'안전하고 편리하게만 쓸 수 있으면 계속 이용할 생각이다', '이미 너무 오랫동안 위험에 노출됐기 때문에 새로운 방법이 필요하다'
금융권에서 공인인증서 의무사용이 폐지되면서 사용자들과 관련 업계에서 나오는 반응은 두 가지다. 여러 문제에도 불구하고, 이미 오랫동안 사용돼 온 공인인증서를 보완해서 그대로 사용할 지, 아니면 새로운 인증방식이 등장한다면 이러한 방식을 적극적으로 사용하겠다는 의견이다.
최근 한국인터넷진흥원(KISA)과 주요 공인인증서 관리 업체들, 이동통신 3사, 일부 은행들은 공동으로 공인인증서를 안전하게 쓸 수 있는 방법을 안내하는 캠페인을 벌였다. 기존에 보안에 취약하고, 불편한 방식을 개선했다는 뜻에서 공인인증서2.0 혹은 PKI2.0이라 불리는 방식이 그것이다.
기존에 온라인 상 인감도장증명서 역할을 하는 공인인증서와 인감도장을 의미하는 개인키를 보다 안전한 곳에 저장해서 쓸 수 있게 하는 방법을 마련해 적극적인 사용을 독려하고 나섰다.
최근까지도 공격자들은 공인인증서와 개인키가 유출된 뒤 이러한 정보에 접근할 수 있는 비밀번호까지 알아내 이체사기 등을 시도하고, 실제 피해자들이 나오고 있는 실정이다.
KISA에 따르면 지난 10월 말 기준 3천379만건의 공인인증서가 발급됐다. 이와 관련해 장병완 의원(새정치민주연합)은 지난 8월 기준 올해 상반기에 2만건 이상 공인인증서와 개인키가 유출됐으며, 연간 4만건 이상 공인인증서(개인키 포함)가 유출되고 있다고 밝혔다.
물론 사이버범죄자들이 단순히 공인인증서와 개인키가 유출된 것만으로 피해자의 은행계좌에서 돈을 빼낼 수 있는 것은 아니다. 파밍 등 수법을 통해 보안카드번호와 함께 공인인증서창에 로그인 하는데 필요한 비밀번호가 필요하다. 지난해 문제가 됐던 메모리 해킹의 경우에도 사용자 PC나 스마트폰이 심각할 정도로 악성코드에 감염됐을 경우에만 가능한 일이다.
그럼에도 불구하고 공인인증서와 개인키가 하드디스크 혹은 스마트폰 내 공개된 NPKI 폴더에 저장, 관리돼 왔다는 점은 보안 상 문제가 분명한데도 그동안 제대로 된 해결책이 제시되지 않았었다.
최근 공인인증서 의무 사용 폐지 이후 공인인증서를 총괄관리하고 있는 KISA와 공인인증기관, 이통사, 은행들이 공개된 NPKI 폴더를 사용치 않도록 권고하고, 안전한 저장매체를 쓸 수 있게 하는 방안을 대대적으로 공개하고 나선 것은 이전과는 다른 행보다.
이들이 제시하고 있는 방법은 크게 4가지로 나뉜다. 먼저 가장 안전한 수단으로 쓸 수 있는 것은 보안토큰(HSM)이다. 별도의 암호화 기능이 저장된 매체에 공인인증서와 개인키를 저장해 그 안에서 전자서명이 이뤄져 결과값만 외부에 전송되기 때문에 공격자가 보안토큰을 훔쳐내지 않는 이상 해킹할 방법이 없다. 다만 별도 매체를 항상 휴대해야하고, 약 2만원 수준의 구매비용이 든다는 점에서 보급률이 높지 않은 상황이다.
두번째로는 이통사 가입자를 식별하는 용도로 스마트폰에 탑재되는 유심칩 내 안전한 저장소에 공인인증서와 개인키를 저장해 마치 보안토큰처럼 활용하는 방식이다. 이통 3사 모두 스마트인증이라는 이름으로 이러한 서비스를 제공하고 있지만 월 사용료 990원을 부담해야하는만큼 생각보다 사용자들이 늘어나고 있지는 않은 추세다.
