USB Key와 서명토큰

다음의 글은 http://blog.initech.com/planning/?p=54 로부터 가져온 글입니다.
최근의 보안강도를 보면 무서울정도로 강화가 되고 있습니다.
그만큼 해킹의 정도가 심하기 때문이겠지요...


January 18, 2007 at 2:32 pm · Filed under Uncategorized
최근 KISA에서 PKCS#11 표준제정을 둘러싼 여러가지 작업들이 진행중입니다.KISA에서는 2004년 11월에 “암호토큰을 위한 PKCS#11 프로파일 규격[V1.00]”을 내놓았습니다. 이 규격에서 암호토큰의 정의는 암호관련 정보를 저장하거나 암호기능을 수행할 수 있는 논리적 관점의 디바이스로써, 암호연산 기능을 내장한 스마트카드, USB, PCMCIA 등의 저장매체 또는 윈도우즈 파일 시스템을 지원하지 않는 USB, PCMCIA 등의 다양한 저장매체로 규정되어 있습니다.
최근 개인 PC의 해킹으로 인한 공인인증서 도난이 여러가지 인터넷 서비스에 대한 위협으로 등장하자 KISA에서는 광범위하게 정의되어 있는 암호토큰에 대한 정의를 수정하고자 시도하고 있습니다. 이러한 움직임의 하나로 HSM이라는 용어가 만들어지면서 개인키의 생성과 개인키를 이용한 전자서명 기능을 하드웨어 자체적으로 수행할 수 있는 매체로 지정하고 PKCS#11규격에 이러한 HSM만이 유일한 매체로 인정하려는 시도가 있었습니다.
HSM은 Hardware Security Module의 약자로서 이는 일반적 혹은 국제적으로 서버단에서 키 관리 및 암호화 연산을 수행하는 장치를 지장하는 용어입니다. 원래는 사용자용 장치를 지칭하는 용어가 아니였으나 사용자 인증서 해킹 문제가 발생하게 되었을 경우 정통부에서 사용자단에서 개인키를 생성 전자서명을 할 수 있는 디바이스의 용어를 찾다가 HSM이라는 용어를 사용하게 된 것이 그 시작이라고 할 수 있습니다.
관련된 모든 기관이나 업체들이 개인키 관리를 위한 여러가지 문제로 인한 하드웨어를 이용해야 한다는 것에는 모두 동의했으나 문제는 USB Key 업체들이였습니다. 우리도 SSO 등의 솔루션을 납품할 때 관리자 인증을 위하여 USB Key등을 공급받아 사용한 적이 있었습니다. 이러한 USB Key는 USB Driver과 HSM이라고 지칭되는 디바이즈의 중간적인 성격의 것이라고 할 수 있습니다.
인증서 저장 매체로 USB Drive도 많이 사용되는 이는 보안적인 기능이 전혀 없는 기기로서 거의 플로피 디스크의 대체품이라고 할 수 있습니다. 이러한 USB Dirve에 보안기능을 탑재한 것이 USB Key라고 할 수 있습니다. USB Key는 USB Drive와 같이 데이터를 저장할 수 있는 기능에 자체적인 API를 이용하여 보안기능을 수행할 수 있었지만, HSM과 같이 개인키를 생성하거나 전자서명 기능을 하드웨어에서 수행할 수 는 없습니다.
HSM의 경우 가격적인 측면에서 몇만원대의 높은 가격을 유지하고 있으나 (암호연산을 위한 Co-Processor의 가격때문에) 상대적으로 USB Key는 저렴한 가격입니다. 그래서 HSM은 아직 쓰이고 있는 곳이 없으나 USB Key는 금융권 등에서 많이 사용되고 있습니다. (특히 정보인증이 많이 사용하고 있습니다.)
이러한 상황에서 향후 인증서 외부 저장의 표준으로서 PKCS#11이 거의 확실시 되고 있는데 거기에 USB Key는 제외되니 USB Key (국내의 대부분 USB Key업체는 영세합니다) 업체들이 반발하기 시작합니다.
그래서 정리된 것이 HSM이라는 용어는 서명토큰이라는 이름으로 다시 정의됩니다. 그리고 USB Key업체들이 그동안 각 사별로 개별적으로 가지고 있던 API를 통일하여 표준안을 제정하려고 하고 있습니다. 2월 1일까지 USB Key 업체들이 자체적인 표준안을 개발하여 발표할 예정입니다.
이렇게 되면 공인인증서 관련 업체들의 고민은 인증서 저장 및 사용시 USB Key와 서명토큰을 구분하는 일입니다. 이 둘을 구분해야 하는 이유는 금감원이 2005년 8월에 내놓은 전자금융거래 종합대책에서 사용자별 등급을 두어 이체한도 등 제한을 두라고 되어 있는데 여기서 1등급이 되려면 HSM을 이용해야 합니다. USB Key가 아니지요. 즉, USB Key를 이용한 인증서 저장은 지원하되 HSM (서명토큰)과는 구분해야 합니다. 이러한 구분 방법에 대해서는 현재 금결원에서 안을 작성하고 있습니다.
USB Key 표준과 USB Key와 서명토큰에 대한 구분 안에 대해서는 나오는 대로 다시 정리하도록 하지요.
참고로 USB Key를 제공하는 업체는 엔라인시스템, 한울, 인터넷시큐리티, NIS 등의 업체들이고, 서명토큰을 제공하는 업체들은 Aladin, Rainbow등의 외국 업체들입니다.