무선 보안의 현재와 미래
본격적인 모바일 거래, 모바일 비즈니스 시대를 맞이하고 있다. 무선 인터넷의 등장으로 이제는 언제 어디서나 핸드폰이나 PDA 등 무선 단말기를 이용해 인터넷에 접속해 정보를 검색하고 은행이나 증권 거래를 하며, 영화표를 예매하고 회사 업무를 처리할 수 있는 환경이 펼쳐지고 있다. 그러나 과연 무선 환경에서도 유선에서와 마찬가지로 개인정보나 거래의 안전성을 보장받을 수 있을까? 무선 인터넷을 넘어 모바일 상거래 및 비즈니스를 활성화하기 위해서는 보안 문제는 반드시 해결되어야한다.
이 때문에 통신업체들과 보안업체 등 관련 업체들은 지난 몇 년간 무선 보안 인프라를 구축하기 위한 준비에 매달리고 있으며, 앞으로 보안 문제가 해결되면 무선 환경의 사용자 신뢰성 확보로 시장은 더욱 확산될 것으로 예상된다.
이유지 기자 yjlee@infotech.co.kr
1부. 무선 인터넷 보안
무선 인터넷 보안 WPKI 기술 '각광'
무선 공인인증서비스 내달 본격 서비스 예상
모바일 뱅킹.증권.정부 등 다양한 서비스에 접목
무선 통신망은 크게 CDMA와 무선 랜(LAN)으로 나뉘어진다. CDMA는 핸드폰이나 PDA 등 무선 단말기와 기지국 사이의 무선 통신 구간이며, 무선랜은 단말기와 AP(액세스포인트) 사이의 구간이다. 이러한 무선 네트웍 환경에 따라 무선 보안도 CDMA 보안과 무선 랜 보안으로 영역이 양분화되고 있다.
현재 CDMA의 보안으로는 WPKI(무선 공개키기반 구조, Wireless PKI) 기술이 각광을 받고 있으며, 무선랜 보안으로는 모바일 VPN(가상사설망)과 기업형 무선랜 보안 장비(액세스 컨트롤러, AP 인증/암호화/권한제어) 등이 대표적으로 활용되고 있다. 이 중에서 WPKI는 현재 무선 보안 영역에서 가장 큰 비중을 차지하면서 각광받고 있으며, 앞으로 무선 단말기 환경이 더욱 향상됨에 따라 더욱 다양한 보안기술이 적용될 것으로 예상되고 있다.
무선 인터넷 보안 'WPKI' 각광
WPKI는 무선 환경에서 송수신 데이터를 암호화하며 전자서명 기반의 인증을 통해 안전한 통신을 수행할 수 있도록 한다. 무선 프로토콜로 국내 이동통신사들이 채택하고 있는 WAP(Wireless Application Protocol)과 ME(Mobile Explorer)는 기본적으로 아이디/패스워드 기반의 인증을 제공하고 있지만, 현재 무선 인터넷 서비스가 상거래 영역으로 보다 확대되면서 보다 정확한 사용자 인증과 보안을 위해 WPKI를 확대 적용하고 있다.
WPKI의 핵심 기술은 기본적으로 암복호화 및 전자서명을 제공한다는 면에서 유선 PKI와 동일하지만, 무선 네트웍과 단말기(핸드폰) 환경에 맞게 알고리즘이나 모듈을 약간 수정했다. 즉 제한된 네트웍 대역폭과 소용량 단말기 성능 등 무선 환경의 제약에 따라 경량화․단순화된 보안 프로토콜 및 모듈을 사용하고 있다. 따라서 유선 PKI에서 사용하는 RSA 알고리즘 대신 ECC 알고리즘을 사용하며, 인증서 형식이나 검증/저장/전송 방식 등에 약간의 차이가 있다.
WPKI 확산에서 일등공신 역할을 하고 있는 것은 단연 이동통신사들이다. 이동통신사들은 모두 무선인터넷을 통해 보다 새로운 수익을 창출하기 위해 m-커머스의 활성화를 위해 노력하고 있으며, 무선 환경에서의 거래에 대한 신뢰도를 높이기 위해 사용자 인증 및 보안을 강화하고 있기 때문이다. 이러한 이통사의 서비스 전략과 더불어 무선 보안은 단대단(End to End) 보안을 위한 단순 암호화에서 WPKI를 적용한 인증서 기반의 인증 및 암호화가 구현되고 있다.
그러나 이러한 이통사 중심 구조는 당연한 결과일 수밖에 없다. 무선 인터넷 서비스 환경 자체가 망과 단말기를 보유하고 있는 이통사가 영향력을 쥐고 있어 CP나 보안솔루션 개발업체들은 종속될 수밖에 없기 때문이다.
따라서 단말기 안에 인증서 발급 및 저장 관리, 암호화, 전자서명을 위한 보안 모듈을 구현해야하는 무선 보안 환경에서는 이동통신사 주도로 보안 시스템을 구축했으며, 각각의 협력업체를 선정했다. 2000년 초 가장 먼저 WPKI 개발에 들어간 SK텔레콤은 협력업체로 시큐어소프트를, KTF는 드림시큐리티를, LGT는 케이사인을 각각 협력업체로 선정해 각각의 이통사들이 채택하고 있는 단말기 환경에 맞게 독자적인 WPKI 모듈을 개발했다.
