100가지의 가능성 중에서 99가지가 완벽하더라도 단 하나의 약점이 존재한다면 무의미한 것이 바로 보안입니다. 보안이 어려운 이유가 바로 여기에 있죠. 때문에 보안업계나 관련 종사자들은 발생 가능한 단 하나의 약점을 보완하기 위해 밤낮으로 연구개발에 몰두하고 있습니다. 이런 상황을 반영하듯, 기존에도 강력한 보안성을 자랑하던 스마트카드의 보안성이 더욱 강화됐다는 소식이 들려오고 있습니다. 다양한 정보를 축적시킬 수 있을 뿐만 아니라, 뛰어난 보안성으로 ‘똑똑’한 카드로 통하던 스마트카드가 또 한 단계 업그레이드되고 있는 것입니다.

몇 년 전부터 마그네틱 카드의 위조 및 복제사고가 잇따라 발생하면서, 그 대안으로 스마트카드가 떠올랐습니다. 이미 잘 알려져 있듯, 금융감독원의 주도 아래 각 금융기관들이 스마트카드로의 전환을 시도하고 있고, 오는 2008년까지 모든 금융권 카드는 완전한 세대교체를 이룰 것으로 예상됩니다. 금융권뿐만 아니라 교통카드, 사내 신분증 등으로도 이 똑똑한 카드가 사용되고 있어, 향후에는 사회 구성원의 지갑 속에 스마트카드 한 장쯤은 어렵지 않게 찾아볼 수 있을 것으로 보입니다.

스마트카드도 해킹을 당한다?

스마트카드가 대안으로 떠오른 원인 중 하나는 기존 마그네틱 카드가 가지지 못했던 다양한 기능들이 있기 때문입니다. 정보저장 능력도 그 중 하나죠. 스마트카드에 부착된 그 자그마한 칩 속에는 3~4개의 은행정보는 물론, 개인이력, 의료정보 등 다양한 정보저장이 가능한데, 이는 한 개의 카드가 하나의 용도로만 쓰였던 마그네틱 카드 시대에서는 상상할 수 없었던 일이죠.

하지만 기본적으로 스마트카드가 급부상한 주된 배경에는 누가 뭐래도 보안성을 빼놓을 수 없습니다. 하나의 반도체 칩 속에 정보를 저장하는 스마트카드는 칩 구조 자체가 논리적으로 매우 복잡하고 암호화된 구조로 분리돼 있어, 현재의 기술로는 스마트카드를 위조하거나 복제한다는 것은 불가능에 가깝다고 볼 수 있습니다. 이러한 구조상의 보안성뿐만 아니라, 스마트카드 제조업체들 역시 칩에 대한 물리적 보안을 강화하고 있습니다. 가령 칩의 막을 벗겨낸다거나, 칩 자체에 레이저 빔 등으로 칩 속에 저장된 정보에 대해 광학적 분석을 시도할 경우, 그 기능을 종료시키기 때문에 스마트카드는 이중 삼중으로 잠겨있다고 볼 수 있죠.

현재 카드 및 생체인식 업계에서 연이어 내놓는 스마트카드는 이런 안전한 스마트카드의 보안성을 한층 더 강화시킨 것이라고 합니다. 지금까지도 대단하다고 평가받고 있는 이 ‘대단한’ 스마트카드에 왜 더 많은 보안성이 필요한 것일까요. 그렇다면 스마트카드의 보안성 강화요소를 살펴보면서 이 두 업체가 어떤 보안강화 기술을 선보이고 있는지 알아보도록 하죠.

암호화 키를 두 가지로

현재 스마트카드의 보안성을 높이기 위한 노력은 크게 두 가지 방향으로 나눠볼 수 있습니다. 스마트카드에 탑재된 칩의 논리적 구조에 대한 보안성을 강화하는 노력이 있으며, 스마트카드를 사용하는 사람에 대한 본인확인 여부, 즉 사용자 인증강화가 또 다른 하나입니다. 이번에 두 회사가 각각 개발해 낸 스마트카드 관련기술도 바로 이런 두 가지 측면에서 각각 접근한 것이라고 볼 수 있습니다.

