한국정보보호진흥원(KISA, 원장 황중연)은 피싱·해킹 등으로부터 공인인증서를 안전하게 보호할 수 있는 보안토큰에 대한 구현적합성 평가결과, 보안토큰 7종 제품이 공인인증서비스에 적합하게 이용될 수 있는 것으로 확인돼 11일 구현적합성 평가 인증서를 발급했다고 밝혔다.
이번에 평가받은 보안토큰 제품은 넷츠 ‘NETS*Token S072’, 소프트포럼 ‘XecureHSM’, 에스원 ‘UPIN-HO768’, 엘립시스 ‘uToken’, LG히다찌 ‘StarKey 400’, 위노블 ‘eToken PRO 72K‘, 유니포인트 ’iKey4000‘이다.
KISA 관계자는 “현재 농협 등 은행 인터넷뱅킹에서 보안등급 1등급 거래 이용수단으로 보안토큰의 이용이 점차 증가하고 있고, KISA 평가를 받은 보안토큰도 기존 3개에서 총 10개로 늘어났다”며, “이를 계기로 공인인증서 저장매체로써 보안토큰 이용이 활성화될 것”으로 전망했다.
보안토큰은 전자서명이 저장장치 내부에서 생성되며, 저장된 전자서명생성키는 저장장치 외부로 나오지 않기 때문에, 피싱․해킹 등으로부터 공인인증서(전자서명생성키 포함) 유출을 방지할 수 있는 휴대용 저장장치다.
즉 한마디로 기존 공인인증서를 USB나 PC에 다운받아 사용하는 것이 아니라 보안 토큰 USB, 스마트카드 안에서 자동적으로 생성되고 보관되기 때문에 안전한 사용이 가능하다.
KISA는 보안토큰 기반의 안전한 공인인증서 이용환경 조성 및 이용 활성화를 위해 보안토큰에 대한 호환성 및 안전성 등을 확인하는 구현적합성 평가를 ‘07년 9월부터 시행에 오고 있다.
그러나 이런 KISA의 노력에도 불구하고 보안 토큰의 이용률은 저조한 편이다.
보안등급 1등급 거래를 위해서 OTP와 보안토큰 중 하나를 선택해서 이용하도록 하고 있으나 시중 은행들이 이미 OTP에 대한 투자를 끝낸 상태여서 새롭게 보안 토큰에 대한 투자를 진행하기는 어렵다는 입장이다.
은행전산담당자들은 “통합 인증센터 설립 및 유무상으로 고객들에게 OTP를 지급하고 있는데 이제와서 보안 토큰에 대한 투자를 할 필요성을 못느낀다”며 “보안 토큰을 적용하기 위해서는 현재 사용하고 있는 은행의 인증 프로그램에 공인인증서와 OTP 이외에 보안 토큰을 사용자들이 선택해서 처리하도록 프로그램을 바꿔야하는데 교체 비용을 은행 자체로 부담하라는 건 중복투자로 부담이 크다”고 밝혔다.
관련 업계에서도 장기적으로 본다면 OTP와 보안 토큰이 경쟁구도가 되겠지만 단시일내에 보안 토큰이 활성화되기는 어려울 것으로 내다보고 있다. 한 OTP업체의 관계자는 “OTP는 밧데리 수명의 한계가 있고 보안성때문에 밧데리가 교체될 때 OTP 자체를 교체해야하기 때문에 새로운 투자가 발생한다”며 “신규 투자가 발생될때의 틈새를 노려 보안 토큰이 OTP의 시장을 잠식할수도 있겠지만 OTP는 올해 투자가 들어간 부분이며 OTP의 밧데리 수명이 최소 3~5년이기 때문에 쉽게 보안 토큰에게 자리를 내주지는 않을 것”이라는 의견을 제시했다.
이처럼 OTP의 활성화에도 상당한 시간이 걸렸던만큼 보안 토큰이 대중화되기 위해서는 풀어야할 숙제가 산재해 있는 것으로 전망되고 있다.
전자신문인터넷 장윤정 기자linda@etnews.co.kr