T커머스의 약한고리는 보안문제

데이터방송 솔루션 업계와 전자지불 업계에서 잇따라 ‘TV를 이용한 전자상거래 솔루션’을 내놓고 있지만 현재의 솔루션들이 보안 문제를 완벽하게 해결한 것은 아니어서, 국내 보안업체들이 보안문제 해결에 적극 참여해야 할 것으로 지적되고 있다.

T커머스를 통해 물건을 사고, 주식을 매입하며 은행업무까지 보려면 이용자들의 결제정보가 안전하게 보호되고 있다는 확신이 필요하기 때문이다.

10일 전자지불서비스 및 솔루션 업체 티지코프(대표 정정태 www.tgcorp.com)는 전자지갑 방식의 T커머스 지불솔루션을 발표했다.

이 회사가 내놓은 제품은 3가지 유형이다. ▲서버 전자지갑(서버에 고객정보 및 결제정보 암호화 저장) ▲임베디드 전자지갑(셋탑박스내에 고객정보 및 결제정보 암호화 저장) ▲다운로드형 전자지갑(전자지갑을 다운로드해서 셋톱박스내에 저장) 등이 그것.

이중 당장 상용화가 가능한 것은 서버 전자지갑이다. 현재의 셋톱박스(디지털위성방송수신기)에서 구현이 가능하기 때문. 나머지 2가지는 셋톱박스를 대용량 메모리를 지원할 수 있도록 업그레이드해야 한다. 특히 다운로드형의 경우 자바버추얼머신(JVM)을 셋톱박스가 지원해야 한다.

그런데 이 3가지 방법 모두 별도의 보안 대책이 강화돼야 한다는 지적이 나오고 있다.

◆서버전자지갑 방식의 문제점

서버 전자지갑의 경우 서버에 고객정보와 결제정보(예를 들면 주민등록번호와 신용카드 번호 등)이 저장돼 있어 정보의 노출로 보안이 취약하다는 평가를 받고 있다.

물론 암호화돼 저장되지만, 결제업체에서 고객정보를 다루는 만큼 불안함도 크다. 특히 전자지갑서버와 셋톱박스간 전송이 보안문제가 제기되고 있다.

이에 대해 개발업체인 티지코프측은 “중요 정보가 암호화돼 저장되고, 상용화 시점에서는 신용카드 번호나 비밀번호 같은 중요정보는 사용자가 전부 키보드(또는 리모콘)로 쳐 넣지 않도록 할 것이기 때문에 큰 무리는 없지만, 보안성을 강화하기 위해 임베디드형 전자지갑이나 다운로드형 전자지갑으로 옮아갈 것”이라고 말했다.

보안 전문가들도 현재의 서버전자지갑 방식으로는 T커머스를 상용화하기에 무리가 있다고 보고 있다.

서버에 보안솔루션을 장착한다고 하더라도, 내 정보를 결제회사에 모두 맡기는 방식과 중요정보를 쳐 넣어야 하는 게 일반국민들에게 불안감을 줄 수 있기 때문이다.

◆나머지 방식도 PKI(공개키기반구조) 지원해야

이에 따라 각광받고 있는 게 나머지 2가지 방식. 셋톱박스에 고객정보를 암호화해 저장하거나 서버로부터 다운로드 받아 셋톱박스에 저장하는 것이다. 하지만 2가지 모두 현재의 셋톱박스를 업그레이드해야 하며, 셋톱박스에 공인인증서를 지원하는 PKI(공개키기반구조) 모듈을 집어넣어야 한다.

KBS관계자는 “이런 솔루션들은 모두 셋톱박스에 의존해서 개발된 것들인데, 최근 해외사례에서 보듯이 셋톱박스의 CAS(가입자수신제한장치)가 해킹당한다면 어떻게 안전한 T커머스를 할 수 있겠는가”라고 지적했다.

이에 대해 티지코프측은 “대용량 메모리를 지원하고 자바버추얼머신을 지원하는 셋톱박스가 나오고, 공개키 암호를 이용하는 인증서 기반의 CAS가 개발된다면 문제를 해결할 수 있다”고 말했다.

하지만 현재 PKI(공개키기반구조) 기술에 기반한 CAS는 표준문제와 공인인증기관 연동문제 등으로 상용화되기엔 적어도 1~2년이 걸릴 전망이다.

국내 보안업체 케이사인(대표 홍기융 www.ksign.co.kr)과 ETRI(전자통신연구원)는 ‘PKI 기반의 CAS시스템 개발’을 진행하고 있다.

현재의 셋톱박스 보안장치인 CAS의 경우 방송데이터의 해킹방지 등 기밀성에 초점을 둔 대칭키 기반이고 사용자 인증은 ID와 비밀번호같은 낮은 수준의 인증도구를 쓴다.

하지만 PKI기반 CAS는 셋톱박스와 가입자 장비에 탑재돼 보안성이 강화된 사용자 인증기능을 준다.

내년초 까지 진행되는 이 프로젝트가 완료돼도 숙제는 남는다.

위성방송 수신시 표준문제와 인증서 기반 CAS와 법적으로 전자거래의 안정성을 보증해주는 공인인증기관 연동문제가 해결돼야 하기 때문이다.