“키보드를 통한 패스워드 유출 더 이상 고민하지 마세요”

뉴스 제공

2010-04-15 10:48

서울--(뉴스와이어)--패스워드를 안전하게 입력하는 방식 기술이 개발, 상용화를 위한 기술 이전을 위한 설명회가 15일(목) 오후2시 가락동 KISA 본원(대동청사) 15층 중회의실에서 개최됐다.

기술이전 설명회에서, 방송통신위원회(위원장 최시중)와 한국인터넷진흥원(KISA, 원장 김희정)은 키보드 입력을 통한 패스워드 유출을 방지하기 위해 그래픽과 마우스 등을 이용하여 패스워드를 입력하는 ‘키보드 입력 패스워드 대체수단, 씨큐어패스(SecurePass)’를 개발하여 보급한다고 발표했다.

패스워드를 키보드로 입력하는 방식은 악성코드 등을 통해 키보드로 입력된 모든 정보들을 기록하여 탈취하는 키로깅(Key logging) 공격과 패스워드 입력 시 키보드 옆에서 이를 지켜보거나 몰래 카메라 등으로 녹화함으로써 패스워드를 알아내는 숄더서핑(Shoulder surfing) 공격에 취약한 것으로 알려져 있다.

특히, 2009년 시만텍이 발표한 분석 결과에 따르면 키보드 입력정보를 빼내 인터넷 은행계좌 인증정보 등을 훔칠 수 있는 키로깅 관련 위협이 기밀정보에 대한 위협 중 76%를 차지한다는 결과가 보고되기도 했다. 실제로 최근에도 키로깅 공격을 통해 사용자가 키보드로 입력한 ID/패스워드를 일본으로 자동 전송하는 악성코드가 유포되어 문제가 되는 등 관련 사고가 빈번히 발생하고 있다.

이러한 취약점을 보완하기 위해 방송통신위원회에서 지원하는 암호이용활성화 사업의 일환으로 KISA가 개발한 ‘SecurePass’는 매번 랜덤하게 바뀌는 패스워드 입력판과 숨겨진 마우스를 움직여 패스워드를 입력하는 방법으로 키로깅 및 숄더서핑 공격에 안전하게 설계되었다. 특히, 대부분의 국내 상용제품들이 키로깅 공격 방지에만 초점을 맞춰 개발된 것과 달리 ‘SecurePass’는 숄더서핑 공격에 안전하도록 개발됨에 따라 기존 상용제품들에 비해 높은 안전성을 제공한다.

‘SecurePass’는 인터넷 뱅킹에서 계좌 비밀번호 및 보안카드 번호를 안전하게 입력하기 위한 수단으로 사용될 수 있으며, 온라인게임에서 아이템 교환 등에 사용되는 모바일 OTP와 같이 2차 인증 수단으로도 활용할 수 있다. 특히, 화면을 이동시켜 패스워드를 입력하는 SecurePass 기술은 터치스크린을 이용하는 스마트폰, ATM기기 등의 환경에도 적용할 수 있어 그 활용범위가 다양할 것으로 기대된다.

KISA 김희정 원장은 “SecurePass 기술 개발은 패스워드 자가진단 도구 보급 등 KISA가 패스워드 이용 환경의 안전성 강화를 위해 지속적으로 추진해 오고 있는 다양한 활동 중의 하나로, SecurePass 기술을 국내 기업들에게 이전함으로써 관련 보안 솔루션 개발을 지원할 계획”이라고 말했다.

앞으로, SecurePass 기술은 국내 관련 솔루션 개발에 활용함으로써 높은 안전성을 요구하는 해외시장 진출을 지원할 수 있을 것으로 기대된다.

웹사이트: http://www.nida.or.kr