쿤텍(대표 방혁준)은 지난 23일 발표를 통해 글로벌 앱 보안 솔루션 공급 기업 ‘인터트러스트(Intertrust, www.intertrust.com)’의 화이트박스 암호(White Box Cryptography) 보안 솔루션 ‘화이트크립션 시큐어 키 박스(whiteCryption Secure Key Box)’를 공급, 사설 인증의 암호 보안 강화를 지원한다고 밝혔다.

지난 5월 20일, ‘전자서명법 전부개정안’이 국회 본회의를 통과하며, 하반기부터는 전자금융서비스 이용 시 공인인증 대신 사용자가 원하는 전자서명 방식을 직접 선택할 수 있게 됐다.

여러 보안 프로그램의 추가 설치와 정기적 갱신이 필요했던 기존 공인인증의 불편함을 보완하는 사설 인증의 도입이 급격히 확산될 것으로 예상되며, 이에 사설 인증의 기반이 되는 화이트박스 암호 보안의 중요성도 더욱 커질 것으로 전망된다.

‘화이트박스 암호(WBC; White-box Cryptography)’ 기술은 암호키 정보를 소프트웨어로 구현된 암호화 알고리즘에 포함해 공격자가 내부에 접근할 수 있는 환경에서도 데이터를 추출할 수 없도록 보호하는 기술이다. 

기존 하드웨어 기반 보호 방식에 비해 안전한 암호화를 보장하지만, SCA(Supply Chain Attack)나 DFA(Differential Fault Analysis)와 같은 부채널 공격에는 취약하다고 알려져 있다.

쿤텍에서 공급하는 화이트박스 암호화 솔루션 ‘화이트크립션 시큐어 키 박스(whiteCryption Secure Key Box)’는 글로벌 임베디드 장비 보안 테스트 기관 ‘라이스큐어(Riscure)’가 4주간 진행한 ‘AES-128 공격 테스트’에서 단 한 건의 암호키도 노출되지 않아 보안 안전성을 인정받았으며, 화이트박스 암호를 보호하기 위한 암호 보안 솔루션 중 유일하게 암호키 해킹 기술 DFA/DCA(Differential computation analysis) 부채널 공격에 대한 보안성을 검증받아 화이트박스 암호를 기반으로 설계되는 사설 인증에서의 암호키 보안에 가장 적합하다고 평가된다.

▲ '시큐어 키 박스 프로세스'.(출처 : 쿤텍 제공)

‘화이트크립션 시큐어 키 박스’는 보안 하드웨어가 필요 없는 소프트웨어 방식으로, 특허 받은 강력한 수학적 코드 변환을 기반으로 항상 암호화 키를 완전히 숨기는 자체 화이트박스 암호화 방식을 적용한다.

특정 하드웨어에 구애를 받지 않기 때문에 활용도가 매우 높으며, 유일하게 웹 서비스에 대한 키 보안 기능을 제공하고 있어 오픈 플랫폼에서의 안전한 서비스 설계를 지원한다.

즉, 사설인증이 갖는 장점을 극대화하면서도 동시에 암호 알고리즘의 신뢰성과 보안을 보장하는 화이트크립션 시큐어 키 박스는 금융, 영화, 자동차 등 다양한 분야에서 보안 신뢰성을 인정받고 있다.

금융권에서는 카카오뱅크가 이를 적용해 화이트박스 암호 보안을 강화하고 있으며, 샤오미는 모바일 어플리케이션 데이터 보호 분야에 사용하고 있고, 네이버는 다양한 유형의 영상 컨텐츠를 해커의 역공학 및 변조 행위로부터 보호하기 위하여 화이트크립션 시큐어 박스를 활용하고 있다.

방혁준 쿤텍 대표는 “사설인증은 개인 또는 기업의 금전적인 자산과 직접적으로 연관돼 있기 때문에 인증과 관련된 암호키의 철저한 보안성을 확보하는 것이 가장 중요하며, 편리와 보안을 모두 잡은 인증만이 소비자들의 선택을 받게 될 것이다”라고 말하며, “암호화 보안 분야의 전문인력을 보유하고 있는 쿤텍은 K-CMVP(한국암호모듈검증) 기관에 암호 모듈 보안성 평가 도구 부채널 테스팅 플랫폼을 납품 운영 관리하는 등 융합보안 분야에서 암호화 전문회사로 활동하고 있으며, 최근에는 다수의 핀테크 전문회사와 협력하면서 KMS, 모바일 OTP, 블록체인 기반 DID 서비스 등 다양한 핀테크 서비스에 화이트크립션 시큐어 키 박스를 적용해 암호키 신뢰성 보장 서비스 런칭을 준비하며 핀테크 분야의 보안 강화를 지원하고 있다”라고 밝혔다.

<김동기 기자>kdk@bikorea.net