[ICT 시사용어]화이트박스

특수 암호화 정보 저장 기술이다. 패스(PASS), 모바일 결제 시스템, 전자지갑, 모바일 뱅킹, 기타 핀테크 애플리케이션(앱)의 주요 보안 수단으로 활용된다. 금융, 통신, 공공, 의료 등 다양한 앱과 중요한 정보·알고리즘을 효과적으로 보호한다.

블랙박스가 운송 수단 상태와 운행 내용을 기록하고 저장하는 것과 같이 암호 값을 저장한다는 데서 어원이 비롯됐다.

화이트박스 해킹은 원천적으로 불가능하다. 개인화 키가 암호화 알고리즘이 뒤섞인 상태로 화이트박스에 숨겨져 있기 때문이다. 암호화 장치 내부 해킹을 시도해도 개인화 키나 알고리즘을 유추할 수 없다. 인증서 개인 키뿐만 아니라 중요 로직까지 보호할 수 있다. 또 다른 저장 매체에 비해 운용체계(OS)에 따른 개발과 관리가 용이하다.

기존 블랙박스의 경우에 원문과 개인 키가 블랙박스 안에 들어 있어서 키 탈취가 가능한 점을 보완했다.

본인 인증 시 화이트박스에서 사용자 인증이나 전자 서명이 진행된다. 예컨대 패스 앱에서 본인 인증 서명 요청이 발생하면 서명 데이터를 화이트박스에 넘긴다. 개인 키가 화이트박스에 있어 거래 원문(서명 요청 값)을 모바일로 받아 화이트박스에 넣으면 서명 결과 값이 나온다.

패스 앱 외에도 전자 서명 서비스(PKI 기술 및 개인키 보호), 모바일OTP(OTP 키 보호), 중요정보 저장 매체(암·복호화), 디지털 콘텐츠의 저작권 보호 및 관리 등에 사용된다.

국내에선 아톤이 화이트박스 암호화 기술 기반의 보안영역(SE)을 처음으로 상용화했다. 유일하게 금융기관 인증 서비스를 적용하고 있는 기업이다.

손지혜기자 jh@etnews.com