단말기 의존도 때문에 각 이동통신사업자들이 지원하는 인증시스템을 별도로 구축해야 하는 공인인증기관들은 시스템 개발에 들어갔으나 공인인증기관마다 이동사별로 3개의 CA(Certificate Authority)를 구축해야하기 때문에 많은 부담을 안게 되었다. 이 때문에 정통부는 한국정보보호진흥원(KISA)을 통해 무선 PKI 기술 규격과 공인인증기관 심사 기준을 내놓았으며 이통사들은 이에 맞춰 공인인증시스템을 개발했다.
현재 6개 공인인증기관 중 한국정보인증은 SK텔레콤, KTF, LGT의 공인인증시스템을 구축해 실질 심사 및 시험운영을 모두 완료했으며, 한국증권전산도 3개 이통사의 실질 심사를 마치고 현재 LGT 공인인증시스템 시험운영을 하고 있다. 금융결제원은 하나의 서버에서 3개 이통사를 지원할 수 있는 통합 방식으로 인증시스템을 구축해 현재 심사를 받고 있다. 한국전자인증도 KTF와 연계한 공인인증시스템을 구축했다.
한국정보인증, 한국증권전산이 3개 이통사 공인인증시스템 실사를 완료함에 따라 조만간 무선 공인인증서비스는 본격적으로 시행될 수 있을 것으로 보인다.
무선 공인인증서비스 본격 시행 '눈앞'
유선 환경에서뿐 아니라 무선 환경에서도 공인인증 기관을 통해 국가 공인인증서를 발급받아 신원을 확인할 수 있는 증명서로 사용할 수 있어 안전한 상거래를 보장받을 수 있게 되었다. 무선 공인인증서는 전자서명법에 의해 공인인증 제도가 뒷받침되고 있어 휴대폰을 이용한 무선인터넷 결제나 거래 시 거래 내용에 대해 법적 보호를 받게 된다.
국내 무선 공인인증서비스는 당초 지난해부터 본격적인 서비스가 시행될 수 있을 것으로 기대되었다. 그러나 현재까지 무선 공인인증서비스를 하고 있는 이동통신사는 한군데도 없다. 지난해 말 SK텔레콤이 대우증권의 모바일 트레이딩에 무선공인인증시스템을 처음 적용하면서 본격적인 서비스 시행이 예상되었지만 현재 정식으로 서비스를 오픈하지 않은 상황이다. SK텔레콤은 조만간 한국정보인증, 한국증권전산 등 공인인증기관들과 본격적인 서비스를 오픈 할 수 있을 것으로 보이지만, KTF나 LGT의 경우 공인인증서비스 개시에 시간이 걸릴 것으로 보인다. 하지만 KTF도 대우증권의 서비스에 무선 공인인증 시스템을 적용했다.
SK텔레콤 탁형영 m-Finance 사업본부 과장은 "본격적인 무선 공인인증서비스 오픈 시일이 지연될수록 그만큼 m-커머스 활성화 시기가 늦춰지는 것이다. 준비가 모두 완료 되는대로 서비스를 개시할 예정이며, 4분기부터 단말기를 출시하면 1년 후에는 어느 정도 본격화될 수 있을 것이다."고 밝혔다.
이처럼 무선 공인인증서비스가 늦어지고 있는 주요한 이유는 세계적으로 적용한 사례가 전혀 없기 때문에 국내에서 시행착오를 겪으면서 하나하나 만들어가고 있기 때문이다. 무선 표준 규격이 계속 수정되면서 개발된 인증시스템을 뜯어 고치는 과정을 밟았고, 공인인증기관의 심사 통과가 늦어져 인증체계가 확립되지 않았다. 이 때문에 현재까지도 모든 이통사와 공인인증기관들의 인증서 발급 요금체계 및 사용 정책이 정립되지 못한 상황이다. 특히 무선공인인증서의 요금체계는 일정기간의 무료 서비스를 거쳐 사용자에게 월과금 되는 등 유료화하는 방향으로 잡혀져 있지만, 대우증권 같은 CP와 이통사 및 공인인증기관의 유료 요금체계에 대한 조율이 필요한 상황이다.
또한 이통사별로 기술 발전에 따라 새로운 단말기가 계속 출시되어 왔으며, 각각 적용하던 단말기 플랫폼을 정부에서 추진하는 '위피'로 통합하게 되는 등 무선 공인인증서비스를 준비해온 최근 2년 동안 무선 통신 환경은 급변화 되었다. 뿐만 아니라 이통사별로 단말기 환경이 다른 상황은 CP들이 자신의 서비스에 무선 공인인증시스템을 각각 구축해야하는 부담을 주고 있다.
무엇보다도 현재까지 무선 분야의 금융거래에는 유선 분야에서처럼 공인인증서 사용이 의무 사항이 아니기 때문에 그동안 증권, 은행 등을 비롯한 서비스 제공업자들이 무선 공인인증시스템 적용을 망설이고 있다. 따라서 관련 업체에서는 "안전하고 신뢰성 있는 무선 환경을 구축하기 위해 무선 공인인증시스템이 확산되어야 하며, 무선 상의 금융거래에서 금융감독원이나 정부 차원의 무선 공인인증서 적용 지침이 필요하다."고 목소리를 높이고 있다.
