[GSC 2012] 스마트폰 보안 위협과 개인정보보호를 위한 전략 - 소프트포럼 신윤섭 팀장

2012년 4월 4일, 서울 삼성동 그랜드인터컨티넨탈호텔에서 '제1회 게임보안컨퍼런스(이하 GSC 2012)'가 열렸다. 최근 게임업체들의 보안 관련 관심도가 높아지고 있는 가운데 열린 이번 컨퍼런스는 동아닷컴이 주최, 게임동아가 주관하고, 안철수 연구소, 팔로알토(Palo Alto)네트웍스, VMware, 소프트포럼, 한국 맥아피, 싸이버원, RSA시큐리티, 한국 주니퍼네트웍스 등 유명 보안 솔루션 회사와 넥슨, 엔씨소프트, NHN, 네오위즈게임즈 등 국내 유명 게임업체 보안 담당자 100여 명이 참석해 높은 관심을 드러냈다.

오전 9시부터 시작한 이번 행사는 경찰청, 팔로 알토, VMware, 소프트 포럼이 각각의 주제를 가지고 게임업체 담당자들 앞에서 공통세션을 진행했으며, 오후에는 온라인 게임과 모바일 게임으로 나뉜 트랙세션으로 진행했다. 특히, 8개 게임업체를 선정해 보안 업체가 1:1로 보안 관련 컨설팅을 진행하고, 최고의 보안 컨설팅 업체를 선정하는 ‘나는 보안이다’라는 스페셜 프로그램은, 게임사와 보안 업체가 서로 윈윈할 수 있는 좋은 계기가 되었다는 평가다.

GSC 2012의 세 번째 공통세션은 소프트포럼의 신윤섭 팀장이다. 소프트포럼은 제11회 대한민국 소프트웨어 기업경쟁력 대상에서 정보보호/보안SW 분야의 우수상을 수상한 전력이 있다. 대표 보안 솔루션으로는 XecureWeb 공인인증 연동 모듈 등이 있다.

스마트폰보안 위협 및 기술적 대응방안

2009년 말, 아이폰의 국내 도입과 함께 시작한 스마트폰 혁명은 2012년 초 어느새 2,500만 명 시대를 맞이하고 있다. 모바일 운영체제를 탑재한 스마트폰은 내 손안의 컴퓨터라고 불릴 정도로 PC와 유사한 점이 많다. 다만, PC가 언제나 보안위협을 받는 것처럼 스마트폰도 보안 측면에서 안전하지가 않다. 이에 신 팀장은 스마트폰 보안위협 및 기술적 대응방안에 대해서 먼저 설명했다.

그는 “스마트폰을 잃어버리거나 도난당하게 되면 추가 범죄(금융거래, 전자결제, 사기 등)에 악용될 수 있다. 그리고 유용한 애플리케이션(이하 앱)으로 위장한 악성 앱을 내려받을 수도 있어 개인정보를 유출 당하거나 사용자도 모르는 사이에 다른 범죄에 악용될 수도 있다. 특히, 게임과 같은 특정 앱은 일반인도 쉽게 해킹해서 게임 내 데이터를 바꿔 현금으로 사는 캐시머니, 아이템 정보 등을 조작할 수도 있다. 그나마 보안이 잘되어 있는 것으로 알려진 스마트뱅킹 앱은 원래 해킹된 스마트폰에서 작동하지 않아야 하지만, 약간의 조작만 가하면 이용할 수도 있다”라며, “이처럼 기존의 정상적인 앱을 위/변조하면 앱 제작자 즉, 게임업체는 많은 피해를 받을 수밖에 없다”라고 말했다.

이어서 그는 “앱 위/변조를 알아낼 수 있는 기술을 소프트포럼이 개발해냈다. 서버와 스마트폰을 연결해 악의적인 목적으로 위/변조된 앱을 감지하고 실행을 금지시키는 XecureAppShield라는 제품이다. 스마트폰이 앱 무결성 검증을 랜덤(Random) 값이나 해쉬(Hash) 알고리즘 등으로 서버로 전송하면, 서버가 앱 무결성을 검사 완료한 후 해당 앱 서비스 서버에 접속하는 것을 허용하는 것이다. 모바일 결제를 할 때 결제 코드가 문자로 전송되어 오면 그것을 다시 한번 입력해 완료하는 것과 비슷한 방식이다”라고 설명했다.

그리고 “스마트폰 앱 위/변조를 알아내는 것뿐만 아니라, 개인정보 보호도 함께 하고 있다. 스마트뱅킹 공인인증서 시스템을 마련해 우리은행, 국민건강보험, 국민연금공단 등의 앱에 서비스를 제공하고 있다”라고 덧붙였다.

개인정보보호를 위한 DB암호화 전략

스마트폰 보안위협에 대한 설명에 이어 개인정보보호를 위한 DB암호화 전략도 소개했다. 그는 “개인정보보호법을 알아둘 필요가 있다. 2011년 9월 이후 공공, 민간을 망라한 개인정보를 취급하는 모든 주체에 적용되는 원칙이 있다. 간단하게 설명하면 비밀번호, 바이오 정보의 일방향 암호화 저장, 주민등록번호 및 계좌정보 등 금융정보의 암호화 저장, 그 밖에 암호화 기술을 이용한 보안 조치 등이 있다. 즉, 개인정보에 관련된 내용은 암호화해서 저장해야 할 것을 공지하고 있다”라고 설명을 시작했다.

그는 “개인정보 암호화 저장이 필수가 되면서 관련 기술이 주목을 받고 있다. 소프트포럼은 API 방식과 플러그인(Plug-In) 방식 두 가지로 DB암호화 기술을 제공하고 있다. API 방식은 암호화 속도가 빠르지만 API를 직접 수정해야 하는 번거로움이 있으며, 플러그인 방식은 쉽게 적용할 수 있지만 속도가 약간 느리다는 단점이 있다”라고 말했다.

또한 그는 “부분암호화 기술도 있다. 저장하려는 전체 데이터를 암호화하기에는 시간도 오래 걸리고 검색 성능이 저하되는 단점이 있어 부분적으로 암호화를 가하는 것이다. 예를 들어 주민등록번호의 앞자리는 그냥 놔두고 뒷자리를 암호화하는 방식 등이 있다. 이외에도 데이터 용량의 증가 현상이 없는 암축암호화 기술, 파일 암호화 및 컬럼별 암/복호화 키 설정 기술, 서버 장애 시 업무 연속성 보장 기술, 암호화 대상 데이터 접근 로그 및 기록 관리 기능 등도 보유하고 있다”라고 덧붙였다.

글 / IT동아 권명관(tornadosn@itdonga.com)