전자정부 구축이 한창이던 김대중 정부 시절 전자문서에 대한 위·변조 방지를 위해, 1999년 7월 전자서명법을 제정하였다. 전자서명법을 통해 우리 정부는 ‘공인인증기관이 발급한 인증서에 기초한 전자서명’에 대해서도 법령이 정한 서명 또는 기명날인과 동등한 효력을 갖도록 했으며, 이때 공인인증기관의 지정은 정보통신부장관이 하도록 하였다. 이후 2002년 4월에 법 개정을 통해 ‘공인인증기관이 발급한 인증서’는 ‘공인인증서’로, ‘공인인증기관이 발급한 인증서에 기초한 전자서명’은 ‘공인전자서명’으로 명칭이 바뀌게 된다.
용어가 생소해서 그렇지 사실 전자서명은 우리가 일상생활에서 사용하는 ‘도장’과 같은 것이고, 인증서는 현실 세계에서의 ‘사용인감계’ 또는 ‘인감증명서’에 해당한다고 보면 이해가 쉽다. 이러한 전자서명과 공인인증서는 그 사용상의 강제성과 불편함으로 인해 많은 비난을 받기는 했으나, 지난 12월10일에 폐지되기까지 20여년간 은행 업무와 인터넷 쇼핑부터 증권 거래, 정부 민원, 병무 행정에 이르기까지 사실상 우리 사회 전반에 걸쳐 디지털 인프라를 빠르게 구축하는데 크게 이바지한 것도 사실이다.
재미난 것은 비트코인과 같은 암호화폐 또한 전자서명과 인증서를 사용한다는 점이다. 우리가 흔히 말하는 “암호화폐를 사용한다” 혹은 “암호화폐로 지불한다”는 것은 인터넷뱅킹에서 계좌이체를 하는 행위와 매우 유사해서, 인터넷뱅킹에서 상대방의 계좌번호와 이체금액을 입력한 후 전자서명을 하듯 상대방의 전자지갑(wallet) 주소와 금액을 입력한 후 전자서명을 하면 내 전자지갑에서 상대방 지갑으로 해당 금액만큼 암호화폐가 이체된다. 단지 차이라고 한다면 인터넷뱅킹에서는 인증서 발급 및 계좌 개설시 실명 확인을 요구하는 반면 암호화폐에서는 실명 확인 절차가 필요 없다. 즉, 익명성이 보장된다 정도이다.
이렇듯 암호화폐 또한 전자서명 및 인증서에 기반해 동작하다 보니 사용자가 소지한 ‘전자서명용 개인키(private key)’의 안전한 관리는 보안에 있어 매우 중요한 요소이다. 실제로 Blockchain Graveyard의 분석에 따르면 암호화폐 해킹사고의 대부분은 부실한 개인키 관리로 인해 발생하고 있다고 한다. 그런데 인터넷뱅킹에 비해 암호화폐에서의 키 관리가 더욱 중요한 이유는 익명성으로 인해 개인키를 도난당하거나 잃어버렸을 때 이를 되찾을 방법이 없기 때문이다.
일반적으로 암호화폐 이용자의 개인키는 종이에 인쇄하거나 QR 코드로 렌더링해 보관할 수도 있고, PC(또는 암호화폐 거래소 서버)의 하드디스크에 저장할 수도 있으며, 아니면 공인인증서를 사용할 때와 마찬가지로 이용자의 USB 드라이브 혹은 스마트폰에 보관할 수도 있다. (저장매체의 인터넷 연결 유무에 따라 ‘핫 월렛(hot wallet)’과 ‘콜드 월렛(cold wallet)’으로 구분하기도 함) 하지만 PC나 스마트폰에 대한 해킹 기술이 점차 고도화되면서 이들 매체들은 더 이상 안전을 보장하기가 어려워졌다. 이러한 이유로 최근 주목받고 있는 것이 바로 ‘하드웨어 보안 모듈(HSM: Hardware Security Module)’이다.
HSM은 개인키를 전문적으로 보호하고 관리하는 장치로, 외부인이 HSM 안의 키를 억지로 탈취하려고 하면 안에 있는 키가 삭제되는 기능이 탑재돼 있다 (이를 ‘tamper-resistant’라고 함). 특히 HSM이 타 저장매체에 비해 뛰어난 점은 자체 연산 장치가 내장돼 있어 키 발급이나 전자서명 생성·검증이 기기 내부에서 일어난다는 것이다. 즉 해커가 사용자의 컴퓨터에 침투한다 하더라도 추가로 HSM을 뚫지 못하는 한 키가 유출되지 않는다는 것. 더욱이 이러한 HSM은 스마트카드, USB 토큰 등 다양한 형태로 제작될 수 있다.
“키가 없으면 코인도 없다(Not your keys, not your coin)”라는 말이 있다. 향후 암호화폐와 같은 디지털 자산의 가치가 증가할수록 개인키 관리에 대한 중요성은 점점 더 증가할 것이다. 이제 HSM은 선택이 아닌 필수다.
[글. 김승주, 고려대학교 정보보호대학원 교수]
★정보보안 대표 미디어 데일리시큐!★
