UPDATED. 2020-04-03 19:35 (금)
[기획] 보안-사용성 시소게임에 변화 온다
[기획] 보안-사용성 시소게임에 변화 온다
  • 박광하 기자
  • 승인 2020.01.15 08:23
  • 댓글 0
이 기사를 공유합니다

■편하고 안전한 통신 구현 신기술 동향

기존 보안방식 사용 불편… 대안 필요 목소리 높아
홍채 등 생체정보 활용 본인인증방식 대두
ESNI·와이어가드, 도·감청서 사용자 보호

'보안과 사용성은 반비례 관계'라는 이야기가 있다. 정보보호산업계에서 흔히 언급되곤 한다. 보안을 강화하면 사용성이 떨어지고, 사용성을 확보하다 보면 보안 취약점이 생길 수 있다는 것이다.

예를 들어 여러 웹사이트들은 사용자 계정 암호에 영문 대소문자, 숫자, 특수기호를 섞어야 하고 길이도 8자 이상 써야 한다고 강제한다. 1년이 멀다하고 암호를 바꾸라고 닦달하는가 하면, 기존 사용 암호는 재사용을 금지하기도 한다. 암호를 잊어버리기라도 하면 본인인증을 포함하는 암호 재발급 절차로 가야 한다.

사람들은 지치기 시작했다. 문명이 발달하고 정보통신기술(ICT)이 고도화되고 있는데도 불편함이 해소되지 않고 있다는 것이다. 이에 기술자들은 답을 찾기 시작했다.

 

복제 위조 어려운 생체인증 각광

본인인증은 통신보안의 핵심 중 하나다. 온라인에서 재산이나 권리 등 법률적인 이익을 거래하는 경우, 나와 통신하는 상대방이 누구인지를 확인하고 거꾸로 상대방에겐 내가 누구인지를 확인시켜줘야 하기 때문이다.

기존에는 공인인증서나 아이핀과 같은 비표준 인증 체계를 이용해왔으나 이들을 이용하기 위해 부수적으로 설치해야 하는 프로그램의 경우 웹브라우저 호환성이 부족하거나 운영체제(OS)에 문제를 일으키는 등의 부작용으로 불편함이 많았던 것이 사실이다.

이런 문제를 해결하기 위해 사람마다 고유한 값을 갖고 있는 생체 정보를 이용한 본인인증 방식이 온라인에서 점차 사용 확대되는 추세다.

대표적으로 지문인식이 있다.

사람의 손에 있는 지문을 읽어서 신원을 식별하는 이 기술은 개인마다 고유의 지문을 선천적으로 가지고 있기 때문에 다수의 사람을 대상으로 특정 개인을 식별하기 위한 요소로써 사용에 편리하다. 신분증처럼 별도로 소지하고 다닐 필요도 없고 비밀번호처럼 잊어버릴 염려도 없다.

홍채(Iris) 인식은 사람의 생체 기관 중 하나인 홍채를 이용한 생체인식 기술이다.

이 기술은 사람마다 지닌 홍채의 모양이 모두 다르다는 데서 출발했다. 심지어 동일인물이라도 왼쪽 눈과 오른쪽 눈의 홍채가 서로 다른 경우도 있다고 알려져 있다.

이런 이유에서 홍채인식 기술은 지문인식처럼 상당히 높은 보안성을 보여준다.

지문은 사고 등으로 변형되거나 상실될 수 있는 반면에 홍채는 사실상 반영구적으로 사용할 수 있다는 점도 눈여겨볼 만하다.

어떤 영화에서처럼 적출한 안구를 이용해 홍채인식을 우회할 가능성은 없을까. 업계에서는 "홍채의 경우 안구를 적출하는 과정에서 신경이 끊어질 경우 다른 모습으로 변하기 때문에 도용될 가능성이 낮다"고 말한다.

얼굴을 삼차원(3D)로 스캐닝해 본인인증을 하는 안면인식 기술도 있다.

이 기술은 카메라를 이용해 안면을 인식하는 방식과 레이저, 적외선 등의 전용 하드웨어를 사용해서 안면을 인식하는 방식 등으로 구분된다.

카메라를 이용한 방식은 얼굴의 굴곡을 인식하지 못해 사진으로 무력화되기도 쉽고 어두운 밤에는 인식이 불가능하다는 지적이 일어, 현재는 인식성능, 신뢰성, 보안성 모두 높은 레이저·적외선 사용 방식이 사용된다.

