<홈뱅킹 보안대책 (하)>
IC카드를 사용한 비밀대칭키방식의 홈뱅킹에서는 초기에 금융사업자가 비밀키를 안전하게 카드에 내장시켜 이를 고객에게 발급한다. 인증은 전송된 개인비밀키의 암호결과를 사업자측에 수록된 암호결과와 비교하는 서비스이고, 무결성서비스는 개인비밀키와 내용데이타를 입력으로하는 메시지인증코드을 사용하여 제공될 수 있다. 해커가 들여다 볼 수 있는 것은 암호된 데이타이므로 현재의 홈뱅킹 경우와는 다르다.
사용자의 퍼스널 컴퓨터에는 IC카드를 읽고 쓰는 단말기외에도 홈뱅킹 구동 소프트웨어가 필요하다. 이 소프트웨어의 분배 및 사용의 편리성이 성공여부를 좌우하는 하나의 관건이기도 하다. 국내에서는 단일화된 프로토콜과 알고리듬을 공동으로 사용하면 홈뱅킹의 확산에 도움이 되고 고객도 편리하리라 여겨진다.
금융사업자가 독자적인 프로토콜과 알고리듬을 개발해서 사용해도 무방하다. 단지 안전성 검증문제가 있다. 이런 문제를 효과적으로 해결하는 방법은 안전성이 검증된 국내 표준방식이나 특허저촉이 되지 않는 외국 표준을 사용하는 것이다. 따라서 국내표준을 위한 정부차원에서의 구체적인 추진과 향후 방안을 제시하는 것이 바람직하다. 미국 정부는 이미 10년전에 DES를 제정하여 해결해 준 것이다.
공개키방식의 홈뱅킹 보호시스템은 비밀대칭키방식보다 다양한 보호서비스를 제공할 뿐아니라 더 안전하다. 그러므로 장차 공개키방식의 홈뱅킹 시스템으로 변천되리라 여겨진다.
내부 전산처리자 조차 암호결과만으로 인증이나 무결성서비스 등을 처리하므로 해커의 침입은 물론 내부 전산처리자에 의한 사기에도 더 안전하다.
공개키방식은 무엇보다 디지탈서명을 효과적으로 제공할 수 있어 전자문서 교환 등 전자상거래 및 기타 전자금융업무 등에도 확장할 수 있는 장점이 있다. 그러나 훨씬 복잡한 암호계산을 처리해야 한다. 8비트 CPU의 IC카드를 사용하는 경우에는 이 카드의 암호연산능력이 약하므로 퍼스널 컴퓨터에 의존해서 필요한 연산을 처리하면 된다. 차세대 IC카드는 이러한 기능이 카드내부에서 수행되므로 훨씬 더 안전하게 되는 것이다.
공개키방식에서는 공개키를 생성하고 분배하는 믿을 수 있는 키관리센터가 필수이다.
금융사업자가 직접 구축 운영하는 것이 가장 안전한 방법이다. 이를 위해서는 비밀대칭키를 사용하는 방식에 비해서 더 깊은 전문성이 요구된다. 전문성 확보가 사업자측에서 급히 해결해야 할 숙제이다. 국내의 여러 금융기관에게 이 업무를 제공해 줄 공인 전문기관을 세울 수도 있을 것이다.
공개키방식의 홈뱅킹에서도 비밀대칭키방식의 경우에서와 마찬가지로 구동 소프트웨어의 분배와 사용의 편리성이 성공을 좌우하는데 중요한 역할을 한다. 이를 위해 인증, 무결성 및 서명서비스를 위한 메카니즘과 알고리듬의 국내 단일화는 매우 바람직하다. 이를 위해서는 무결성서비스에 사용할 해쉬함수와 디지탈서명방식을 우선적으로 개발하여 국가표준으로 제정하면 도움이 되리라 본다.
국내 관련 보호학회의 연구과제에서 이를 위한 연구가 진행되고 있다. 계획에 의하면 디지탈서명은 올해내에 안을 제안하도록 되어 있고 해쉬함수는 현재 모집중에 있다. 이는 전문가 그룹에서 추진중에 있고 가까운 기간내에 연구결과가 나오리라 본다. 금융사업자 및 관련 기업에서도 대응되는 속도로 준비해야하며 조속한 결과도출을 위한 관련 정부부서의 적극적인 관심도 요망된다.
<경북대 문상재 교수>