동아일보

‘공인인증서 장벽’에 스마트폰이 운다

  • Array

  • 입력 2010년 3월 15일 03시 00분

글자크기 설정

SSL등 다른 보안방식 허용안돼 불만고조
정부 “인증서 10년이상 검증돼 가장 안전”

크게보기

시중은행 인터넷 홈페이지에 들어가니 어김없이 반갑지 않은 창이 뜬다.

‘Internet Explorer-보안경고’라는 제목 밑에 ‘이 소프트웨어를 실행시키겠습니까’하는 질문이 나온다. 마지못해 설치 버튼을 누르면 PC는 한참 동안 알 수 없는 소프트웨어를 설치하는 듯하더니 도중에 멈춰버린다. 재부팅하고 다시 시도하니 이제는 ‘보안프로그램’을 수동으로 다운받으라고 한다.

마이크로소프트(MS) 인터넷 익스플로러의 ‘플러그인(plug-in·브라우저에 확장기능을 삽입하는 기술)’ 기술인 ‘액티브X’를 이용해 공인인증서 모듈 및 해킹방지, 암호화 프로그램을 까는 작업이다. 국내 모든 은행과 대부분의 관공서 사이트에 들어갈 때마다 반복된다.

귀찮고 짜증나는 일이지만 이마저도 익스플로러 사용자의 고민일 뿐이다. 파이어폭스, 사파리 등 다른 웹브라우저로는 인터넷뱅킹이나 대개의 전자민원 시스템을 아예 사용하지 못한다.

○ MS 익스플로러만 되는 ‘공인인증서’

최근 인터넷 환경이 빠르게 진화하면서 한국 정부와 금융권이 사실상 의무화하고 있는 ‘공인인증서’를 둘러싼 논란이 뜨거워지고 있다. 스마트폰 e북 등 인터넷을 쓸 수 있는 새로운 기기가 속속 등장하고 있지만 한국은 10년 이상 묵은 공인인증서만 고집하고 있어 소비자 불편이 크다는 것이다. 해킹 사고가 급증하면서 공인인증서의 보안체계가 튼튼한지에 대한 의문도 커지고 있다.

현재 정부는 공인인증서만을 보안프로그램으로 인정해 금융거래 및 전자정부 시스템에서 사용을 강제하고 있다. 인터넷뱅킹은 물론 30만 원 이상 전자상거래, 주민등록등본 발급 등 전자민원을 이용할 때도 인증서를 의무적으로 제출해야 한다.

하지만 이 공인인증서가 MS 익스플로러에서만 작동하는 ‘액티브X’를 기반으로 하고 있어 진즉부터 기타 운영체제나 웹 브라우저 사용자들의 불만이 쌓여 왔다. 특히 최근 들어 액티브X를 지원하지 않는 스마트폰 보급이 늘면서 공인인증서를 둘러싼 논쟁이 본격화되는 양상이다.

선진국 은행들은 대부분 브라우저나 운영체제와 상관없이 사용할 수 있는 ‘SSL’이라는 암호화 방식에 일회용 비밀번호 생성시스템인 OTP를 보안시스템으로 활용하고 있다. 금융보안연구원에 따르면 미국 영국 네덜란드 호주 말레이시아 싱가포르 중국 등의 주요 은행들은 모두 SSL을 지원해 익스플로러 외의 기타 브라우저로도 인터넷뱅킹을 할 수 있다.

○ “구세대 시스템 강요 말라” vs “그나마 제일 안전” 논쟁

이민화 기업호민관(중소기업 옴부즈맨)은 최근 금융위원회와 행정안전부에 ‘SSL+OTP’ 방식의 보안체계를 사용하도록 해달라고 건의했다.

그러나 정부는 “공인인증서 이외의 다른 보안 방법을 검토하지 않는다”는 입장을 고수하고 있다. 장영환 행안부 정보보호정책과장은 “공인인증서는 10년 이상 검증된 가장 안전한 보안시스템”이라며 “아직 검증되지 않은 외국 시스템을 따라갈 필요가 없다”고 말했다. 행안부는 공인인증서가 △거래당사자 신원확인 △거래명세 정보 위·변조 방지 △전자금융거래 부인 방지 등 3가지 기능이 있다며 SSL로는 이 기능을 완벽히 충족할 수 없다고 주장한다.

하지만 인터넷보안 전문가들은 공인인증서도 결국 파일일 뿐, 비밀번호와 보안카드가 도용될 경우 보안효과가 없다고 지적한다. 최초 발급 때만 금융회사에서 본인 실명 확인을 하고 이후는 유효기간이 지나거나 분실해 재발급할 때도 실명확인을 하지 않기 때문에 PC가 해킹돼 비밀번호 및 보안카드가 유출될 경우 추가 보안 기능이 없다는 것이다.

공인인증서 암호화 방식의 수준에 대해서도 논란이 많다. 미국 싱가포르 등 선진국 은행들은 기존보다 강화된 256비트의 SSL 암호화를 사용하고 있다. 반면 국내 은행들은 대부분 보안성이 떨어지는 128비트 암호화를 사용한다.

많은 전문가들은 난수를 이용해 실시간으로 비밀번호를 생성하는 OTP가 현재로서는 가장 보안성이 높다고 설명한다. 일부 국내 은행도 OTP를 도입했지만 기기 1개당 1만 원이 넘는 비용 때문에 적극적으로 활용되지 않고 있다. 또 OTP를 이용할 경우에도 공인인증서를 기본으로 사용하는 것은 마찬가지다.

정부도 공인인증서가 익스플로러에서만 작동하는 것이 소비자 선택권을 제약한다는 점은 인정하고 있다. 행안부 등 관련 부처는 ‘스마트폰용 공인인증서 이용기술 표준’을 개발해 마무리 작업 중이며 4월부터 보급할 예정이다. 하지만 이러한 스마트폰용 공인인증서 개발은 미봉책일 뿐이라는 지적도 있다. 공인인증서만을 고수하는 한 새로운 운영체제가 나올 때마다 비용을 들여 새 시스템을 개발하고 표준을 만드는 일을 되풀이해야 한다.

한 정보기술(IT) 보안전문가는 “인터넷 해킹과 보안 기술은 빠르게 진화하는데 정부가 특정시스템인 공인인증서만을 강제하는 것은 구시대적”이라며 “당국은 큰 틀에서 ‘보안 수준’만 규제하고 어떤 시스템을 쓸지는 각 금융회사가 선택할 수 있게 해야 한다”고 말했다.

정재윤 기자 jaeyuna@donga.com

:: 공인인증서 ::

공인인증기관이 발행한 사이버 거래용 인감증명서. 전자서명검증키, 일련번호, 소유자 이름, 유효기간 등의 데이터가 저장돼 있다.

:: SSL(Secure Sockets Layer) ::

전자상거래 시 개인정보를 보호하기 위한 프로토콜. 익스플로러뿐 아니라 파이어폭스, 사파리 등 기타 브라우저에서도 사용 가능하다.

:: OTP(One-Time Password) ::

인터넷뱅킹 이용 시 생성되는 일회용 비밀번호. 사용할 때마다 새로운 비밀번호가 생성되기 때문에 고정 비밀번호보다 안전하다. OTP전용기기(토큰), 휴대전화 모듈(모바일), SMS OTP 등 다양한 장치가 이용된다.

▶동아닷컴 인기화보
  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0

댓글 0

지금 뜨는 뉴스

  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0