세번째는 은행들이 발급하는 스마트OTP 카드에 공인인증서와 개인키를 저장한 뒤 스마트폰의 NFC기능을 사용해 해당 카드를 터치하는 것으로 전자서명을 거친 값이 외부에 전송될 수 있게 하는 것이다. KB국민은행 등이 스마트OTP 카드 무료 보급 캠페인을 벌이면서 사용자를 모집했으나 역시 활용률은 높지 않은 수준이다. 이와 유사하게는 신용카드나 체크카드 내에 NFC 기능이 적용된 IC칩 내에 인증서와 개인키를 저장하는 방식이 등장했으나 이 역시도 아직은 확대되지 않고 있다.
네번째는 금융결제원, 코스콤, 한국정보인증, 한국전자인증 등 공인인증기관이 마련한 '안전디스크'를 사용하는 방식이다. 해당 프로그램을 다운로드 받은 뒤 기존 NPKI 폴더 대신 웹브라우저 내에 안전한 저장소에 인증서와 개인키를 저장하는 방식이다.
이밖에도 한국전자인증은 공인인증서를 불러오기 위해 비밀번호를 입력하는 대신 FIDO 표준 기반 지문인증을 사용하는 방식을 개발해 내년부터 도입할 예정이다.
이러한 방법들이 모두 공인인증서 사용을 전제로 한 것이라면 전혀 다른 방식으로 금융결제의 안전성을 보장하는 기술도 등장하고 있다.
KTB솔루션은 스마트폰에 직접 자신의 서명을 입력하는 '스마트사인'이라 불리는 방식을 마련했다. 이 회사 김태봉 대표는 "공인인증서를 대체하는 용도로 쓸 수도 있지만 현재는 공인인증서 사용을 위한 비밀번호를 대체하는 식으로 일부 은행에서 도입을 검토 중"이라고 밝혔다. 김 대표에 따르면 스마트사인은 폴란은 현지 은행에 공급키로 했으며, 유럽 금융그룹인 소시에떼 제네럴 산하 체코 상업은행(KB은행)에서도 적용을 검토 중이다.
에잇바이트는 공인인증서에 적용된 것과 같은 공개키기반구조(PKI)라는 암호화 기술을 사용하면서도 인증서 대신 거래가 이뤄질 때마다 생성되는 일회용 거래정보를 암호화한 뒤 이 값과 카드번호 등을 조합해 전자서명을 구현할 수 있는 방법인 '세이프터치'를 개발했다. 현재 JB전북은행에 도입된 이 방식은 NFC 기능을 가진 IC칩을 탑재한 신용카드/체크카드가 필요하다. 이 회사는 블루투스4.0(BLE) 기능을 사용하는 스마트밴드에서도 이러한 기능을 구현할 수 있도록 서비스를 개발 중이다.
관련기사
- KISA, ‘공인인증서 안전 실천 캠페인’ 개시2015.12.14
- "생체인증 퍼져도 공인인증서 계속 사용될 것"2015.12.14
- 대민 웹서비스, 어쩌다 이렇게 불편해졌지?2015.12.14
- 공공 웹서비스, 이대로 둘 수는 없다2015.12.14
금융위 결정에 따라 공인인증서 의무사용이 폐지됐지만 여전히 은행권에서는 인증서 없이는 각종 해킹위협을 방어할 방법이 마땅치 않다는 입장이다. 실제로 공인인증서 대체 수단을 적용한 은행은 거의 없다는 점도 이런 분위기를 반영한다.
아직 금융결제에 공인인증서가 여전히 유효한 방식인지 이를 대체하는 새로운 보안수단이 확산될지 판단하기에는 이른 시점이다. 그러나 수년째 NPKI폴더에 저장하는 방식은 취약하다는 의견에 묵묵부답했던 관계기관, 기업들이 이제라도 새로운 저장방식을 마련하고, 안전하게 사용하자는 캠페인을 벌이는 것은 이전과 사뭇 달라진 모습인 것만은 분명하다.