단말기 확산, 다양한 서비스 적용 필요
무선 공인인증서비스 시행 및 확산을 위해서는 먼저 WPKI 모듈이 탑재된 폰의 확산이 이루어져야 하며, 다양한 애플리케이션 서비스에 인증시스템을 적용해야 한다. 현재 SK텔레콤은 모토로라, 삼성, LG, 텔레텍 등 8개 휴대폰 단말기 기종에 WPKI 모듈을 적용한 폰을 출시했으며, 현재 개발 중인 위탑(WITOP) 단말기과 위피(WIPI) 단말기를 올 4분기와 내년 초에 출시할 예정에 있다. 브루(BREW) 기반의 서비스를 통해 WPKI 구현이 모듈을 탑재한 폰을 출시하지 않고도 VM(Virtual Machine)에서 다운로드할 수 있도록 구성하고 있는 KTF는 이미 확보된 400만명의 멀티팩 서비스 사용자를 기반으로 현재 브라우저를 쿤(KUN)으로 변경한 폰과 위피폰을 준비하고 있으나, 아직 구체적인 출시 일정을 수립하지 않았다. LGT는 이지-자바(Ez-Java) 기반의 서비스를 준비하고 있다.
서비스 적용의 경우 현재 대우증권 모바일 트레이딩을 시작으로 증권 및 은행 등 금융기관들이 먼저 무선공인인증서비스를 적용을 준비하고 있는 단계에 있다. 뱅킹 서비스의 경우 SK텔레콤의 '네모'처럼 이통사에서 은행과 협력해 모바일 뱅킹 서비스를 실시하는 것 외에 금융결제원에서도 독자적인 은행권 공동 모바일 뱅킹 서비스인 'UBI(Ubiquitous Banking Interface)'를 준비하고 있다. UBI 서비스로 개인 간 계좌이체는 물론 개인 대 기업간 이체, 공과금 납부, 쇼핑몰 결제 등이 가능할 것으로 보여 UBI의 보안 수단으로 WPKI가 적용될 예정이다.
또한 PDA 서비스인 8개 증권사 공동 증권거래 포탈인 '모바일로'에서도 WPKI 적용을 검토하고 있다.
앞으로 은행, 증권을 비롯해 카드, 보험사 등 금융기관들이 서비스를 구축하면서 금융거래 서비스를 중심으로 WPKI가 적용될 것으로 보이며 모바일 지불 결제, 티켓 예약/예매, 인터넷 쇼핑, m-정부 서비스 등으로 점차 확대될 것으로 예상되고 있다.
전문가들은 "앞으로 WPKI는 선택적인 보안기술이 아닌 무선 인프라가 될 것이다. 그러나 사용자 편의성이 강화된 WPKI 단말기를 보급하고 서비스에 적용하는데 일정 시간이 걸릴 것으로 예상되어 무선 공인인증서비스가 활성화되는 데에는 1~2년 정도의 시간이 걸릴 것으로 보인다."고 전망하고 있다.
이니텍․소프트포럼 등도 시장 진입 모색
무선 보안 시장의 흐름을 살펴보면, 무선인터넷 서비스가 시작되면서 단말기에 암호화 기술을 적용하기 시작했으며, 2000년부터 인증서 기반의 WPKI를 적용하기 위한 시스템을 개발하면서 본격적인 추진 단계에 이르렀다. 2002년까지 보안업체들은 공인인증기관의 CA 시스템 구축을 완료했고 올해 휴대폰 단말기에 WPKI 보안모듈이 폭넓게 탑재되면서 휴대폰이 대폭 출시되며, 내년부터는 다양한 서비스에 적용되며 폭넓게 확산되는 시기가 될 것으로 예상되고 있다.
현재 이통사와 공인인증기관에 서비스를 위한 시스템을 구축한 드림시큐리티, 시큐어소프트, 케이사인은 이통사에 무선공인인증서비스를 위한 무선 보안 시장에서 선두업체로 입지를 굳혔다는 입장을 보이고 있다. 무선 보안이 이통사와 밀접한 협력관계를 통해 구현되는 만큼 일단은 시장 창출을 위한 유리한 고지에 있는 것이 사실이다. 특히 무선 보안은 3,000만 명이 넘는 휴대폰 사용자를 기반으로 무선인터넷과 무선 거래 분야가 앞으로 보다 성장할 것을 감안한다면 앞으로 무선 및 모바일 시장 확대에 따라 다양한 서비스에 적용되는 WPKI 시장이 무궁무진하게 펼쳐질 수 있을 것이라는 예측은 신빙성 있게 다가오고 있다. 이들 업체는 다양한 금융서비스, 모바일 쇼핑/티켓팅뿐 아니라 모바일 정부, 기업, 관공서 민원 및 학사행정 관련 증명서 발급에 쓰이는 무인발급기(적외선 통신(IrDA) 적용) 등 WPKI 활용 시장에서 다양한 비즈니스를 창출할 수 있을 것으로 자신하고 있다. 이들 세 업체는 앞으로 CP에 공급되는 보안 툴킷, E2E 솔루션뿐 아니라 다양한 애플리케이션과 결합된 상품 및 서비스 모델을 개발할 방침이다.
