국내에 가장 널리 사용되고 있는 IC칩카드인 프랑스 젬플러스사의 MP-COS카드가 마스터키(Key)관리상에 커다란 문제점이 있는 것으로 드러나 관련업계의 관심이 집중되고 있다.
「현대전자SW연구소」는 최근 『IC카드의 경우 배치카드 키값이 사용자에의해 임의로 수정할 수 있는 구조이어야 하나 MP-COS카드의 경우 칩운용체계(COS)구조 자체가 배치카드 키값을 임의로 수정할 수 없는 구조로 돼 있어보안상에 큰 문제점이 있을 수 있다』고 지적, 국내 사용자들의 경각심을 불러일으키고 있다.
마스터키란 암호알고리듬·프로토콜·키관리 등 3가지 논리적 암호체계중키관리의 핵심요소로 다른 키를 파생시키는 역할을 한다.
이같은 마스터키가 노출될 경우 다양한 변형키를 만들 수 있어 데이터의노출이 가능하기 때문이다.
현대전자SW연구소에 따르면 MP-COS카드는 특히 키값에 접근할 수 있는 패스워드 자체도 사용자가 변경할 수 없는 구조로 돼 있어 카드내의 주요 데이터가 카드공급사에 의해 노출될 가능성이 높아 IC카드의 고유기능인 보안성을 유지할 수 없다는 지적이다.
또한 COS명령어를 설명한 매뉴얼에도 없는 카드공급사만 알고 있는 숨겨진명령어를 갖고 있어 카드의 신뢰성에 문제가 있다는 것이다.
즉 COS내에 젬플러스사만이 알고 있는 비밀명령어를 갖고 있어 만약의 경우 카드공급사에 의해 수많은 카드가 복제될 수 있다는 지적이다.
따라서 카드 공급자를 신뢰할 수 없는 입장에 놓인 국내 사용자로선 카드시큐리티체계의 노출되 경우 이에 따른 대책을 세울 수 없다는 것이 문제이다.
현대전자SW연구소는 이같은 문제점을 극복할 수 있는 방안으로 젬플러사가카드를 공급할때 사용자들에게 마스터키를 생성 및 보관할 수 있도록 관련장치를 마련해야 한다고 지적하고 있다.
특히 COS경우 사용자그룹으로부터 일련의 검증과정을 통해 투명성 입증해야한다는 것이다.
한편 동남은행과 광주은행이 MP-COS카드를 전자지갑용으로 사용중이며, 삼성의 금융소그룹인 화재·생명·증권·카드 등 4사가 오는 9월경부터 이 카드를 이용해 복합카들 발급할 예정으로 있다.
이밖에도 대다수의 대기업 및 중소기업들이 이 카드를 이용해 임직원들의ID카드로 활용하거나 도입을 검토중에 있는 등 국내에서 활용이 점차 확대되가고 있어 대책마련이 절실한 실정이다.
<구근우 기자>