본문 바로가기

nCipher HSM (Thales-HSM )

공인인증서 비밀번호 복잡화보다, 근본적인 금융보안 해결책은?


최근 한국인증산업발전협의회에 따르면 어제 22일부터 금융거래 등에 사용되는 공인인증서의 비밀번호의 자릿수가 8자리에서 10자리로 변경되어 보안성이 강화된다고 밝혔습니다.

공인인증서 비밀번호 최소자릿 수가 8자리에서 10자리로 변경될 뿐만 아니라 영문의 대소문자도 구분 됩니다. 또 비밀번호에 반드시 숫자, 영문, 4개의 특수문자 (' "\ |)를 제외한 모든 특수문자를 포함하도록 함으로써 복잡도를 높여서 보안성을 강화한다는 내용입니다.


그러나 일부 보안전문가 들은 이러한 복잡도는 고객에게 보안책임을 전가하는 일이고, 비밀번호의 복잡도가 높아진다고 해서 보안성 향상에 크게 도움은 되지 않는다는 말을 하였습니다.


결과적으로 보면 암호화가 복잡해져도 이러한 공인인증서가 유출되어 버린다면 비밀번호 등의 중요 정보들이 전부 유출되기 때문에 보안성 향상의 효과를 기대하기 어렵다는 의견도 많습니다. 또한 키로그 프로그램을 통한 해킹, 파밍 등을 통해 비밀번호를 탈취해버리면 이러한 암호의 복잡도는 아무런 의미가 없습니다.



이러한 대책으로 OTP을 적극적으로 도입하고 고객들에게 사용을 권장하는 방법을 도입하자는 의견이 있지만, OTP를 사용하더라도 메모리 상에서 수취인의 계좌번호를 바꿔치기 한다면 금융사고를 막기는 어려울 것입니다. 


금융권에서는 비밀번호를 늘리거나 복잡도를 향상시키는 임시방편적 방법보다는 근본적인 보안 솔루션 도입을 통한 해결책 마련이 필요할 것으로 보입니다. 대부분의 기업들은 보안에 대해서 막대한 비용을 지출하는 것을 꺼리는 경우가 많습니다. 보안에 대해서 투자가 아닌 비용 손실로 생각하는 기업 오너들의 생각이 어떻게 보면 개인정보유출과도 같은 막대한 손실을 입히는 사고를 유발하는 것일지도 모릅니다.


개인정보 피해뿐만 아니라 막대한 손실을 가져올 수 있는 금융권 기업들은 특히 보안에 투자를 많이하여야 합니다. 보안사고로 생길 수 있는 막대한 손실을 입게 되면, 금전적인 피해는 물론이거니와 고객들과 잠재고객들까지 잃어버리기 때문에 특히 금융권 보안은 매우 중요합니다.




신뢰를 잃어버린 금융권 기업에게는 어떤 고객도 거래를 하지 않을 것입니다. 


큰 이슈를 불러일으켰던 대기업 카드 3사의 개인정보 유출사고도 1차적인 문제는 보안의식과 보안윤리 부재로 인한 내부 유출이지만, 만약에 이러한 고객 데이터베이스가 암호화 되어 있었다면 개인정보를 탈취하였던 박모차장이 빼돌린 개인정보들은 무용지물이 되었을 것입니다. 


덧붙여 말씀드리자면, 카드 3사(K, L, N카드사)의 개인정보 유출사고의 규모는 1차 적으로 1억400만건, 추가로 밝혀진 유출정보는 8000만건으로 도합 거의 2억건의 해당하는 규모입니다. 또한, 보안사고를 일으킨 카드 3사는 개인정보유출사고로 인한 2차피해를 전액보상하기로 발표하였습니다




이러한 개인정보의 암호화는 하드웨어 암호화 모듈(HSM)을 통해서 안전하게 암호화 할 수 있으며, 이로 인한 암호화로 인한 데이터베이스의 성능 저하도 방지하고, 그리고 가장 중요한 부분인 키 관리 면에서도 명확한 구분과 관리성을 제공하기 때문에 DB 암호화에서 DB 접근제어까지 해결할 수 있어, 특히 중요 정보가 많은 금융 DB 보안에서 있어서도 최적화 되어 있습니다. HSM을 통해서 고객들의 DB를 암호화하고 완벽하게 접근제어 함으로써 고객의 정보를 보호하고 관리할 수 있는 보안 체계를 구축할 수 있습니다.



정부에서는 각 기업에서 보안 솔루션을 도입할 때 반드시 갖추어야 할 기본 사항들에 대해서 법의 지정하고 있습니다.

크게 2가지로 구분할 수 있는데 바로, 개인정보보호법과 정보통신망법입니다. 이 두 가지 법안은 개인정보를 취급하는 기업에서 이를 처리하는 시스템에 대해서 어떤 보안 조치를 해야하는 지를 명확하게 구분하고 명시하고 있습니다. 자세한 내용은 아래를 참고하시기 바랍니다.


[정보통신망법과 개인정보보호법]

 구분

정보통신망법

 개인정보보호

 적용대상

 정보통신서비스 제공자

개인정보처리자 

 원칙

 주민등록번호 수집과 이용 금지

 주민등록번호 처리 금지

 예외사유

본인확인기관 

법령상 허용하는 경우

재판매전기통신사업자

법령상 허용하는 경우

생명/신체/재산의 위험이 있는 경우

부령으로 정하는 경우

 대체수단

 대체수단 제공 의무 있음

 대체수단 제공 의무 있음

 위반시 제재

 3천만원이하 과태료

 3천만원이하 과태료

 시행시기

 2012년 8월 18일

 2014년 하반기(예정)

 보유주문번 파기시

 시행일로부터 2년

 시행일로부터 2년

※ 출처 : Word ITC Law (http://www.worldictlaw.com/bbs/board.php?bo_table=basic&wr_id=225&ca=20)



전 세계 암호화장비 시장점유율 1위 Thales e-security 제품 한국 총판 아이마켓코리아