그러나 드림시큐리티, 시큐어소프트, 케이사인 세 업체 이외에 사실상 핸드폰 관련 무선 보안 시장에 진입이 힘들었던 소프트포럼, 이니텍, IA시큐리티 등 PKI 업체들은 "그렇지 않다"고 반박한다. 무선공인인증서비스가 정식 시행되지 않았고 서비스 적용 사례도 드물어 소위 '시작되지도 않은' 무선 보안 시장 구도를 단정하기에는 이르다는 것이다.
실제로 무선 보안 영역 중 WPKI가 단말기와 인증서버간 인증서 발급/확인/관리 영역과 인증서를 기반으로 단말기와 CP서버 사이의 암호화를 수행하는 TLS(전송계층보안) 부문으로 나뉜다고 봤을 때, 이 단대단 보안을 위한 TLS를 구축할 수 있을 것이라는 예상이다. 또한 유선상이나 PDA나 증권전용 단말기를 통한 은행이나 증권사의 서비스에 적용된 레퍼런스를 많이 확보하고 있기 때문에 무선 애플리케이션 상의 보안 적용 등 무선 시장 진입은 충분히 가능할 것이라고 보고 있다.
이들 업체는 공통 단말기 플랫폼인 위피가 확산되고 무선망이 개방됨에 따라, 또 스마트폰 등 단말기 환경이 좋아질수록 이통사별 특정 업체의 독점적인 모듈 공급 구도는 무너질 것이라고 주장하고 있다.
실제로 SK텔레콤 경우, 무선공인인증 관련 WPKI 부문은 시큐어소프트과 협력하고 있지만 TLS 및 코드사이닝 기술 등은 이니텍에서 구현하고 있으며, 패스워드 기반의 암호 및 모바일 백신은 안랩유비웨어(구 IA시큐리티)의 기술을 적용했다.
소프트포럼 또한 기존에 PDA를 통한 증권서비스에 많은 레퍼런스를 확보하고 있는 것 외에도 최근 LGT와 협력해 휴대폰 WPKI 시장에 진입하고 있다. 소프트포럼은 케이사인에 라이선스 구매 방식으로 일정 금액을 지불하는 대신 LGT의 단말기와 연동할 수 있도록 API를 제공받아 모바일 트레이딩을 위한 증권사의 서버와 단말기간 암호통신을 지원할 수 있게 되었다. 소프트포럼은 현재 SK텔레콤 011을 제외한 013, 016, 019의 모든 폰에서 암호통신을 구현할 수 있다고 말했다.
올 시장 규모 60억원, 2005년 100억원 예상
현재 전 세계 어디에서도 휴대폰에 WPKI 기술을 적용해 무선 공인인증서비스가 제공된 사례를 찾아볼 수 없다. 무선공인인증서비스가 국내에서 개시된다면 휴대폰에 WPKI를 적용한 사례는 세계 최초가 될 것이며, 국내의 WPKI 기술은 그만큼 세계적으로 앞서있다는 평을 받고 있다. 따라서 국내 WPKI 기술은 해외 시장에서도 강한 경쟁력을 갖고 있어 PKI 업체의 해외 진출이 예상되며, 앞으로 한국의 PKI 기술이 국제적인 표준기술을 충분히 선도할 수 있을 것으로 기대되고 있다.
현재 무선 보안 시장은 그 규모를 예측하기에는 다소 어려운 점이 있다. 전문가들은 올해 시장 규모를 60억원 정도로 예상하고 있다.
한국정보보호산업협회(KISIA)가 지난해 조사, 예측한 자료에 의하면 지난해 무선인터넷 보안시장 규모는 45억원 규모, 올해에는 63억원 규모이며, 2005년에 100억원 규모에 달할 것으로 전망하고 있다.
전문가들은 "현재까지는 사업 자체의 활성화가 부족해 미미한 수준을 보이고 있지만 앞으로 모바일 사용 확산 속도에 따라 성장 가능성이 매우 높다."며, "단기간에 크게 성장하기 보다는 영속성 있는 시장이 될 것."이라고 전망하고 있다.
올해 주요 업체들은 무선 분야 매출액을 대부분 20~25억원 규모 정도로 전망하고 있다. 올해 시큐어소프트는 WPKI 분야에서만 20억원, 소프트포럼이 15~20억원, 이니텍이 18억원 등을 목표로 하고 있으며, 드림시큐리티가 40억원의 목표액을 설정하고 있다.
<상자기사>
무선 인터넷․모바일 지불결제 시장 성장 '가속'
무선인터넷 가입자 3천만명 돌파, 데이터 서비스 가입자도 9만명 달해
모바일 지불결제 시장 올해 5천억원, 2007년 2조 1천200억원 예상
국내 이동통신 환경이 유선에서 무선으로, 음성에서 데이터로 급변하면서 무선 인터넷 서비스 시장이 급격히 성장하고 있다. 2003년 4월말 현재 무선인터넷 가입자(단말기 보급대수)는 3천만 명을 넘어섰다. 이는 이동전화 가입자인 3,299만명의 91%에 달하고 있다. 그러나 무선데이터 통신 서비스 가입자는 91,821명이다.
