 것이기 때문에 PC 내 중요 폴더에 대해서 USB 기기로 접근제한을 설정해 놓는다면 정보유출을 막는 유용한 방법이 될 수 있다.