이 밖에도 음성·정맥·피부 등을 이용한 인식 기술 등이 주목을 받는다.

 

암호화 기법 개발 거듭해 통신비밀 보호

지난해 정부에서는 시민들이 사설도박 등 불법 웹사이트에 접근하는 것을 차단하기 위해 서버 네임 인디케이션(Server Name Indication, SNI)을 이용한 차단 기술을 인터넷에 적용한 바 있다.

네티즌들이 정부의 인터넷 감시를 무력화하기 위해 보안통신인 HTTPS 방식을 사용하자, HTTPS 통신에서 암호화가 이뤄지지 않는 SNI 부분의 목적지 주소를 들여다보는 방식을 도입한 것이다.

웹사이트 필터링 및 차단은 국가마다 그 형태가 다양하지만 시민의 알 권리를 침해하고 자율성을 훼손할 수 있다는 비판이 꾸준히 제기되고 있는 실정이다.

네티즌들도 정부의 이런 조치에 맞서 사설 가상망(VPN) 등을 이용해 통신 우회를 하는 경우도 있으나 이 과정에서 속도 저하 등의 단점도 발생한다.

이에 기존 SNI의 단점을 보완하기 위해 등장한 것이 암호화 SNI(Encrypted SNI, ESNI)다.

TLS 표준에 따르면 SNI는 통신 과정에서의 도메인 부분 암호화가 정의돼 있지 않다. 따라서 SNI 부분이 평문 형태로 전송된다. 정부의 SNI 필터링은 이 허점을 이용한 것이다.

반면 ESNI는 클라이언트 브라우저에 서버의 공개키가 전달되는 시점을 DNS 통신 단계로 앞당겨, 서버와 연결하는 시점에 해당 공개키로 도메인이 암호화될 수 있도록 한다.

ESNI 확산 움직임은 꾸준히 진행되고 있다.

지난 2018년 7월 2일에 애플, Cloudflare, Fastly, 모질라에 의해 작성된 TLS 1.3을 전제로 한 확장 규격으로서의 SNI 암호화 규격의 초안 문서가 인터넷국제표준화단체(IETF)에 등재됐다.

이어 같은 해 9월 Cloudflare가 초안 규격에 의한 ESNI 시범 서비스를 개시했다. 이어 웹브라우저인 파이어폭스의 최신 안정화 버전에서 ESNI 지원이 시작됐다.

 

KT는 IMSI 프라이버시 기능을 도입했다. [사진=KT]
KT는 IMSI 프라이버시 기능을 도입했다. [사진=KT]

개인정보 보호 자동화

와이파이 통신의 경우 암호화가 적용되지 않은 공개 통신에서는 제3자가 통신 패킷을 중간에서 가로채는 방식으로 각종 사용자 정보를 훔쳐볼 수 있다는 단점이 있다.

이런 문제를 해결하기 위해 WPA2 기술 등을 이용한 사용자 인증 및 암호화 기술이 개발됐지만 불특정 다수를 위한 공공 무선 와이파이 등에서 이용하기에는 불편하다는 지적이 제기돼 왔다.

사용자는 별다른 설정을 할 필요 없이 와이파이 통신에서 개인 정보를 암호화하는 기술은 없을까.

국내에서는 KT가 이 문제를 해결하기 위해 'IMSI 프라이버시' 기능을 도입했다.

IMSI는 국제적으로 이용하고 있는 가입자 고유의 식별번호로, IMSI 프라이버시 기능은 와이파이에 접속할 때 가입자 고유 정보를 암호화해 이를 단말장치 및 와이파이 무선송수신장치(AP)가 공유하는 기술이다.

KT는 IETF에서 와이파이 IMSI 암호화 기능을 필수 기능으로 요구하고 있지 않음에도, 고객의 개인 정보를 보호하기 위해 국제표준화단체(3GPP)의 IMSI 프라이버시 고도화 규격을 채택해 기술을 개발했다고 설명했다.

IMSI 프라이버시 기능을 적용함에 따라 KT 고객은 전국 13만개의 KT 와이파이 존에서 KT 와이파이와 KT 기가 와이파이 등에 접속할 경우 더욱 강화된 개인 정보 보안 환경에서 안전하게 와이파이를 이용할 수 있게 된다.

KT는 자사가 상용화한 최신 규격의 와이파이6(802.11ax)의 10기가 와이파이(10 GiGA WiFi)가 설치된 스타벅스 리저브와 수원 KT 위즈파크에서 이 기능이 자동으로 적용된다고 밝혔다.

