아침에 눈 뜨자마자 시간을 확인하는 휴대폰의 SIM 카드에서부터 출근길 사용하는 교통카드, 편의점 등에서 제품을 구매할 때 사용하는 신용카드, 회사에 출입할 때 개인 확인을 위해 필요한 출입증 등 일상생활에서 아침부터 저녁까지 사용하는 스마트카드IC를 만들어 가는 사람들이 바로 삼성전자 시스템LSI 사업부의 스마트카드 개발팀인데요.
특히, 이 팀에서 개발한 삼성전자의 스마트카드IC는 90나노 공정을 적용한 264KB 플래시 제품으로 국제 공통 평가 기준인 CC(Common Criteria) 보안 인증에서 최고 등급인 ‘EAL7(Evaluation Assurance Level)’을 획득해 세계 최고의 보안성을 인정받는 등 신화를 창조하고 있습니다.
그 동안 전자 ID, 금융 분야의 스마트카드IC는 정보 저장을 위해 EEPROM(Electrically Erasable Programmable Read-Only Memory)을 탑재한 제품을 주로 사용했는데요. 한 번 저장하면 수정이 어려워 보안성은 높지만, 제품의 효율적인 사용이 어렵다는 단점이 있었습니다.
반면, 플래시 메모리 기반의 스마트카드IC는 필요한 소프트웨어를 자유롭게 탑재하고 변경할 수 있음에도 불구하고 보안성이 취약해 널리 활용되지 못했기 때문에 이번 CC 보안 인증이 더욱 큰 의미를 갖는다고 볼 수 있습니다. 지금부터 신화 창조의 숨은 이야기를 소개합니다.
*CC보안인증이란?
CC(국제공통평가기준)인증은 국가마다 상이한 평가기준을 연동시키고 평가결과를 상호인증하기 위해 재정된 평가기준으로 1999년 6월에 국제표준으로 승인되었습니다. CC인증이 필수적인 제품군으로 스마트카드, 보안관리서버, 웹방화벽, 무선침입방지, 무선랜 인증, 스팸메일 차단, 바이러스 백신 등이 있습니다.
삼성전자가 스마트카드와 관련된 사업을 시작한 것은 1990년대. 대한민국 정부의 전자주민증 사업이 거론되던 시기였습니다. 시장에서는 이미 유럽 선진 기업들이 명성을 떨치고 있었는데요.
뒤늦게 시장에 뛰어들었음에도 불구하고, 삼성전자는 특유의 패기와 열정으로 시장의 문을 두드렸습니다. 당시, 세계 시장을 뛰어다니며 고객사와의 미팅을 추진했지만 임원진이 찾아가도 문전박대 당하기 일쑤였다고 합니다.
김성현 수석
“담당 임원분들이 갔는데도, 고객을 만나지 못하고 문전박대 당했던 시절이 있었습니다. 시장 경쟁력이 있어야 하는데, 보안 때문에 어렵다는 피드백을 받았었죠. 위험이 있으면 감수하려고 하지 않는 냉정한 시장 상황에서 저희가 할 수 있는 것은 보안 분야의 최고가 되자는 다짐과 실행밖에 없었습니다.”
‘비 온 뒤 땅이 굳는다’는 속담이 있듯이 냉정한 시장 반응은 담당 임직원들에게 더욱 굳은 각오와 최고의 기술력을 구현하고자 하는 노력의 밑거름이 되어주었습니다. 그리고 2013년에 최고의 결실을 보게 되었죠. 바로, 스마트카드IC 중 90나노 공정을 적용한 264KB 플래시 제품이 국제 공통 평가 기준인 CC 보안 인증에서 최고 등급인 ‘EAL7’을 획득한 것입니다.
국제 공통평가기준 CC ‘EAL7’의 의미
삼성전자가 이번에 인증받은 ‘EAL7’ 등급 획득은 국제 공통평가기준 CC의 공식발급 기관 중 하나인 프랑스 ANSSI(Agence nationale de la securite des systemes d’information)에서 발급받은 것입니다. CC 보안 인증에서 세계 최초로 반도체분야의 현존 최고 등급을 획득한 것은 삼성전자만의 기술력이 소비자에게 다방면으로 다가설 수 있는 발판으로 거듭나고 있습니다.
