핀테크에서 활용되는 암호와 인증방법들에는 무엇이 있을까?

2018년 9월 18일 화요일 17시부터 19시까지, KISA 핀테크기술지원센터에서 총 2시간 동안 ‘핀테크에서 활용되는 암호와 인증방법 소개’를 주제로 트렌드 세미나가 개최되었습니다. 이번 세미나는 간편결제와 핀테크에 관심이 있는 사람들이라면 누구나 참여할 수 있었으며, 강연자는 에잇바이트의 김덕상 대표였습니다.

(사진 = 트렌드세미나가 진행된 KISA 핀테크기술지원센터의 전경.)

김덕상 대표는 “핀테크 회사가 커지고, 서비스가 성숙해질수록 보안의 중요성도 커진다.”는 말과 함께 강연을 시작했습니다. 핀테크 보안의 뿌리는 결국 암호학입니다. 김덕상 대표는 강연의 초반부에 현대암호의 역사를 소개했습니다. 그리고 대칭 키와 비대칭 키의 차이점에 관해서도 설명했습니다. 최근 대부분 보안암호는 비대칭키 기반의 암호가 많지만, 그중에서도 암호화폐 등에 사용되어서 특히 주목받는 ECC에 대한 설명도 자세히 들을 수 있었습니다.

기본적인 암호들에 대한 설명이 끝난 후, 김덕상 대표는 양자컴퓨터가 상용화되면, 수식을 기반으로 나온 RSA와 같은 암호들은 쉽게 뚫릴 것이라고 경고했습니다. 그러나, 해시함수와 대칭키 암호는 양자컴퓨터도 못 깰 것이라고 말했습니다. 또한, 현재 NIST에서 양자컴퓨팅 환경에도 안전한 암호 표준을 만들고 있으니, 보안에 관심이 있는 사람이라면 새로운 암호 표준에 관심을 가질 필요가 있다고 강조했습니다.

(사진 = 김덕상 대표가 공개키 암호에 대해 설명하고 있다.)

김덕상 대표는 변화하는 인터넷 환경 속에서 안전한 암호를 만들 수 있는 방법도 알려주었습니다. 그는 특수문자와 영대문자를 섞어서 최소 10자리 이상의 비밀번호를 만들 것을 권장했습니다. 그 이유는 전자서명 인증 등에서는 해커들이 통신데이터를 하이재킹해도, 비밀번호를 알 수 없기 때문에, 해커들은 대략적인 비밀번호 자릿수를 유추하여, 무작위 대입을 하기 때문입니다. 만약, 영대문자 또는 특수문자를 섞어서 10자리 이상의 암호를 만들면, 무작위 대입에 상당한 시간이 소요되고, 해커는 무작위 대입을 통해 비밀번호를 알아내는 것을 포기합니다.

최근에는 FIDO(Fast IDentity Online) 2.0 표준의 시대가 오고 있는데, 그는 FIDO 2.0 표준에서는 플랫폼에서 보안솔루션을 자체제공하기 때문에, 서비스를 운영하는 입장에서는 보안 솔루션을 이용하기가 더욱 편리해졌다고 말했습니다. 그 외에도 그는 SSL 인증과정, 식별과 인증의 차이점, 보안 없는 와이파이의 위험성 등을 설명하여, 청중들이 어떤 서비스가 안전한 서비스인지를 구분할 수 있게 도와주었습니다. 강연의 마지막에는 블록체인 월렛 제작에 필요한 소스 코드를 공개하고, 직접 시현하기도 했습니다.

(사진 = 김덕상 대표가 디지털전자서명에 대해서 설명하고 있다.)

KISA 핀테크기술지원센터에서는 핀테크에 관심이 있는 사람들을 위해 꾸준히 핀테크와 관련된 주제의 트렌드세미나를 진행하고 있습니다. 다음 트렌드세미나는 2018년 10월 2일 화요일 오후 2시부터 2시간 동안 ‘핀테크 서비스 보안 취약점 분석 및 대응방안’를 주제로 이루어질 예정입니다. 세미나 참가신청은 온오프믹스(https://onoffmix.com/event/152489)에서 할 수 있습니다.