안기범 한국정보인증 전략기획팀장
(이 기고는 필자의 주장을 담은 글로서, 본지의 편집방향과 다를 수 있습니다. 상이하거나 반대되는 주장을 담은 기고를 원하는 독자께서는 jinslee@itdaily.kr로 글을 보내주시기 바랍니다. 편집자 주)
최근 대규모 정보유출 사태로 인해 금융정보 보안에 대한 전국민적 관심이 집중되고 있다. 금융 보안 및 해킹 문제는 우리나라만이 아닌 전세계적인 문제이다. 얼마전 영국 페이팔은 시리아전자군에 의해 해킹을 당했고, 중국 최대 포털 업체 바이두도 접속 불능 사태가 벌어지는 등 해킹의 위협은 끊이지 않고 있다.
나날이 발전하고 있는 지능적인 해킹, 내부인에 의한 개인정보의 유출 등 금융 보안 이슈가 발생하는 원인은 다양하다. 그런데 우리나라에서는 금융 보안 문제가 일어나면 무조건 공인인증서 때문이라는 마녀사냥식 주장이 제기되곤 한다. 공인인증서 반대론자들의 주장대로 우리나라의 공인인증제도는 인터넷 보안 불감증의 원인인가? 어디까지가 진실이고, 어디까지가 오해이며, 어떻게 개선해야 하는지 살펴보도록 하겠다.
플러그인과 공인인증서
먼저 플러그인(MS의 경우 액티브X)이 문제이고, 공인인증서가 플러그인 방식을 이용하기 때문에 바이러스의 숙주가 된다는 주장에 대해 살펴보자. 결론부터 말하자면 최근의 공인인증 기술은 플러그인을 이용하지 않고 사용할 수 있도록 기술적 진화가 일어났다. 머지않아 상용화의 단계에 들어설 것이다.
반대론자의 주장대로라면 공인인증서가 플러그인 방식을 사용하지 않기만 하면 모든 문제는 사라져야 한다. 그러나 우리가 금융서비스를 이용할 때 설치하는 프로그램 중 공인인증서 구동을 위한 프로그램은 단 한 개에 지나지 않는다. 나머지 프로그램들은 보안프로그램으로 고객의 PC와 개인정보를 보호하기 위해 만든 것이다.
보안은 서버보안과 클라이언트 보안으로 크게 구분할 수 있다. 해커의 서버에 대한 공격은 그간 DDOS, SQL Injection 등에서 발생해 왔다. 금융정보를 포함한 거대한 개인정보를 방어하기 위해, 금융, 포탈, 대형쇼핑몰을 비롯한 많은 사이트들이 안전한 인터넷 환경을 제공할 수 있도록 Anti DDOS, DB암호화, 서버인증(SSL), IPS, DB접근제어, 웹방화벽 등에 지속적인 투자를 진행해 오고 있다. 앞으로 보안시장의 규모가 연간 14.3% 지속 상승할 것이라는 예측은 보안을 위한 투자가 지속적으로 발생한다는 것과 일맥상통한다.
문제는 클라이언트 보안이다. 그간 해킹의 변화는 대규모 고객정보와 더불어 개개인의 정보를 해킹하는 방향으로 옮겨가고 있다. 이를 막기 위해, 인증서 암호화 및 관리 프로그램, 안티바이러스(V3 등), 비밀번호 보호(키보드 보안프로그램), 개인방화벽, 해킹IP 접속차단을 위한 보안로그 프로그램 등이 현재 대다수의 금융기관을 통해 사용자에게 제공되고 있다.
이러한 프로그램을 사용자에게 제공하는 이유는 명확하다. 개인에 대한 해커의 공격이 갈수록 증가하고 있기 때문이다. 이를 방어하기 위해 웹사이트들이 비용을 투자해서 고객의 PC를 안전하게 관리할 수 있도록 보안프로그램을 무상으로 제공하는 것이다.
만일, OS나 브라우저(IE, 사파리, 크롬 등)가 해커의 공격에 대응할 수 있는 제반 보안프로그램을 제공할 수 있다면 위의 프로그램이 필요가 없다. 아쉽게도 그렇지 못한 것이 현실이고, 이를 이용하기 위해서는 플러그인(IE의 경우, Active X)를 이용해야 한다는 것이다. 해외사이트의 경우에도 플러그인을 이용하여 보안프로그램을 설치할 수 있다. 다만, 고객이 선택할 수 있게 되어 있다는 것이 한국과 다른 점이다.