조성희 상무
“이번 CC EAL7인증은 전세계 최초로 최고 등급의 보안기술 인증을 받은 것으로, 시장 상황보다 1년 이상 앞선 기술로 보고 있습니다. 보안은 현대 생활에서 필수적으로 필요한 기술이며, 특히 보안성이 요구되는 IT/Mobile 분야에서 신규 시장이 본격적으로 형성되고 있습니다. 최고 수준의 보안 기술을 기반으로, 현재 스마트카드 메인 시장인 SIM 및 FSID 시장 외에 신규 시장 개척을 위해 노력을 아끼지 않고 있습니다.”
CC 보안 인증 레벨에는 1부터 7까지의 숫자가 있는데요. 최고 등급인 7이라는 숫자에는 특별한 의미가 있습니다. EAL7 등급의 제품은 핵무기 등 고안정성이 요구되는 제품에서도 사용될 수 있는 수준의 보안 등급을 뜻하기도 한다는군요.
김정현 수석
“CC 보안 인증에서 7이라는 것은 제일 높은 숫자입니다. 이 숫자에는 수치상으로 표현할 수 없는 기술적인 부분이 객관적으로 표현된 것입니다. 삼성전자가 스마트카드IC 업계 최초로 상을 받았는데요. 삼성전자 스마트카드가 security 제품의 선두에 있고, 그것을 기반으로 NFC와 eSE를 활용한 mobile payment, 전자 여권, 뱅킹 카드 등 security를 기초로 하는 다양한 사업에 진출해 사용자들을 해킹의 위협에서 벗어날 수 있도록 하는 베이스가 된 것입니다.”
CC 보안 인증에서 최고 등급을 획득하기까지 1년에 달하는 긴 시간이 걸렸지만, 기술에 대한 확신이 있었기 때문에 지치지 않고 결과를 기다릴 수 있었다고 합니다. 특히, 기존까지 구현해 왔던 기술력과 다른, 삼성전자만의 혁신적인 기술력이 바탕이 되어준 점이 참여한 임직원들에게 남다른 보람으로 다가오기도 합니다.
이경진 선임
“장비 등을 기존 보다 많이 구축해 테스트 방법을 다양화하고, 케이스를 강화해 많은 시간과 노력을 들여 평가한 제품이었습니다. 개인적으로 심혈을 기울인 제품이었는데, 인증을 받았다는 소식을 들었을 때에는 정말 기뻤습니다. 함께 수고한 팀원분들 모두 기쁨을 나누었어요.(웃음)”
해커들의 다양한 해킹 방법을 알아야 보안과 관련한 방어를 할 수 있기 때문에, Security를 담당하는 임직원들은 세계 최고 수준의 해커가 되어야 합니다.
나지명 책임
“해커들의 해킹 방법은 정말 다양한데요. 칩에 동작하는 전류만 보고도 칩의 정보를 알아내는 기술이 있습니다. 레이저를 통해 해킹하는 등 해킹 방법이 날마다 진화하고 있기 때문에, 저희 팀원 중 해커도 있죠.(웃음) 공격에 대한 방어를 하려면 공격이 무엇인지 알아야 하기 때문입니다.”
스마트 카드 IC는 주파수, 전압, 온도 등 다양한 조건, 일정 수준 안에서만 정상적인 동작을 하게 설계됩니다. 설계할 때부터 보안을 고민한 설계가 들어가게 되는 것이죠.
강호열 수석
“Smart Shield, Smart Sensor, Smart Core를 통해 스마트카드IC의 보안 설계가 구현됩니다. RE(Reverse Engineering)를 통한 해킹뿐만 아니라, 설계한 사람이 해킹을 시도해도 해킹 자체가 불가능하게 설계되어 있습니다.”
사용하는 이메일 계정이나 웹사이트의 로그인 비밀번호를 변경하라는 메시지가 가끔 귀찮게 여겨질 때가 있습니다. 이처럼 보안은 사용자 입장에서는 불편한 것으로 여겨지기도 하는데요.
이병훈 수석
“보안은 미래 리스크에 대한 투자입니다. 보안에 대한 경각심이 없는 경우가 많은데요, 앞으로 다가올 수 있는 재난에 사전 준비를 하고, 대비하는 자세가 반드시 필요합니다. 아무리 강조해도 모자람이 없는 부분입니다.”
기간 설정