2024-03-29 19:40 (금)
[인터뷰] 김동민 엔트러스트 영업대표 “암호키 보호 위한 HSM 도입은 필수”
상태바
[인터뷰] 김동민 엔트러스트 영업대표 “암호키 보호 위한 HSM 도입은 필수”
  • 길민권 기자
  • 승인 2020.12.24 15:42
이 기사를 공유합니다

가상화폐거래소 보안강화 위해 ISMS 개정…핵심은 암호키 관리 강화
HSM, 디지털월렛 보안 위한 필수 솔루션으로 자리매김

가상화폐를 타깃으로 한 악성코드 유포가 지속적으로 증가하고 있다. 특히 특정 정부후원 해커 집단들은 가상화폐 거래소를 겨냥한 공격에 초점을 맞추고 돈벌이 해킹에 역량을 집중하고 있다. 더불어 내부자에 의한 거래소 사고도 끊이지 않고 있는 실정이다. 비트코인 가격이 올라 갈수록 더욱 심각해 지고 있다.

이에 정부는 ISMS 개정을 통해 가상자산사업자에 특화된 세부사항들을 마련하고 특히 암호키 관리 강화에 초점을 맞춰 내·외부 침해사고에 대한 예방을 강조했다.

데일리시큐는 엔트러스트(Entrust) 김동민 영업대표와 인터뷰를 통해 가상화폐거래소들의 암호키 관리 강화 방안과 HSM(하드웨어 보안 모듈) 활용 방안에 대해 들어보는 시간을 가졌다. 다음은 김동민 영업대표와 인터뷰 내용이다.


김동민 엔트러스트 영업대표.
김동민 엔트러스트 영업대표.

■지난 11월 ISMS 개정을 통해 가상자산사업자에 특화된 세부사항들이 추가된 것으로 알고 있다. 특히 암호키 관리 부분이 강화됐는데 구체적으로 어떤 부분인지 설명을 부탁한다.

가상자산사업자 대상 ISMS의 암호키 관리 항목의 가장 중요한 내용은 아래와 같다.

월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립ㆍ이행하고 있는가이다. 다음 내용이다.

△신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차 △개인키 passphrase 설정 및 관리 방안 △개인키의 안전한 보관(핫월렛, 콜드월렛) △개인키 접근 및 사용 절차 △개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책 △개인키 백업 및 소산 △개인키 관련 책임추적성 확보 △블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니터링 △기타 키 분할, passhrase 분할, 멀티시그, H/W월렛 등) 등이다.


■왜 암호키 관리가 중요한지에 대한 설명도 부탁한다.

위 내용을 살펴 보면, 해커와 같은 외부자 뿐만 아니라 내부자에 의한 블록체인 개인키 유출과 권한 오남용을 막기 위한 절차 임을 알 수 있다.

일반적으로 암호키는 암호화 대상 데이터와 함께 유출되어야 파급 효과가 크기 때문에 그 자체만으로는 큰 의미를 갖지 못하지만, 블록체인에 있어서 암호키(개인키)는 그렇지 않다.

내부자가 개인키를 캡쳐 하는 것만으로 수백억원 어치의 비트코인을 탈취할 수가 있고, 개인키를 분실하게 되면 수백억원 어치의 비트코인이 증발할 수 있기 때문이다.

그래서 특히, 블록체인과 블록체인 기반의 가상자산 사업자 대상의 암호키 보호는 중요하다.


■개정된 ISMS 인증을 위해 HSM 도입이 확대될 것으로 보인다. HSM은 무엇이고 어떤 특장점이 있는지 설명을 부탁한다.

개인키를 안전하게 보관·저장하면서 안전하게 사용할 수 있는 방법은 많지 않다. USB에 개인키를 담아 놓으면 해커 등 외부자에 의한 유출의 위협으로부터는 어느정도 안전하다고 할 수 있다.

하지만 내부자에 의한 유출은 막기가 대단히 까다롭다. 또한 어느 시점에선가 개인키를 사용하기 위해서는 온라인에 연결해야 하는데 이 때가 공격자 또는 잠복중인 악성코드에게 기회가 될 수 있다.

HSM은 암호화 연산성능을 가진 보안인증을 획득한 장치다. 개인키를 장치 안에서 안전하게 보호하는 것 뿐만 아니라, 안전한 암호화·복호화 연산까지도 담당한다.

간단히 정리하면 이렇다.

일반 서버에서 특정 데이터를 복호화 하기 위해서는 암호키를 메모리에 로드해 놓고 복호화 연산을 해야 하는데, HSM은 그렇지 않다. HSM에게 이렇게 명령하면 된다. “네가 가지고 있는 A키를 가지고 이 암호화 된 데이터 복호화 해줘”라고 명령만 하면 된다. 그렇게 하면 HSM을 제외한 어떤 서버에도 암호키의 흔적은 남지 않는다.

공격자는 HSM의 저장소와 메모리를 공격해서 키를 탈취해야 하는데, 이는 불가능 하다는 것을 ‘FIPS 140-2 Level 3’라는 NIST의 인증 내용으로 알 수 있다.


■HSM 전문기업으로서 엔트러스트(Entrust)의 HSM은 타사에 비해 어떤 차별점을 제공할 수 있는가.

블록체인 업계에서 엔트러스트의 HSM은 높은 시장 점유율을 가지고 있다. 그럴 수 밖에 없는 이유는 너무 간단하다.

블록체인에서 사용자는 모두 개인키를 발생시킨다. 또한 코인별로 서로 다른 개인키를 생성해야 하기 때문에 블록체인 플랫폼에서 보호해야 할 개인키는 기본적으로 수억 개에 이른다.