방화벽, 키보드보안프로그램, 안티바이러스 없이도 금융거래나 전자상거래를 통한 결제를 할 수 있다. 다만 클라이언트(개인) 보안이 낮아지는 만큼 위험에 더욱 크게 노출되는 위험이 커지는 것이다. 따라서 현 상황에서 추가적인 프로그램 설치 없이(플러그인을 이용하지 않고) 안전한 거래를 보장받기를 바라는 것은, 문을 걸어 잠그지 않은 채 도둑이 들지 않기 바라는 것과 마찬가지 주장이다.
유일한 방법은 OS와 브라우저가 이 모두를 지원하는 경우이다. 이 방법 말고는 없다. 더불어 보안토큰, 지문인증과 같은 생체인식 기술 등 다양한 보안기술을 도입하면 더 좋다고 한다. 옳은 지적이다. 그러나 이 또한 플러그인 없이는 구동되기 어려운 것이 현실이다.
만일 브라우저가 이러한 부분을 모두 지원할 수 있다면 사용자에게는 추가적인 프로그램 설치 없이 편리하게 이용할 수 있는 최선의 인터넷 환경이 제공될 것이다. 그렇지만 이후 해커에 의해 침해되는 다른 위협 또한 OS와 브라우저 업체만 바라보는 천수답식의 보안환경만 남게 될 것이다. OS나 브라우저에서 지원하지 않는 새로운 프로그램은 계속 시장에서 요구되고 개발될 것이고, 우리는 그것을 이용하기 위해서는 플러그인을 포함한 새로운 연동기술이 필요하다는 것을 인정해야 한다.
SSL+OTP와 공인인증서
공인인증서를 반대하는 사람들은 공인인증서와 SSL+OTP를 종종 비교하고, SSL+OTP의 사용이 공인인증서의 대안이라고 하기도 한다. 그러나 OTP는 일회용 비밀번호를 생성해 사용하는 것이고, SSL(Secure Socket Layer)은 인터넷 상에서 웹브라우저와 웹서버 간의 데이터를 안전하게 주고 받을 수 있도록 암호화해 통신하는 프로토콜을 말한다.
2006년 말 당시 정보통신부에서는 인터넷상에서 ID와 비밀번호, 연락처 등 개인정보를 수집, 활용하는 정보통신서비스 제공자는 고객의 개인정보를 보호하기 위해 보안서버 구축을 의무화했고, 2007년 6월부터는 보안서버를 구축하지 않은 기업에 대해 과태료 부가 등 행정조치를 해왔다. 즉, 보안이 중요한 은행 등 금융기관은 이미 SSL을 적용해 온 것이다. 그리고 정보통신법 개정에 의해 2012년 8월부터는 보안서버 설치가 법적으로 의무화되어 중소규모의 쇼핑몰 등 개인정보를 취급하는 사업자는 보안서버 구축이 필수요소가 되었다.
단순 본인확인 기능이라면 SSL+OTP를 대체하여 사용할 수 있지만 전자서명 기능과 부인방지 기능을 이용하기 위해서는 공인인증서가 필요하다. SSL+OTP는 공인인증서와 결합 보안을 강화하는 이중 보안 수단으로 활용할 수 있으며 공인인증서와 배치되는 개념이 아니다.
최근에는 피싱 뿐만 아니라 파밍 등 나날이 해킹 수법이 진화하는데 따른 위험을 막고자 EV-SSL을 도입하는 은행 및 금융기관이 늘어나고 있는 추세다. EV-SSL이란, 홈페이지가 진짜인지 여부를 눈으로 직접 확인할 수 있도록 녹색주소창으로 표시되는 것이 특징이다. 즉 고객이 홈페이지에 접속했을 때 도메인 창이 녹색이면 신뢰할 수 있는 사이트라는 상징성을 지니는 것이다. 현재 국민은행, 우리은행 등 금융권이 가장 먼저 EV-SSL을 도입해 사용하고 있다. 이미 우리나라의 서버 인증은 단순한 SSL을 넘어 하이엔드급의 EV-SSL로 변화하고 있다.
개인정보수집과 관리주체에 관하여
국내의 경우, 쇼핑몰 또는 포탈 등과 같은 일반적인 사이트는 아이디, 비밀번호, 이름, 생년월일, 이메일 등 회원가입정보를 수집하여 저장하고 있다. 그리고 금융기관은 계좌정보, 카드정보, 보안카드, 비밀번호 등 금융관련정보를 수집하여 저장하고 있다.
