무선 인터넷 보안 아직은 시기 상조
한국전자통신연구원(ETRI )의 원유재 팀장은 “무선 인터넷 보안이란 무선 단말기로 인터넷을 사용하고자 할 때 유출되어서는 안 되는 민감한 정보를 암호 기법으로 보호할 수 있도록 하는 것”이라고 말했다. 즉 유선 인터넷처럼 정당한 사용자 인지를 확인하는 인증, 데이터의 비밀전송 및 변조확인, 전자서명을 통한 거래 부인 방지 등의 서비스가 무선 환경에도 적용돼야 한다는 것이다.
<표 2.> 사업자별 무선인터넷 사업 추진 현황
사업자011017016018019브랜드명nTOP아이터치017퍼스넷한솔엠닷컴이지웹시스템공급자에릭슨,LG정보폰닷컴MSMS폰닷컴프로토콜WAPWAPm-HTMLm-HTMLWAP보안솔루션ETRI(128 비트)폰닷컴(48 비트)소프트포럼(128 비트)소프트포럼(128 비트)폰닷컴(48 비트)
자료 : http://www.e-miraeasset.co.kr
하지만 무선인터넷은 기존 인터넷의 보안요소를 그대로 가져오기에는 제한이 있다. 유선에 비해 대역폭, CPU, 메모리, 전원, 키보드, 화면 등 단말기 자체의 성능면에서 제한적이라는 것이다. 따라서 무선인터넷에 맞는 전용 보안 프로토콜이 필요하다.
그러나 현재의 무선인터넷 기술이 WAP과 같은 별도의 프로토콜을 기반으로 하는 것과 기존의 TCP/IP를 기반으로 하는 솔루션(ME 방식)으로 나눠져 있어 무선인터넷 보안 역시 이 두 가지를 바탕으로 관련 업체들의 기술 개발이 한창이다.
WAP은 종단간 보안, ME는 사용자 인증이 관건
무선인터넷 기술 표준에서 앞서가고 있는 WAP 개발 진영의 가장 큰 난제는 무선단말기에서 웹서버에 이르는 ‘종단간 보안(End to End Security)이다. 무선인터넷에 적합한 접속환경을 위해 제안된 WAP 기술은 유무선을 연결하기 위해 중간에 필연적으로 WAP 게이트웨이를 두고 있다. 문제는 이 WAP게이트웨이가 WAP체계와 유선 인터넷 체계 사이에서 통신을 변환하는 과정에 암호화 메시지가 함께 풀린다는 점이다.
<표 3>. 업체별 무선 인터넷 보안 솔루션 개발 현황
드림시큐리티소프트포럼방식WAPME보안솔루션트러스트 - MMSSL특징PKI의 핵심인 기밀성, 무결성 및 신원확인과 부인방지 등의 보안 서비스 제공 WTLS 클라이언트 모듈 크기 최소화, 자체 개발End to End 보안
SSL 포팅
SSL v3 호환
SSL을 사용하는 모든 쇼핑몰과 증권사 등에 적용 가능개발일정무선 CA 구축(7월말)
무선 PKI 구축(8월말)MSSL 개발완료(2월)마케팅 계획이동통신사, 단말기 제조업체와의 제휴를 통한 국가 무선 보안 표준 정립ME를 지원하는 모든 단말기로 포팅 진행
SSL 모듈 수출대표황석순안창준홈페이지dreamsecurity.com softforum.com
즉 무선구간에서는 WTLS(Wireless Transport Layer Security)보안 프로토콜을 유선구간에서는 SSL(Secure Socket Layer)을 사용하기에 변환과정의 데이터를 가로채거나 WAP게이트웨이 관리자가 불순한 의도를 가지고 이 데이터를 유출 시킬 위험이 있다는 것이다. 관련 업계에서는 오는 6월말 발표되는 WAP 1.3버전에서 종단간 보안에 대한 실마리를 찾을 수 있다고 전망했다.
반면 ME(Mobile Explorer) 방식의 보안솔루션은 기존의 TCP/IP체계를 그대로 사용하기 때문에 유선구간에서 적용되는 SSL 보안 메커니즘을 적용할 수 있어 종단간 보안이 가능하다.
하지만 ME에서도 사용자 인증 문제가 관건으로 남아있다.
특히 사용자 인증 부분은 WAP 방식이나 ME방식 모두에서 해결해야 할 최고의 과제이다.유선 인터넷 환경에서 인증은 대부분 아이디와 비밀번호를 통해 하고 있는데 현재 이 정도는 무선인터넷에서도 지원되고 있다. 그러나 문제는 무선인터넷을 통한 전자서명 이다.
소프트포럼(www.softforum.com의 정재학 실장은 “핸드폰 단말기를 통해 RSA(Rivest Shamir Adleman)라는 전자서명을 생성하는데 보통 10초 이상의 시간이 소요된다”며 “이는 현실적으로 사용하기 불가능 한 것으로 이를 극복하기 위해서는 스마트 카드를 핸드폰에 적용해야 할 것”이라고 말했다.
보안기술 경량화도 문제
유선 인터넷에서 사용되는 공개키 기반구조(PKI)의 보안 메커니즘을 무선 인터넷에 적용하기 위해서는 현재의 단말기가 갖고 있는 구조적 한계성도 걸림돌이다. 단말기에서 인증작업을 처리하는데 할당할 수 있는 메모리 크기는 보통 20~40K 수준이다. 따라서 용량이 1.5M나 되는 기존 유선 인터넷 환경의 사용자 인증서를 사용할 수 없는 상황이다.
또한 무선 인터넷 시장이 성장함에 따라 이동통신 사업자나 단말기 업체에서 각기 자신들만의 무선 인터넷 솔루션을 내놓는 것도 보안 기술 적용의 어려움으로 지적 되고 있다.
소프트포럼의 정재학 실장은 무선인터넷 보안과 관련해 특별한 제품이 나오지 않는 이유에 대해 “표준화가 문제”라며 “호환성이 보장되는 표준을 구현하지 않고 개발이 손쉬운 독자 솔루션을 많이 채택하는 것도 문제이다. 이는 채택할 표준이 여의치 않은 것도 원인이므로 무선 인터넷의 표준이 먼저 정착되어야 할 것이다”라고 밝혔다.
무선인터넷 역시 신뢰성이 생명이다. 언제, 어디서나 신뢰할 수 있는 서비스가 가능해야 ‘m커머스나 차세대 이동통신 등 새로운 서비스에도 고객이 외면하지 않는다. 아직 불충분한 서비스를 가지고 시장선점에 연연한다면 고객을 담보로 영리만을 채우려 든다는 비판을 피할 수 없을 것이다.