엔트러스트의 HSM은 20년 전인 최초부터 이러한 대량의 키보호 시스템을 염두에 두고 아키텍쳐를 설계했다. 키 토큰을 DB와 연계해 관리하기 때문에 속도저하 없이 무제한의 키를 저장하고 운용할 수 있다.

또한 엔트러스트 HSM은 백업과 이중화 그리고 부하분산에도 탁월한 안정성과 편의성을 제공한다.


■공인인증서 폐지로 사설인증서비스기관들이 증가할 전망이다. 이때 HSM은 어떤 역할을 할 수 있을까.

이번에 사설인증 시범사업자로 선정되어 국세청의 연말정산 시스템의 인증 수단으로 사용되는 5개의 인증서가 있다. 이 중 대부분이 엔트러스트 HSM을 도입했다.

공동인증서와 같은 일반적인 PKI 방식의 인증기술에서는 HSM에서 루트인증서와 하위 인증서를 안전하게 생성하고 보호한다.

앞으로는 전자서명법의 개정취지에 따라 다양한 인증방식들이 도입될 것으로 예상된다. 블록체인을 기반으로 한 DID(분산신원증명) 방식 등이 대표적인 예다. 하지만 어떤 방식의 인증이든 전자서명을 위해 암호화 기술과 암호키는 반드시 사용될 수밖에 없다.

엔트러스트의 HSM은 PKI 기술과 블록체인 기술의 대표적인 성공 사례를 모두 보유하고 있기 때문에 사설인증 기술의 보안강화에 보탬이 될 수 있을 것이다.


■HSM 도입을 하지 않으면 발생할 수 있는 보안사고는 어떤 것들인가.

최근에 공급망 공격과 보안제품 제조사에 대한 해킹 공격이 큰 이슈가 되고 있다.

탈취한 보안회사의 코드사인 인증서로 악성코드를 서명해 백신을 우회하고, 업데이트 등 여러가지 예외처리가 되어 있는 보안솔루션 정책서버의 루트계정을 탈취해 기업 내부에 침투하기도 한다. 이는 보안솔루션의 인증절차와 암호키 보호절차가 제대로 되어 있지 않은 원인이 크다.

HSM은 보안솔루션의 보안을 강화하는 역할을 담당한다.

모범사례 한 가지를 소개해 보면, 국내 대표적인 인터넷은행에서는 내부에서 사용하는 대부분의 보안솔루션을 HSM과 연동했다. 각종 인증서들과 데이터, 통신 패킷을 암호화하는 암호키들을 모두 HSM에 저장하고 안전하게 운영하고 있다. 이 회사의 보안시스템은 모든 은행 중에서 가장 안전한 것으로 평가받고 있다.


■이외에도 HSM을 도입해 긍정적 효과를 낼 수 있는 산업군은 어떤 분야들이 있으며 그 이유는 무엇인가.

HSM은 암호키를 보호하는 것이 본연의 임무지만, HSM의 진면목은 다른 곳에 있다. 절대 침해되지 않는 안전한 OS가 HSM내에서 구동되기 때문에, 가장 중요한 로직이나 코드를 HSM 내에서 수행하고 보호할 수 있다.

스마트폰의 잠금해제시 사용되는 비밀번호에 대한 시도횟수 제한의 로직을 HSM내에서 구동시키는 것이 가장 대표적이다. 제조사의 보안 설계자, 개발자 또는 CEO라고 하더라도 이 로직을 바꿀 수 없다.

송금을 허용해야 할 계좌목록의 화이트리스트를 코드화 해 HSM내에서 구동시키는 사례도 있다. HSM은 모든 분야의 하드웨어와 소프트웨어의 보안을 강화시켜주는 팔방미인이 되어가고 있다.


■엔트러스트의 국내 주요 레퍼런스는.

안타깝게도 기업의 경우 도입사례 공개를 꺼려하기 때문에 밝히기가 어렵다. 공개할 수 있는 곳만 말씀드리면 행정안전부, 한국인터넷진흥원, 대법원, 국세청 등 정말 많은 대형 고객사에서 HSM을 사용하고 있다.


■2021년도 엔트러스트 사업 전략과 목표는 무엇인가.

첫번째는 블록체인과 사설인증 시장에 대한 시장 확장을 목표로 하고 있다. 작년부터 열리기 시작한 이 시장에서 엔트러스트는 독보적인 지위를 확보했고, 독점적인 성공사례를 보유하고 있기 때문에 큰 성장을 전망하고 있다.

두번째는 디지털뉴딜의 대표적 분야인 데이터 활용 시장이다. 2020년 말에 선정되는 마이데이터 사업자들이 안전하게 데이터를 주고받을 수 있도록, 엔트러스트는 엔드 투 엔드 보안기술을 제공한다. 또한 개인정보 비식별화를 통해 안전한 데이터 가공과 활용이 가능하도록 관련 솔루션들과의 연계를 진행 중이다. 내년 중순부터 본격적으로 시장이 개화할 것이라고 예상한다.

언젠가부터 암호화라는 기술은 일반 개발자들도 필수로 사용해야 하는 기술이 되었다. 보안솔루션을 비롯한 모든 시스템에는 암호화 기술이 포함되어야 함을 모르는 사람을 이제 없다.

하지만 아직 암호키 보호의 필요성을 제대로 인식하는 이는 많지 않다. 외국에서처럼 암호화 기술을 사용하면 당연히 암호키 보호에 대한 대책이 뒤따라야 한다는 사실을 알리는 것이 2021년의 큰 목표이다.

엔트러스트는 한국의 전반적인 보안시스템의 개선과 보안인식 향상에 기여하기를 희망한다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★