본문 바로가기

아이티 이야기

Active-X NO! JSP기반-챌린지패스 적용 보안기술?

어제 인터넷진흥원에서는 JSP 기반으로 개발된 키보드 보안 기술 발표가 있었습니다. olleh~! 그럼 이제 Active-X는 쓰지 않아도 되겠군요! 자바 등 Active-X 이외의 기술로 기존의 국내 보안 기술을 대체하려는 시도가 많았지만 키보드 보안처럼 하드웨어적인 부분에서 여러 문제가 발생했었으니까요. 그런데 막상 내용을 다시 잘 읽어보면 아직 완성된 기술은 아닌 듯하여 아쉬움이 남습니다. 지나치게 많은 정보를 요구하고 불편을 강요하면서 결국 개인정보를 유출하는 과정을 얼마나 더 반복하면 좀 편리하면서도 안전한 보안 서비스가 제공될 수 있을까요.



김미리 기자 milkyway@imas.co.kr


안전한 인터넷 이용과 패스워드 탈취 방지 등 개인정보유출 방지를 위한 새로운 키보드 보안 기술이 정부의 주도하에 탄생됐다.


한국인터넷진흥원(이하 KISA)가 시큐어패스(SecurePass)에 대한 기술개발 완료를 발표하고, 상용화를 위한 기술이전 설명회를 가졌다.


KISA는 4월 15일 서울 가락동 KISA본원 중회의실에서 키보드 입력 대체수단 개발업체와 은행, 게임업체 보안담당자를 대상으로 시큐어패스 기술에 대한 소개와 활용법과 방안, 그리고 시큐어패스 기술 도입을 위한 방안 안내 등의 시간을 가졌다.


KISA가 개발한 시큐어패스는 매 사용시마다 랜덤하게 변경되는 패스워드 입력판과 숨겨진 마우스를 움직여 패스워드를 입력하는 ‘챌린지패스’ 보안방식이 특징이며, 기존의 키보드보안 시스템의 액티브엑스(ActiveX)를 기반으로 개발돼왔던 것에 비해, 시큐어패스는 JSP를 기반으로 개발됐다.


챌린지패스 방식으로 개발된 시큐어패스는 알파벳과 숫자로 이뤄진 6×6 행렬과 7×7 행렬형태의 기본패스워드 형태를 이용한다. 6×6 행렬은 알파벳 26자와 숫자 10자로 구성되며, 7×7 행렬은 알파벳 26자, 숫자 10자, 특수문자 13자로 구성되는데, 시큐어 패스는 이와같이 구성된 하나의 판 위에 숨겨진 마우스를 이용하여 패스워드를 클릭하거나, 패스워드 입력화면을 두개의 층으로 구성해 이동시켜 패스워드를 입력하는 방식으로 이뤄지게 되는 것이다.


KISA측은 “패스워드를 키보드로 입력하는 방식은 악성코드 등을 통해 키보드로 입력된 정보를 기록해 탈취하는 키로깅(Key logging) 공격과 패스워드 입력시 옆에서 지켜보거나 몰래 카메라 녹화 등으로 패스워드를 알아내는 숄더서핑(Shoulder surfing) 공격에 취약하다”며 “이러한 보안위협에 취약한 것을 보완하기 위해 방송통신위원회에서 지원하는 암호이용활성화 사업의 일환으로 시큐어패스를 개발하게 됐다”고 밝혔다.


더불어 KISA는 시큐어패스의 활용에 대해 인터넷 뱅킹시 계좌 비밀번호나 보안카드 번호를 안전하게 입력하기 위한 수단으로 사용될 수 있으며, 온라인게임에서 아이템 교환등에 사용되는 모바일 OTP와 같이 2차 인증수단으로 활용할 수 있다고 언급했다. 또한 터치스크린을 이용하는 스마트폰, ATM기기의 환경에서도 활용할 수 있다고 덧붙였다.


시큐어패스의 개발을 주도한 한병진 KISA 융합보호 R&D팀 주임연구원은 “시큐어패스는 현재 JSP방식의 대중화된 보안모듈을 기반으로 만들어지긴 했으나, 아직 미완성인 상태다. 기술이전이 이뤄지는 각 분야와 기업의 특성과 개발되는 분야의 특성에 맞게 액티브X 기술이 재차 적용될 수도 있고, 닷넷 등 다양한 방식으로 이용될 수도 있다”고 언급했다.


시큐어패스의 기술이전을 원하는 기업은 오는 4월 16일부터 4월 29일까지, KISA 융합보호 R&D팀에 우편 혹은 직접 접수방식을 통해 신청하면 된다.