이 같은 수치는 지난해(2002년 1월) 이동전화 가입자 2,923만명, 무선인터넷 가입자 2,428만명, 무선데이터 통신 서비스 가입자 8만명에 비해 크게 늘어난 수치다.
한국IDC는 최근 발간한 보고서인 '한국 이동통신 서비스 시장 현황'을 통해 이동전화 가입자가 포화단계에 접어들면서 이통통신서비스는 음성 부문에 정체 현상이 발생해 현재 이통사들이 새로운 수익 창출 모델로 모바일 데이터 서비스 사업을 강화하고 있다고 분석했다. 이 보고서에 따르면, 모바일 데이터 서비스는 현재 사용자당 매출액을 증가시킬 수 있는 솔루션으로 인식되고 있으며, 이통사들은 모바일 컨텐츠와 애플리케이션에 대한 매출 확대를 위해 젊은 층을 대상으로 한 마케팅을 적극 도입하고 있다.
이에 따라 2001년까지는 SMS가 시장을 주도한 가운데 뉴스, 그림, 벨소리 다운로드 등의 데이터 서비스가 시장에 등장하며 2002년 데이터 매출액 상승을 이끌었다. 2002년에는 모바일 게임이 급부상하면서 m-커머스를 위한 기반 인프라가 확충되어 서비스의 다각화 및 다원화가 실현되었으며, 올해에는 기존 엔터테인먼트 위주의 서비스에서 진일보해 정보성 데이터 서비스의 개발과 보급이 더욱 확대되고 있다.
한편 IDC는 이동전화 단말기 보급이 보편화되면서 온/오프라인 상거래의 지불 결제 수단으로 휴대폰이 자리를 잡으면서 본격적인 시장 형성 단계에 접어들고 있다고 밝혔다. IDC 전망에 따르면 국내 모바일 지불 결제 시장은 올해 5천억원 규모, 2007년 2조 1,200억원 규모를 형성할 것으로 예측된다.
2부 무선 랜 보안
무선 VPN 및 무선 랜 보안 장비 출시 활발
무선 랜 확산의 최대 걸림돌은 '보안 취약성'
향후 801.11i 기반 제품으로 보안 해결 전망
WPKI가 CDMA망의 핵심 보안 기술로 사용되고 있는 반면 무선 랜 보안 기술은 최근 들어서야 활발히 논의되고 있다.
무선 랜은 회사나 가정, 공항 및 호텔, 레스토랑 등 건물 내부뿐 아니라 야외에 이르기까지 어디에서나 노트북이나 PDA 등 단말기를 이용해 편리하게 사용할 수 있는 장점이 부각되었고, 현재 KT, 하나로통신 등 통신사업자들이 서비스 확대에 힘을 기울이면서 관심이 모아지고 있다. 그러나 무선 랜을 사용하고 있는 은행, 기업들과 가까운 곳에서 누구라도 노트북에 무선 랜카드를 설치해 크게 힘들이지 않고 기업 내부 인트라넷에 접속, 모든 정보를 볼 수 있는 무선 랜 보안의 취약성은 이미 알려져 있는 사실이다. 이러한 보안 허점 때문에 무선 랜은 현재까지 크게 확산되지 못하고 있다.
801.11i, 향후 무선 랜 보안 해결사
이더넷 표준인 IEEE 802.11 기반 무선 랜 장비에 Wi-Fi협회(구 WECA, Wireless Ethernet Capability Alliance: 무선 이더넷 호환성 협회)의 호환성 인증을 거친 Wi-Fi 제품은 현재 무선 랜을 구현하는데 가장 많이 사용되고 있다. Wi-Fi는 현재 802.11b, 802.11a뿐 아니라 최근에는 802.11g 기반 제품도 출시되고 있다.
무선 랜은 소규모 사설망에서 사용될 때까지도 보안에 크게 신경 쓰지 않았지만 최근 대규모 기업망이나 공중망에서 사용되고 확산되면서 보안 결함을 해결할 수 있는 기술을 모색, 강화하고 있다.
이에 따라 최근 들어서는 무선 랜 보안을 해결하기 위해 Wi-Fi의 보안 규약이 강화되고 있다. Wi-Fi의 보안 흐름을 살펴보면 크게 WEP(Wired Equivalent Privacy)를 적용해오다 현재 WPA(Wi-Fi Protected Access)를 사용하고 있으며, 앞으로 WPA2(802.11i) 보안 규약으로 발전할 것으로 예상되고 있다.
무선 랜 보안 방식으로 사용되어온 SSID, Mac Address Filtering-ACL과 WEP는 AP에서 각각 사용자 인증과 데이터 암호화를 수행하는 보안 기술이지만, 보안에 많은 허점을 드러내고 있고 사용과 관리의 번거로움 등으로 무선 랜 환경에 제대로 적용되지 못해왔다. 이에 따라 기존 보안 솔루션인 WEP는 Wi-Fi의 보안 취약성을 보완하기 위해 IEEE(전기전자공학회)에서 추진 중인 향후 무선 랜 보안 표준이 될 802.11i의 일부인 WPA로 대체되고 있다.
