복제가 불가능한 것으로 알려진 금융 IC카드가 금융사고 부채널 공격에 취약해 교체돼야 한다는 주장이 제기됐다.
국회 기획재정위원회 소속 진수희 의원(한나라당, 서울 성동 갑)은 20일 한국은행 국정감사에서 "복제가 불가능해 안전하다고 알려진 IC카드가 여전히 복제가 가능하며 복제 가능한 금융IC카드를 교체하지 않는 한 복제로 인한 금융사고의 위험에 노출돼 있다"고 밝혔다.
이날 진 의원에 따르면 MS(Magnetic Stripe, 자기띠) 방식의 신용·체크·현금카드가 불법복제가 쉽게 이루어져 금융사고가 발생함에 따라 한국은행의 금융정보화추진위원회는 이 같은 금융 사고를 막기 위해 지난 1996년부터 IC카드 표준을 제정하고 IC카드 표준화를 주도해왔다.
하지만 일반적인 IC칩은 동작 시 소비되는 전력소모량을 정밀분석하면 IC칩 내부의 중요한 정보를 획득할 수 있는 부채널 공격에 취약점을 갖고 있어 이에 대한 대비책이 필요하나 한국은행 산하 금융정보화추진위원회에서 만든 '금융IC카드 표준'에는 부채널 공격에 대한 항목이 그동안 없었다.
최근 개정된 표준에는 일부 항목에 선언적으로만 들어가 있어 이전에 만들어진 IC카드는 부채널 공격에 안전하다고 말할 수 없다.
한국전자통신연구원(ETRI)이 제출한 자료에 의하면 "금융IC카드에서 부채널 공격 방지 기술이 내장 되어 있지 않다면 부채널 공격으로 거래상에 위험을 노출할 우려가 있다"고 지적하고 있으며 국가보안기술연구소(NSRI)도 제출자료에서 "실험결과는 비밀로 분류되어 밝힐 수 없지만 암호키 추출 가능성이 존재한다"고 밝혔다.
아울러 정보보호진흥원(KISA)은 "(전자여권에서도 사용되는) IC칩 요소기술 분석에서 발견된 키 정보 유출 가능성 취약점이 있어 관련업체에 통보하고 조취를 취했다"고 자료를 통해 밝혔다.
이에 대해 진 의원은 "국제표준과 EMV(신용카드 구현 평가기준)에는 IC칩에 대한 DPA/EM 등 부채널 공격 안전성 검증항목이 2000년 이후부터 있었으나 한국은행이 만든 '금융IC카드 표준'에는 이러한 내용이 있지 않아 IC카드 복제에 대한 안전장치가 없다"며 "조속한 시일 내에 '금융IC카드 표준'을 개정해 불법복제에 대해 선제적으로 대응해야하며 기존에 발급되어 있는 복제 가능한 IC카드를 전량 회수·교체해야 한다"고 말했다.
한편 부채널 공격이란, 안호 모듈 내의 암호 알고리즘이 동작할 때 발생하는 전기소모량, 전자기 신호량, 열 등의 정보를 수집.분석해 암호키를 찾아내는 방법을 뜻한다.
