[디지털데일리 이민형기자] “최근 전세계적으로 이슈가 되고 있는 사물인터넷과 핀테크의 보안을 위해서는 데이터의 무결성을 확보해야 합니다. 이를 위해서는 암호화(PKI)와 키 관리가 필수적으로 적용돼야 할 것입니다.”

굽타 부사장은 커넥티드카(Connected Car)의 사례로 사물인터넷 보안을 설명했다

그는 “새로운 소프트웨어와 데이터를 차량(커넥티드카)이 내려받을 때는 반드시 해당 데이터의 안전성과 무결성을 확보해야 한다. 그렇지 않을 경우 큰 사고가 발생할 수 있다”며 “여기서 필요한 것이 암호화와 키 관리다. 서비스 제공자는 암호화를 통해 데이터를 전송하고, 이 데이터는 차량에 탑재된 하드웨어보안모듈(HSM) 키로만 복호화돼 적용되도록 설계해야 할 것”이라고 말했다.

이는 원본 파일의 해시값을 확인하는 것과 유사하다. 패치매니지먼트시스템(PMS)가 파일의 MD5와 같은 해시 정보가 일치하는지의 여부를 확인한 뒤 배포하듯이, HSM은 암호화된 데이터의 유효성을 확인한 뒤 복호화하고 시스템에 적용한다. 차이점은 키가 하드웨어 내부에 들어있기 때문에 혹여나 데이터가 탈취되더라도 위험하지 않다.

여기의 연장선으로 차대번호와 같은 디바이스 아이디(ID), 운전 편의를 위한 교통정보, 자동주차나 크루즈 운전과 같은 편의기능 등을 위한 데이터도 암호화해서 전송하고, HSM이 복호화해서 사용할 수 있다.

굽타 부사장은 “암호화되지 않은 데이터는 언제든지 외부로 유출될 수 있으며, 위변조도 일어날 수 있다”며 “암호화도 중요하지만 이를 복호화할 수 있는 키를 관리하는 것이 더 중요하다”고 재차 강조했다.

현재 세이프넷은 폭스바겐 그룹과 커넥티드카 사업을 제휴하고 있으며 추후 더 많은 자동차 제조사와 협력할 계획이다.

아울러 세이프넷은 핀테크 시장 공략에도 적극 나설 계획이다. 핀테크 산업 활성화로 인해 카드정보 저장에 대한 이슈가 높아지고 있는데 이를 토크니제이션(Tokenization)으로 해결할 수 있다는 주장이다.

이 회사 박종필 이사는 “핀테크 서비스의 형태는 다양할 수 있으나 결국 거래에 필요한 데이터를 주고 받는다는 점은 동일하다”며 “이 데이터를 보호하기 위해서 당연히 암호화를 적용해야 한다. 이는 PCI-DSS에서도 요구하고 있는 조건”이라고 설명했다.

PCI-DSS는 국제 데이터 보안 표준 규격 중 하나다. 이 규격은 비자, 마스터, 아메리칸익스프레스, JCB, 유니온페이 등 글로벌 신용카드사에서 정보 유출을 막기 위해 설립한 신용카드협회 보안표준위원회(PCI SSC)에서 만들었다.

PCI-DSS 규격에는 ▲방화벽 ▲초기 비밀번호 ▲암호화 ▲보안통신 ▲백신 ▲시스템 업데이트 ▲액세스 제어 ▲고유 ID ▲물리적 액세스 ▲로그관리 ▲지속적인 테스트 ▲사람 등 12개의 규정이 있으며, 더 세밀한 하부 규정으로 구성돼 있다.

박 이사는 PCI-DSS 규격에서 암호화 준수 방법으로 토크니제이션을 들었다. 토크니제이션은 카드사 서버 방화벽 내부에 사용자의 카드정보를 저장하고, 실제로 이를 사용할때는 무작위로 생성된 16자리의 숫자를 제공하는 방법이다.

사용자 카드정보를 토크니제이션으로 암호화한 뒤, 복호화에는 HSM을 사용하면 사용자는 안전한 결제를, 사업자는 개인정보의 안전한 보관이 가능하다는 설명이다.

박 이사는 “토크니제이션이 적용된 데이터는 유출이 돼도 상관이 없을정도로 강력한 보안을 제공한다”며 “핀테크 산업 활성화로 금융회사들이 이 솔루션에 관심을 갖고 있다. 올해 세이프넷은 이러한 수요에 발맞출 것”이라고 말했다.

<이민형 기자>kiku@ddaily.co.kr