소프트포럼, 해킹 취약점 대응 및 보안 전문인력 양성에 적극 나서
미국과 중국에서는 30~40만 해커들에게 적극적으로 교육을 시키고 기업들이 외부 공격을 막고 대응 방안을 세우기 위해 해커를 이용하고 있다. 반면, 우리 나라에서 해커가 음성화 되어 있는데 해커를 보안 전문인력으로 양성화하여 국가 경쟁력을 강화해야 한다는 게 소프트포럼의 설명이다.
이번 해킹대회는 3월 21일부터 23일까지 온라인 예선을 거쳐 선발된 8개 팀(팀당 최대 3명까지 구성 가능)이 4월 14일, 15일 양일간 최종 결전을 벌이게 된다. 세계최대 해킹대회인 '데프콘 CTF(Capture the Flag)'방식으로 치러지는 이번 대회는 가상 쇼핑몰을 꾸며 놓고 보안 취약점(홀)을 찾아 공격하고 거꾸로 다른 해커가 들어오지 못하게 방어하는 형태로 진행된다.
USB키보드 및 메모리 해킹에 대응 완료
소프트포럼은 최근에도 지속적인 이슈가 되고 있는 USB키보드 및 메모리 해킹 취약점에 대한 자사의 대응 현황에 대해 발표했다.
USB 키보드 취약점은 해커가 간단한 모니터링 툴(공개 SW)을 이용해 사용자의 각종 ID, 비밀번호 등 입력 값을 모두 볼 수 있는 것을 말한다. 특히, 키보드로 입력되는 공인인증서, 출금계좌 비밀번호 등 주요 정보가 노출되어 금융사고가 발생할 수 있다. 지난해 7월 USB 키보드의 취약점이 보고 됐으며 앞서 6월 25일 금융보안연구원 USB키보드를 통한 키로깅 방지 대책 회의 결과, 필터를 이용해 악성코드가 있을 경우 사용자에게 경고를 띄우는 우선 조치를 내려졌다. 근본 대책은 키보드 보안 프로그램의 기능을 강화해 USB단을 보호하는 것이었다.
소프트포럼은 자사의 키보드보안 제품인 '클라이언트키퍼 키프로'에 키로깅방지 기능을 추가해 지난 11월 국정원 보안 적합성 검증필을 획득했다고 밝혔다.
또한 지난해 메모리상 데이터를 절취하고 변조하는 행위인 메모리해킹에 대한 OTP의 취약점이 보고되며 전자금융 서비스에 대한 위협이 예고 됐다. 이에 대한 대응 방안은 기존 키보드 보안의 비밀번호에 적용됐던 E2E를, 이체 시 계좌번호, 입금액 등 텍스트 영역까지 확대 적용하여 키보드 입력 값이 즉시 암호화 되고 PC상 복호화 없이 서버로 암호화된 값이 전송되게 하는 것이다.
소프트포럼은 "키보드보안 솔루션(KeyPro)와 PKI구간 암호화 솔루션(XecureWeb)과의 연동을 통한 확장 E2E방식을 지원한다"며 "국정원에서 검증받은 암호화 모듈을 통한 이중암호화 방식을 채택했으며 주요 입력 값의 노출, 위변조를 막기 위한 메모리 해킹 및 COM후킹 방지, 우회공격검출 구조 등을 제공하고 있다"고 전했다.
이 밖에도 소프트포럼은 공인인증서 유출 문제의 해결 방안으로 HSM(보안토큰, 공인인증서 저장매체)을 제시했다. 전자서명, 사용자 인증이 HSM 안에서 이뤄지므로 절대 공인인증서의 외부 유출 위험이 없으며 HSM은 현존하는 가장 진보된 보안 매체라는 게 소프트포럼의 설명이다.
소프트포럼은 최근 Xecure HSM을 출시해 KISA구현적합성 평가를 진행 중이다. Xecure HSM은 USB포트를 통해 내장된 스마트카드칩과 통신해 전자인증, 전자서명, 접근통제 등을 할 수 있도록 고안된 보안장치이다.
관련기사
김정은 기자
jekim@itdaily.kr