WPA는 TKIP(Temporal Key Integrity Protocol)와 인증규약인 802.1x에 EAP(Extensible Authentication Protocol)를 사용해 보다 강력한 데이터 암호화와 인증 기능을 제공한다. 따라서 기존의 Wi-Fi 장비들에 WPA 인증을 의무화했으며, 802.11i는 올 하반기에 정식으로 발표될 것으로 보인다.
이에 따라 관련 전문가들은 "801.11i Wi-Fi가 나오게 되면 무선 랜의 보안 문제는 크게 해소될 것으로 보인다. 그러나 이를 구현하기 위해서는 하드웨어 업그레이드가 필수이기 때문에 모든 장비가 교체되기 위해서는 2~3년의 시간이 소요될 것으로 보인다."고 전망하고 있다.
현재 대안은 무선 VPN 및 통합 장비
무선 랜 보안의 취약성이 여전히 존재함에 따라 무선 랜 구간의 보안 통신을 위해 부상하고 있는 것이 바로 무선 VPN이다.
단말기와 AP간 데이터 통신 구간에서 가상사설망을 통해 보안 통신을 가능하도록 만드는 것. 사실 모바일 VPN은 무선 랜 보안을 위한 장비라기보다는 모바일 인트라넷/익스트라넷에 활용되어 모바일 오피스나 비즈니스 구축을 위한 장비이지만, 이미 시장에서 신뢰성을 검증받은 IPSec VPN을 통해 암복호화 및 터널링 기술로 데이터를 암호 통신할 수 있어 단대단 보안을 책임질 수 있는 장점이 있다.
현재까지 무선 VPN은 클라이언트단에 노트북과의 통해서는 그리 어렵지 않게 구현할 수 있으며 PDA 단말기에 구현할 수 있는 제품은 그리 많지 않다. 국내에서 제품을 출시하고 영업을 해온 회사인 MI시큐리티의 PDA용 VPN 클라이언트인 '시큐피디안(secuPDAn)'이 거의 유일했다. MI시큐리티의 VPN 클라이언트는 현재 12개 주요 VPN 게이트웨이와 연동되며 무선 랜뿐 아니라 CDMA망에서도 구현된다. 시큐피디안은 그동안 퓨쳐시스템에서 총판을 담당해왔으며, MI시큐리티는 현재 직판 체제를 가져가고 있다.
외국 회사로는 ECC알고리즘 특허를 보유하고 있는 써티콤이 가장 유명하며, 체크포인트도 윈도우즈 CE/포켓PC 2002를 지원하는 무선 VPN 클라이언트인 'VPN-1 클라이언트'를 보유하고 있다. 이 제품은 체크포인트의 방화벽인 '파이어월-1'과 연동되어 이상 트래픽을 차단한다.
지난달에는 워치가드 테크놀로지스 코리아가 무선 환경에 적용할 수 있는 IPSec VPN/방화 벽인 '파이어박스 소호6 와이어리스' 제품을 출시했으며, 소닉월 코리아도 지난 5월 IPSec VPN을 적용한 무선 랜 보안 솔루션 '소호 TZW'를 선보였다. 이들 제품들은 방화벽, VPN, 안티바이러스 기능까지 함께 제공하고 있다.
이 외에도 무선 랜 장비업체들도 보안 기능을 강화하기 위해 여러 제품을 선보이고 있으며, 최근 들어서는 특히 보안과 실시간 로밍에 탁월한 무선 스위치가 부상하고 있다.
지난 6월 에어 브로드밴드 커뮤니케이션즈 코리아는 KT 기업형 네스팟 서비스 협력업체로 삼성SDS와 함께 선정돼 무선 스위치를 공급했다. 시스코 시스템즈, 노텔 네트웍스, 익스트림 등 주요 업체들도 무선 스위치를 보유, 또는 현재 준비하고 있다.
에어 브로드밴드의 조윤순 상무는 "무선 스위치는 AP와 클라이언트의 무선 구간뿐 아니라 안전지대라는 생각 때문에 오히려 보안에 무방비한 유선 구간인 AP와 기업 사이의 보안도 책임질 수 있다. 고객이 원할 경우 무선 구간에 PKI와 VPN을 적용해 보안성을 높일 수 있다. 기존에 무선랜 보안 및 관리, 로밍 등의 문제를 해결하기 위해 AP에 기능을 추가해 무거워져 문제가 되었던 부분을 이제는 스위치에서 해결할 수 있게 됐다."고 말했다.
한편 MI시큐리티 이일수 사장은 "모바일 VPN은 엔드 투 엔드의 클라이언트단 보안을 보장하는 무선 랜 보안에 탁월한 제품이다. 현재까지는 수요가 비교적 많지 않지만 무선 환경이 좋아질 것으로 예상되는 내년 하반기부터는 크게 성장할 수 있을 것."이라고 전망했다.