한국에서는 회원가입정보와 금융관련정보는 구분 분리하여 관리되고 있는 반면, 해외의 경우 회원가입정보와 금융관련정보를 일반사이트에서 모두 보유할 수 있는 경우도 있다. 대표적으로 페이팔이 이에 해당한다. 페이팔은 엑티브엑스 없이 간편하게 결제할 수 있다는 장점 등에 근거하여 새로운 결제수단의 대안이라고 주장하는 일부의 견해가 있어 왔다.
그러나 보안적으로 페이팔은 문제가 많은 결제방법이다. 페이팔 계정이 거래되는 사이트가 발견되기도 하고, 9경(1경은 1조의 만배) 달러가 입금되고 출금되는 해프닝이 있기도 했으며, 800만명에 달하는 페이팔 개인신용카드 정보를 해킹하여 훔친 신용카드 정보를 실제로 사용한 사건들이 있어 왔다.
개인정보가 중요해지는 시대에 회원가입정보와 금융관련정보가 한 곳에서 모여서 관리되는 것이 좋은지, 한국처럼 금융기관이 별도로 금융관련정보를 관리하는 것이 좋은지는 생각해 볼 사항이다.
해외 직구와 관련하여
우리나라 소비자들은 온라인 쇼핑에 친숙한 만큼 해외 직구에도 적극적이다. 해외사이트에서 직접 구매함으로써 유통마진을 줄여 같은 물건을 저렴하게 구입할 수 있기 때문이다. 그러면 해외 온라인 쇼핑 구매자들이 한국 온라인 쇼핑몰에서 물건을 구매할 수 있을까? 이미 옥션이나 지마켓 등 대형 쇼핑몰은 글로벌 소비자를 위한 사이트를 구축해 해외 이용자들이 공인인증서 없이도 구매할 수 있는 서비스를 제공하고 있다. 더불어 산업통상자원부는 연두업무 보고시 외국인의 전자상거래 인증절차 완화에 대한 내용을 담고 있다고 알려지기도 했다. 현재도 가능한 서비스가 운영되고 있고, 앞으로도 더욱 편리한 방향으로 정책이 예견되고 있다.
다만 아직까지 대다수의 국내 쇼핑몰에서 판매자가 해외배송을 하지 않는 경우가 많고, 영어가 지원되지 않아 컨텐츠를 확인할 수 없는 문제가 있거나 낙후된 물류 시스템 등으로 아마존 등에 비해 경쟁력이 떨어지는 등 해외 구매자들에게 매력적이지 못한 점은 앞으로 풀어나가야 할 과제이다. 이러한 상황에서 외국인의 국내 온라인 쇼핑몰 구매 장벽의 원인을 공인인증서로 몰아가는 것은 현실을 제대로 이해하지 못한 데에서 나온 주장이라고 할 수 있다.
보안성과 편의성
보안과 편의는 양립하기 어렵다. 1999년 전자서명법 제정 당시 공인인증제도의 정책목표는 보안성보다 편의성에 중점을 두었다고 할 수 있다. 공인인증서의 대중화를 위해 하드디스크 저장 및 인증서 복사, 온라인 재발급을 허용했다. 그 결과 공인인증서는 온 국민의 인터넷필수품이 되었지만, 보안이 약화된 측면이 있는 것도 사실이다. 이제 보안성 강화에 집중해야 한다. 관련 업계에서는 이를 위해 스마트폰 USIM내에 보안토큰 방식으로의 저장, Micro SD 카드를 이용한 저장 및 이용, 보안토큰을 활용한 저장과 이용서비스 등을 개발하여 상용화를 앞두고 있다.
공인인증서는 온라인상의 주민등록증이며 인감도장이고 인감증명서이다. 주민등록증을 스포츠센터 회원증처럼 막 보관하지 않는 것처럼, 인감도장을 막도장과 달리 보관하는 것처럼 공인인증서도 안전하게 보관하고 안전하게 이용할 수 있는 정책과 환경이 마련되어야 한다.
더불어, 공인인증서에 대한 논란은 정확한 사실에 근거하여, 개선할 부분과 고도화해야 할 부분을 잘 구분하여 제기되어야 한다고 본다. 전자정부평가 2회 연속 세계 1위의 명성을 얻게 한 공인인증 인프라의 장점은 더욱 살리고, 부족한 부분은 개선시키는 현명한 평가와 미래지향적 제안이 병행되는 비평이 필요한 시기이다.
안기범
@