한호현 한국해킹보안협회 전무
▲ 한호현 한국해킹보안협회 전무
최근 스마트폰을 이용한 지급결제의 보안에 큰 구멍이 뚫렸다. 그 동안 안전한 금융거래를 위해 적용해 왔던 공인인증서 사용의 의무화가 사실상 완화되는 조치가 있었기 때문이다. 비록 소액결제에 한하여 완화된 조치가 적용될 것이지만 오랫동안 유지되어온 공인인증서를 이용한 지급결제 보안 환경에 큰 파장이 우려되고 있다.
공인전자서명의 이용을 강화해야하는 정책 당국의 이 같은 역주행은 우리나라 보안 인식의 현주소를 말해주고 있다. 10여년이 넘게 공을 들여 공인전자서명을 정착시켜 세계적인 모범사례로 손 꼽혀온 보안 사례를 스스로 무너뜨리는 어처구니 없는 사태는 보안 전문가들에게 큰 실망감을 주고 있다.
이러한 상황이 발생하게 된 것은 보안에 대한 전문지식이 부족한 정책 당국과 이를 이용하고자 하는 업계의 이해관계가 맞아 떨어진 결과라고 할 수 있다. 공인전자서명 적용에 대한 당위성을 업계에 충분히 설명하지 못한 탓이다. 또한 이 같은 허점을 이용하여 이를 추구하고자 하는 업계의 일부 결여된 보안 인식이 맞물린 결과라고 할 수 있다.
세간에 논란이 되고 있는 공인인증서의 사용 유무도 사실상 안전한 지급결제와 거리가 먼 이야기라는 것을 잘 모르는 것 같다. 우리나라 전자서명법에서 명시하고 있는 것은 공인전자서명이다. 공인인증서를 이용한 전자서명을 공인전자서명이라고 한다. 그럼에도 불구하고 공인인증서의 사용 유무에만 초점을 둔 논란을 갖고 스마트폰의 지급결제에서 공인인증서 사용을 하지 않아도 된다는 우를 범한 것이다. 지급결제의 안전에 가장 필수적인 수단은 공인전자서명의 적용이다. 여기서 안전이라는 용어와 공인전자서명의 용어에 대한 정확한 개념이 부족한 것이 가장 큰 원인이다. 안전이라는 개념의 오해와 혼선은 전자서명법에서 비롯된다. 이에 대한 논의는 우선 공인전자서명에 대한 정확한 개념을 살펴본 이후에 한다.
먼저 공인전자서명은 아래와 같은 4가지의 조건을 충족시켜야 한다. 우선 전자서명생성정보가 가입자에게 유일하게 속할 것을 규정하고 있다. 다음으로 서명 당시 가입자가 전자서명생성정보를 지배 관리하고 있을 것을 규정한다. 그리고 전자서명이 있은 후에 당해 전자서명에 대한 변경유무를 확인할 수 있을 것과 전자서명이 있은 후에 당해 전자문서의 변경여부를 확인할 수 있을 것을 규정하고 있다.
여기서 전자서명생성정보의 유일성과 전자서명의 변경 유무 확인, 전자서명된 전자문서의 변경여부 확인이 가능한 유일한 기술이 공인전자서명이다. 현재까지 출현하여 적용 가능한 기술 중에 이를 충족하는 기술은 공인전자서명이 유일한 것이다. 부분적인 규정을 충족하는 기술은 다양하다. 그럼에도 일부에서 공인전자서명이 아니더라도 이러한 점을 모두 충족할 수 있으며 다른 대체 수단이 있다는 주장을 하고 있다.
기술에 대한 충분한 지식이 부족한 탓이라고 하기에는 너무나도 많은 전문가들이 이러한 주장에 동참을 하고 있다. 그러나 이들의 주장을 살펴보면 곳곳에서 허점을 발견할 수 있다. "부인방지가 가능한 기술이 있다. 공인인증서를 사용하지 않고도 안전한 거래가 가능하다. 고객 인증기술이 다양하다. 획일적인 기준을 적용한다. 비제도권의 인증방법의 보안 수준을 판단하는 기준을 마련하여 양성화해야 한다"등과 같은 주장이다. 여기서 일일이 개별적인 주장의 문제점을 구체적으로 밝히는 것 보다는 이러한 것을 모두 해결해 주는 기술은 결국 공인전자서명의 적용이라는 점에 귀결된다는 점이다. 하나의 사례를 들면 고객의 인증 기술은 다양할 수 있다.
그러나 이러한 고객인증 기술이 고객의 거래 당사자인 금융회사를 인증하거나 안전한 거래를 형성시키지는 못한다. 특히 안전한 거래라는 개념이 도입되면 이들의 주장이 얼마나 기술적인 근거가 부족한지를 알 수 있다.
일반적으로 타인의 통장과 도장을 갖고 비밀번호를 알고 있는 상태라면 은행에서 현금 인출이 가능하다. 이때 은행은 도난 유무를 확인할 책임이 없다. 거래자의 신원확인을 의무화하지 않고 있기 때문이다. 그 자체로 거래를 인정하기 때문이다. 통장과 도장, 비밀번호가 도난당한 것이라면 누구의 책임인가. 물론 은행도 선의의 책임을 갖고는 있다. 그러나 이러한 거래는 정상적인 거래로 볼 수밖에 없는 상황이 된다. 전자지급결제에서 이러한 기준이나 최소한의 사용자 보호를 위한 장치가 바로 공인전자서명에 해당된다. 그야말로 최소한의 보안규정에 해당된다. 다른 기술은 안전에 대한 담보를 하지 않는다, 그 위험성을 사용자나 제공자 등 누군가가 떠안고 있기 때문이다.
<이하 상세 내용 컴퓨터월드 7월 호 참조>