한편 백신업체 트렌드마이크로는 현재 무선 랜을 통해 모바일 단말기로 유입되는 바이러스 등 악성 코드를 차단할 수 있는 Wi-Fi 지원 제품을 개발하고 있으며, 올 연말쯤 출시를 계획하고 있다.
3부 모바일 백신
모바일 바이러스 대안 PDA․휴대폰 백신
모든 백신업체 PDA용 백신 개발ㆍ출시
최근 휴대폰 백신도 시장에 선보여
WPKI나 모바일 VPN을 사용해 사용자 인증과 데이터 암호화를 수행해 보안 문제를 해결했어도 무선 환경에서 완벽한 보안 시스템을 구축했다고 할 수는 없다. 지금까지는 PDA나 핸드폰 등 모바일 단말기들에 바이러스 등 악성 코드가 발생한 사례가 많지 않을 지라도, 점차 단말기 환경이 좋아지고 플랫폼이 오픈 되면서 유선에서처럼 바이러스나 웜이 기승을 부려 심각한 문제가 야기될 소지가 분명하기 때문이다.
핸드폰이나 PDA 단말기 내에 저장된 주소록으로 웜 파일을 메시지 형태로 자동 전송하거나, 핸드폰으로 송금이나 계좌이체 할 때 이를 웜이 중간에서 가로채버리는 행위는 단지 상상 속의 이야기만이 아닌 현실로 나타날 시기가 성큼 다가오고 있다.
현재 모바일 백신의 시장 수요는 거의 제로 상태이지만 안철수연구소, 하우리와 시만텍, 트렌드마이크로 등 백신업체들은 향후를 대비해 대부분 PDA용 백신을 개발, 출시했으며 최근 들어서는 핸드폰용 백신도 개발되고 있다.
2000년부터 무선 단말기용 악성코드 출현
바이러스는 현재 PDA나 핸드폰 상에서도 엄연히 발견되고 있다. 현재 핸드폰 보다는 PDA에서 여러 차례 발생해왔지만 PDA조차도 기능이 비교적 단순해 여기에서 동작하는 바이러스 등 악성코드도 아직은 원시적인 단계에 머물러 있다. 또 무선 단말기에서 문제가 발생했을 때에는 그 원인이 자체 버그인지 바이러스나 트로이목마 때문인지 확실히 구분하기 어려운 경우도 많다.
현재까지 발생된 PDA용 악성코드는 윈도우즈 CE보다는 팜(Palm) OS를 공격하는 사례가 발견되었다. 2000년 8월 최초로 발견된 팜 OS를 타깃으로 한 트로이목마는 Liberty로, 스웨덴에서 제작되었다. 이 트로이목마는 프로그램을 실행함과 동시에 PDA에 있는 모든 애플리케이션들을 삭제한 후 재부팅해 삭제 행위를 은폐한다. 9월에도 트로이목마인 Vapor가 발견되었는데, 이는 파일을 실행하면 화면상의 모든 프로그램 아이콘이 사라져 프로그램을 실행할 수 없도록 한다. Liberty와 비슷한 유형의 바이러스는 이후에 비슷한 유형으로 5종정도 더 등장했다고 알려졌다.
또한 같은 달 발견된 바이러스인 Phage는 바이러스에 감염된 파일을 실행하면 팜 램 내에 존재하는 모든 프로그램을 감염시켜 실행되지 않도록 했다. 이 때 새로 설치한 프로그램도 모두 감염된다. 이 외에도 유럽 지역에서 많이 사용하는 에폭(EPOC) 기반 PDA에서도 Alone과 Ghost가 발견된 적이 있었는데 이는 PDA에서 알람을 울리게하거나 라이트를 깜빡이는 증상을 초래했다.
핸드폰에서 발견된 최초의 사례는 2000년 6월 일본 NTT 도코모의 i-모드 핸드폰 사용자들에게 SMS(단문 문자서비스)를 통해 무작위로 단문 문자가 들어가 응급전화인 110번을 자동으로 전화를 걸게 하는 일이 발생했다. 이 때문에 110 서비스가 한 때 전화 폭주로 마비되는 피해를 야기했다. 2000년 8월 노르웨이에서도 SMS가 문제를 일으켰다. 이 때에는 특별한 SMS가 노키아 휴대폰으로 보내지면 핸드폰 작동을 정지시켜 핸드폰을 사용하지 못하게 했지만, 이 사례는 단말기의 버그를 이용한 것으로 바이러스는 아닌 것으로 밝혀졌다.
이 외에도 2000년 6월 스페인에서는 러브레터의 일종의 웜인 TimoFonica가 발견되었는데, 티모포니카는 SMS 메시지를 핸드폰 이용자에게 스팸 메일로 보내 휴대전화 사업자의 서버를 다운시킬 위험에 처하게 했다.
그러나 휴대폰의 경우에는 휴대폰 자체의 버그를 이용해 PC용 바이러스들이 공격할 수 있는 가능성은 있지만 휴대폰 자체가 감염된 사례는 발견되지 않았다고 한다. 따라서 전문가들은 "휴대폰 OS의 취약성으로 현재 엄밀한 의미에서 휴대폰용 악성코드는 존재하지는 않지만 최근 스마트폰 등 성능이 향상된 폰이 개발되면서 휴대폰 바이러스에 대한 대비가 필요하다."고 지적하고 있다.
