오픈넷 이사인 김기창 고려대학교 법학과 교수는 최근 정부에서 논의되고 있는 ‘액티브X 퇴출’ 움직임이 근본적으로 잘못됐다며 이렇게 비판했다. ‘공인인증서’라는 제도 자체가 잘못된 것이며, 이를 계속 유지하려는 이유가 무엇인지 궁금하다고 덧붙였다.
김 교수는 “기술은 시시각각 변하고 있는데, 14년 전 기준으로 허술하게 만든 공인인증서를 전국민에게 강제하면서 공인인증서가 안전하다고 맹신하도록 하는 것은 사기라고 밖에 말할 수 없다”며 “전 세계 어느나라도 이러한 인증 체계를 갖춘 곳은 없다”고 주장했다.
김기창 교수는 우리나라 공인인증서를 ‘전국민 사기극’이라고 맹렬히 비난한다. 본인인증을 위해 다양한 방법과 기술이 사용될 수 있는데, 우리나라만 ‘공인인증서’라는 단일 체계를 고수하며 보안 위협을 높이고 있다.
금융거래 위한 보안 솔루션의 실상은 ‘무용지물’
우리나라는 온라인상의 본인확인을 위해 공인인증서를 이용한다. 한국인터넷진흥원(KISA)이 최상위 인증기관(ROOT CA)이며, 금융결제원, 증권전산원, 한국정보인증, 한국전자인증, 한국무역정보통신 등이 개인에게 공인인증서를 발급해준다.
공인인증서는 결코 안전한 인증 기술이 아니다. 공인인증서에 적용된 암호화 알고리즘은 1999년 ETRI가 개발한 것으로, 당시에는 매우 높은 수준의 기술이었으나 몇 년 전 부터는 사용되지 않는 저급한 기술로 평가된다. 또한 공인인증서는 ‘CTRL+C, CTRL+V’ 방식으로 USB나 스마트폰으로 쉽게 저장·이동되며, 비밀번호도 초보적인 해킹 기술로 어렵지 않게 입수할 수 있다.
이처럼 공인인증서의 보안 취약점이 많지만, 전자금융거래나 공공기관의 전자민원 등을 위해서는 반드시 공인인증서를 필요로 하다. 공인인증서 보안 취약점을 개선하기 위해 금융거래시에는 키보드 보안, 피싱·파밍 방지, 개인 방화벽, 가상 키패드 등 추가적인 보안 솔루션 설치를 요구하며, OTP나 그래픽 인증 등 추가적인 본인확인 절차를 거친다.
그러나 전문가들은 이러한 기술은 무용지물이라고 비난한다. PC나 스마트폰에 악성코드가 설치되면 공인인증서가 들어있는 NPKI 폴더가 통째로 빠져나갈 수 있다. 악성코드를 통해 사용자가 무엇을 입력하는지 들여다 보거나, 이미 유출된 개인정보를 통해 비밀번호를 알 수 있다. 무작위로 문자를 조합시켜 비밀번호를 찾아내는 부르트포스 기법도 성공률이 매우 높은 편이다.
김기창 교수는 “복잡한 본인확인 절차를 거치는 것은 공인인증서의 보안 취약성을 인정하기 때문이다. 근본적으로 보안에 취약한 공인인증서를 사용하기 위해 여러가지 보안 솔루션을 덧입히는 것으로는 아무것도 해결하지 못하며, 사용자에게 부담을 가중시키는 결과를 낳을 뿐”이라고 말했다.
공인인증서를 사용하지 않으면 어떠한 방법으로 온라인에서 본인확인을 할까? 미국, 캐나다 유럽 등에서는 사설 인증서, 전자서명 등을 이용한다. 대신 금융기관에서 거래내용 자체를 분석하고 확인하며, 사기로 의심되는 행위가 있을 때 추가 확인을 요구한다.
예를 들어 평소 사용하는 패턴의 일상적인 금융거래가 이뤄진다면 ID와 비밀번호만으로 가능하다. 보안을 강화하기 위해 OTP를 사용하기도 한다. 금융기관은 사용자가 평소에 접속해 사용하는 IP 주소와 단말기를 이용해서 거래를 시도할 때, 추가적인 본인확인 없이 거래를 승인한다.
평소 거래하는 패턴과 다른 거래 승인 요청이 발생하면 신용카드 번호를 물어보는 등의 추가적인 본인확인 절차를 거친다. 갑자기 고액의 금융거래가 나타나거나, 평소 접속하지 않던 새벽 시간에 거래가 발생하거나, 다른 IP나 단말기로 접속이 시도되는 경우가 이에 해당한다.