 

차세대 VPN '와이어가드' 등장

와이어가드(WireGuard)는 보안에 초점을 두고 단순함과 쉬운 사용을 대표적인 특징으로 내세우는 VPN 프로토콜이다.

개발자에 따르면 와이어가드는 4000여개의 코드만으로 이뤄져 있는 등 기존 VPN 프로토콜보다 가볍다. 그만큼 보안 취약점 개선에 강점이 있을 것으로 평가받는다.

또한 Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24 등 발전된 암호화 기술을 사용함으로써 통신 보안성을 강화했다.

성능에서도 기존 VPN보다 뛰어나다는 주장도 나온다. 성능 테스트에서 OpenVPN과 IPSec 등보다 빠른 속도를 나타내는가 하면, 네트워크 구성도 간단하게 할 수 있다는 것이다.

폐쇄적인 라이센스를 강요하는 것도 아니어서 MS 윈도, 우분투 등의 리눅스 계열, FreeBSD 등의 BSD 계열, 애플의 iOS와 맥OS, 안드로이드 등 다양한 OS에서 와이어가드를 이용해 VPN을 구성할 수 있다.

은밀성도 갖추고 있다.

통신이 이뤄지지 않을 때는 클라이언트와 서버 역할을 동시에 할 수 있는 '피어' 간의 연결이 비활성화 된다.

또한 인식하지 않은 피어로부터 오는 어떠한 패킷에도 응답하지 않는다.

따라서 네트워크 스캐닝을 하더라도 시스템에서 와이어가드가 실행 중인지가 드러나지 않는다. 그만큼 도감청 우려에서 자유롭다.

이런 장점을 토대로 일부 상용 VPN 서비스 제공업체는 와이어가드 서버를 제공하고 있으며, 와이어가드를 지원하는 네트워크 제품들이 점차 늘고 있다. 이 밖에도 와이어가드를 이용한 네트워크 관련 프로그램들도 개발되고 있다.

 

'창과 방패'의 싸움… 승자도 패자도 미정

편리하고 안전한 통신을 위해 다양한 기술이 개발되고 있지만, 이를 무력화하는 기술 또한 발전해오고 있다. 숨기려는 자와 찾으려는 자의 끊임없는 경쟁이다.

삼성전자가 자랑하던 갤럭시 스마트폰의 홍채인식 기술을 보자.

이 기술은 어떻게 무력화됐을까. 카메라로 홍채 사진을 찍고 이를 삼성전자의 레이저 프린터로 인쇄한 다음 안구의 곡면을 구현하기 위해 인쇄된 종이 위에 콘택트렌즈를 얹는 것으로 끝이다.

이를 실증한 독일 해킹 단체 카오스컴퓨터클럽(CCC)은 갤럭시S8 홍채인식 기능을 활성화한 뒤 콘택트렌즈를 비췄을 때 스마트폰 잠금이 해제됐다며 삼성전자가 제조한 레이저프린터를 사용했다고 밝히기도 했다. 이후 삼성전자는 갤럭시S10에서 홍채인식 기술을 제외했다.

차세대 컴퓨팅 기술로 각광받는 양자컴퓨터를 활용한 정보보호 기술 무력화도 이슈화되고 있다.

미국 국가안보국 NSA에서 설계한 SHA(Secure Hash Algorithm) 암호화 기술은 현재 각종 보안통신에서 쓰인다.

특히 이 기술은 가상화폐 등 블록체인 산업에서 널리 사용되고 있다.

그런데 현존하는 컴퓨터로는 최소 수백년이 소요되는 SHA 무력화를 양자컴퓨팅을 이용해 경우 짧은 시간에 해낼 수 있다는 주장이 제기되면서 논란이 발생했다.

전문가들은 양자컴퓨팅으로 이 같은 일을 실제로 구현하기 위해선 수년에서 수십년까지 시간이 더 소요될 것이라고 낙관하고 있지만 기술발전 양상에 따라 그 시기는 앞당겨질 수도 있는 것이다.

결국 정반합의 원리대로 어떤 기술이 등장하면 그에 대한 대항 기술이 나오고, 결국 기존 기술을 대체하기 위한 또 다른 기술이 등장한다. 또한 이 같은 기술적 경쟁을 통해 통신은 더욱 안전하고 편리하게 변화하고 있다. 승자는 이 기술들을 사용하는 사용자일 것이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 발행·편집인 : 장승익
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2020-04-03
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2020 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
ND소프트