스마트카드의 보안성을 위협하는 경우로는 먼저 스마트카드의 논리적 구조에 대한 해킹 여부를 생각해 볼 수 있습니다. 마치 해커가 네트워크 망에 설치된 각종 보안장치와 기술을 피해 공격을 감행하듯, 스마트카드 칩에 저장된 정보에 대해서도 누군가가 비정상적인 루트를 통해 접근, 정보를 유출해 낼 수 있다는 시나리오가 가능합니다. 물론 앞서 살펴보았듯, 이런 경우를 사전에 차단하기 위해서 스마트카드에 저장된 정보는 암호화된 상태로 저장되는데, 지금까지의 암호화 방식은 대칭키 방식에 의존해 오고 있었습니다. 그런데 이처럼 대칭키 구조를 가지게 되면 스마트카드 제조사나 발급자가 칩에 저장된 내용을 위·변조할 ‘가능성’이 있고, 또한 네트워크의 해킹 수법인 스니핑(Sniffing)과 같은 방식으로 스마트카드와 단말기, 그리고 결제대행사(PG)를 경유하는 데이터를 해킹할 수 있다는 상상이 가능합니다. 물론 연구단계에 불과한 사례지만 현실적인 가능성이 등장한 것입니다.

일례로, 삼성SDS에서는 비자카드가 인증하는 국제표준(GP：Global Platform)을 획득함으로써 공인된 PKI(Public Key Infrastructure) 기술을 통해 바로 이 같은 문제에 대해 안전막을 한 겹 더 씌운 스마트카드를 선보인 바 있습니다. 즉, 암·복호화 키를 하나로만 사용하는 것이 아닌, 암호화와 복호화 키를 각각 구별해 사용함으로써 보다 높은 안전성을 확보한 것입니다. 상식적으로 생각해 봐도 하나의 암호를 발급사와 사용자가 동시에 사용하는 것보다는 사용자와 발급사가 각각의 암호를 사용하는 것이 보다 안전하겠죠.

PKI가 탑재된 스마트카드를 개발한 삼성SDS 정보기술연구소 박희진 책임은 “지금까지 스마트카드 내에 저장된 정보 해킹은 실제 상황이 아닌 랩 수준에서 제기되고 있다”고 밝히면서도 “이번 기술로 인해 스마트카드와 단말기, 단말기와 PG 사와의 통신에서 발생할 수 있는 정보유출을 방지할 수 있을 뿐만 아니라, 근본적으로는 카드의 위·변조, 복제도 사실상 불가능해졌다”고 덧붙였습니다.

사용자 인증은 생체정보로

또 한 가지 방향은 생체인식 업계와 카드 업계를 중심으로 개발되고 있는 것으로, 스마트카드에 사용자의 지문 등 생체정보와 바이오인증 알고리즘을 저장해 카드 사용시 단말기에 별도의 비밀번호를 입력하는 대신 지문 등 생체정보를 입력해 카드에 저장된 생체정보와 부합되는지 확인함으로써 카드 사용자와 카드 소유자가 일치하는지의 여부를 확인하는 MoC(Match on Card) 기술입니다.

마그네틱 카드에 비해 스마트카드가 몇 단계 이상의 보안성을 갖췄지만 사용자 인증에 대해서만큼은 나아졌다고 볼 수 없습니다. 물론, 금감원이 금융권 카드에 대해 기존 4자리 비밀번호 체계를 6자리로 늘려 안전성을 강화하기는 했지만, 이것 역시 사용자 인증에 대한 근본적인 해결책이라고는 볼 수 없습니다.

하지만 MoC처럼 스마트카드의 뛰어난 저장용량을 활용해 사용자의 생체정보를 스마트카드 속에 저장시켜 사용자에 대한 인증을 강화시킨다면 사용자인증을 보다 확실히 개선시킬 수 있는 거죠. 이런 스마트카드가 보편화된다면 보안성뿐만 아니라, 굳이 비밀번호를 외워야 하는 불편함이 사라져 편의성도 크게 향상될 수 있습니다. 이와 관련해 생체인식업계의 한 관계자는 “생체정보를 스마트카드에 입력시켜 사용할 경우는 별도의 단말기만 있다면 오프라인 상에서 뿐만 아니라, 온라인상에서도 적용할 수 있어, 비대면 거래인 온라인 금융거래의 맹점을 극복할 수 있을 것”이라며, 향후 스마트카드와 생체인식은 밀접한 관계를 가지게 될 것이라고 강조하고 있습니다.

당연한 얘기겠지만 스마트카드에 대한 보안성 강화노력은 앞으로도 지속될 것으로 보입니다. 각 카드사가 요구하는 GP나 멀토스와 같은 인증을 획득함으로써 보안성을 확보하는 노력이 이뤄지는 한편, 향후 생체정보 등을 최대한 활용하는 사용자 인증강화에 대한 연구개발이 집중될 것이라고 관계자들은 입을 모으고 있습니다. 결국 하나의 ‘구멍’을 막기 위한 노력이 스마트카드에도 적용될 것으로 보이며, 이로 인해 향후에는 더욱 완벽한 스마트카드가 출시되는 것을 지켜볼 수 있을 것 같네요.

[김용석 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지>