만일 다른 국가에서 접속하거나 비정상적으로 큰 금액의 거래가 이뤄지는 등 본인이 직접거래하는 것이라고 판단할 수 없는 경우 거래가 일시적으로 차단되고, 본인에게 직접 전화를 걸거나 이메일 등을 통해 거래 사실을 다시 한 번 확인하는 방법을 취한다.
이러한 프로세스를 위해 금융기관은 사용자의 거래패턴을 파악하고 있어야 하며, 이상행위를 탐지할 수 있는 시스템이 실시간으로 모니터링 하고 있어야 한다. 즉 금융기관이 안전한 온라인 금융거래를 위한 책임을 지고 있는 것이다.
우리나라는 안전한 금융거래를 위해 사용자가 액티브X를 이용해 공인인증서를 발급받고, 기타 보안 프로그램을 내려받아 PC에 설치해야 한다. 실제로 안전한 금융거래의 책임이 개인에게 있는 것이다.
김기창 교수는 “우리나라 전자금융거래법 9조에서 안전한 금융거래를 위한 책임을 금융기관에 지우고 있다. 그러나 공인인증서를 이용한 금융거래를 강제하면서 금융거래 책임을 사용자에게 전가시키고 있다”고 지적했다.
인증기능 민간 이양으로 고부가가치 시장 육성 가능
인증기관의 보안 취약성도 언제나 도마위에 오른다. 인증기관은 KISA에서 감시하지만, KISA의 보안성은 누구도 감사하지 않는다. 다른 나라의 경우, 베리사인과 같은 민간 인증기관의 인증 서비스를 감사하는 또 다른 기업/기관으로 웹트러스트, 유럽전기통신표준협회(ETSI), ISO 등이 있다.
우리나라에도 이러한 정책이 제도화되면 감사·통제 분야와 같은 고급 보안 서비스 시장이 활성화 될 것으로 기대할 수 있다. 솔루션 판매 위주의 보안 시장이 서비스 중심의 고부가가치 시장으로 성장할 수 있다는 것이 김기창 교수의 설명이다.
“보안업체가 단순하고 기초적인 제품을 판매해 푼돈을 벌기보다, 컨설팅·서비스 등 고급 기술과 전문성을 제공하면 더 높은 규모의 성장을 기록할 수 있다. 국내 보안 시장을 성장시키기 위한 방법은 플러그인 기술을 이용해 제품 몇 개 더 판매하는 것에서 벗어나야 한다.”
김 교수는 공인인증서 제도를 개선하기 위해 관련 법 개정을 위한 노력을 펼치고 있다. 민주당의 이종걸 의원 주도로 발의된 ‘전자금융거래법 개정 법률안’과 최재천 의원 주도로 발의된 ‘전자서명법 전부 개정안’에 참여한 바 있다.
전자금융거래법 개정 법률안은 21조 3항의 공인인증서 사용 근거 규정을 고치는 내용으로, 금융위원회가 인증기술 및 보안 기술의 공정한 경쟁을 저해하거나 특정 기술, 서비스 사용을 강제해서는 안된다는 내용을 담고있다.
전자서명법 전부 개정안은 ‘공인인증서’의 ‘공인’이라는 단어를 빼고, 정부가 인증기관을 지정하지 않으며, 인증기관이 준수해야 할 업무수행 기준 핵심요건 4개를 법에서 규정한 다음 나머지 세부적인 사항은 민간 자율에 맡기는 것이다. 핵심 요건은 독립적인 기관일 것, 전문적인 제 3자의 검증을 받을 것, 충분한 수준의 암호화 알고리즘을 사용할 것, 개인정보보호법을 준수할 것 등이다.
김 교수는 “공인인증기관 지정을 폐지하면 검증되지 않은 인증기관이 우후죽순처럼 난립하면서 혼란을 발생시킬 수 있다. 그러나 민간 자율에 맡기면 결국 신뢰할 수 있는 인증기관만이 시장의 선택을 받을 것이다. 이를 통해 기술을 한 발 진전시킬 수 있다”며 “정부는 이러한 혼란을 줄이고 국민들이 피해를 입지 않도록 감독해야 하지만, 지금처럼 특정 기술이나 솔루션을 국민들에게 강제해서는 안된다”고 강조했다.