모바일 바이러스, 유선 유형 따라갈 것
모바일 단말기를 대상으로 한 바이러스, 웜, 트로이목마 등 악성코드의 위협은 유선에서 나타나는 패턴과 비슷할 것으로 보인다. 그러나 전문가들은 모바일 단말기에 대한 위협 요소는 오히려 수적으로도 훨씬 많고 더욱 복잡할 것으로 전망하고 있다. 현재 단말기에 대한 위협은 크게 세 가지로 분류하는데, 이는 애플리케이션 기반 위협과 컨텐츠 기반, 이 둘이 혼합된 유형이다. 애플리케이션 기반 위협은 PDA 등 단말기에 설치하는 응용 소프트웨어를 다운로드 하거나 설치할 때 이면에 숨어있는 악의적인 바이러스가 실행되어 피해를 발생시키며, 컨텐츠 기반 위협은 컨텐츠 자체가 위협이 되거나 스팸메일과 같이 컨텐츠를 악의적으로 사용할 경우가 된다. 이는 특히 통신에서 메일과 메시지가 중요한 수단이 되고 있는 것과 더불어 취약한 공격 대상이 되고 있다.
혼합 유형은 다운로드 받은 프로그램이 응용 프로그램을 모두 삭제하고, 나아가 주소록에 있는 주소로 바이러스를 전파하는 경우로 매우 심각한 피해를 초래할 수 있다는 예측이다.
이러한 위협에 따라 무선 인프라를 위한 보안은 악성코드가 진입하는 여러 경로를 보호할 수 있어야 하며, 개인용 단말기뿐 아니라 인터넷 게이트웨이, 통신사업자의 서버까지도 포괄해 보안을 구축해야한다.
한 보안업체 전문가는 "무선 환경에서는 사용자와는 달리 모든 데이터 전송 패킷당 요금이 사용자에게 부과되므로 만약 바이러스로 인해 수천 사용자의 휴대폰으로 데이터가 무차별로 보내진다고 가정했을 때 사용자에게 심각한 피해를 야기할 수 있다."고 강조해, 다양한 방면의 대비 체제가 필요할 것으로 보인다.
PDA 백신 이어 휴대폰 백신 개발
시만텍코리아, 안철수연구소, 하우리, 한국트렌드마이크로 등 국내 백신업체들은 현재 PDA용 백신을 모두 보유하고 있다. PDA용 백신은 PDA의 감염으로 PC와 PDA 간의 싱크(동기화) 시나 PDA간 파일 전송 시 감염된 파일이 전파되거나 PDA의 데이터 손실을 차단할 수 있도록 PDA 내 파일을 검사/치료한다.
시만텍은 2001년 팜 OS를 지원하는 백신을 출시했으며, 2004년 초 출시를 목표로 현재 모든 플랫폼을 지원하는 개인용 및 관리 기능이 있는 기업용 제품을 개발하고 있다.
안철수연구소는 2001년 12월 팜 전용 백신' V3Mobile for Palm 1.0'을 개발한 데 이어 지난해 12월에는 성능 안정화와 기능 개선을 이룬 'V3Mobile for Palm 1.5'를 출시했다.
하우리도 2002년 2월 PDA용 백신 '바이로봇 Wireless for WinCE'를 개발했으며, 2002년 10월에는 '바이로봇 Wireless for Palm'을 개발해 현재 윈도우즈 CE와 팜 OS를 지원하는 백신을 제공하고 있으며, 현재 포켓PC 2002용 백신을 개발 완료하고 테스트 중이다.
트렌드마이크로도 팜과 윈도우즈 CE 계열 포켓PC, 심비안의 에폭(EPOC) 등 주요 PDA OS를 지원하는 'PC-Cillin Wirless 2.0' 제품과 무선 게이트웨이 솔루션인 'Interscan VirusWall For Wireless Gateway'를 보유하고 있다. 게이트웨이 솔루션은 무선 단말기로 전송되는 이메일과 단말기로 다운로드 되는 프로그램이 기반하고 있는 서버용 솔루션이다.
한편 핸드폰용 백신은 지금까지 핸드폰 단말기를 직접 공격하거나, 단말기를 통해 다른 단말기로 전염될 수 있는 가능성이 낮은 이유로 업체들이 제품을 개발해오지는 않았다. 그러나 지난 4월 안철수연구소는 안랩유비웨어와 SK텔레콤과 협력해 핸드폰용 백신을 개발했다. 하우리도 현재 핸드폰 바이러스 백신을 개발하고 있다. 하우리의 핸드폰용 백신은 핸드폰 단말기 OS에 탑재된 VM(버추얼 머신)의 보안 취약점을 해결하며, 핸드폰 단말기가 컨텐츠 프로그램을 서버로부터 다운받을 때 함께 유입될 수 있는 모든 유해 프로그램을 안전하게 진단/치료 혹은 차단하게 된다.
이들 백신업체들은 현재까지는 모바일 백신에 대한 시장이 형성되어 있지 않아 영업을 하고 있지는 않으며, 이통사, PDA 개발업체나 모바일 솔루션 업체 등에 제품을 공급했다.