공인인증서, 쇼핑몰 보다 더 큰 문제는?

일반입력 :2014/03/29 13:32    수정: 2014/04/04 18:24

손경호 기자

공인인증서가 국내 온라인 쇼핑몰 이용의 걸림돌이 돼왔다는 박근혜 대통령의 지적에 따라 대안 결제방식에 대한 논의가 한창이다.

문제는 공인인증서를 통한 신원확인, 전자문서 위변조 방지, 거래내역 부인방지 기능이 국내 환경에서 더이상 안전성을 보장할 수 없다는 점이다.

해외 온라인 쇼핑몰 이용자들이 결제에 불편함을 겪고 있다는 것보다 중요한 것은 인터넷뱅킹에 사용된 보안방식이 이미 수차례 해커에게 노출돼 피해를 입혀왔다는 것이다.

현재로서는 공인인증서를 활용하는 방식은 그대로 두되 액티브X를 걷어내고 웹표준으로 거론되고 있는 HTML5를 기반으로 웹브라우저에 추가적인 기능을 기본탑재하도록 하자는 쪽으로 무게가 실리고 있다. 한국인터넷진흥원(KISA)가 최근 입찰공고한 'HTML5 기반 공인인증서 발급 및 이용 프레임워크 개발 용역'이 이 같은 흐름을 보여준다.

보안 관점에서 공인인증서에 활용된 공개키기반구조(PKI)는 현재까지 알려진 암호화 통신 방법 중 가장 안전한 것으로 평가되고 있다.

그러나 아무리 PKI를 활용한 공인인증서가 안전하다고 하더라도 이로 인한 피해가 속출하고 있다는 점은 금융당국이 공인인증서를 바탕으로 한 인터넷뱅킹의 허점을 보완할 수 있는 새로운 보안대책 마련에 소홀히 해왔다는 책임을 피할 수 없다. 비공인인증서 방식의 보안대책 논의가 오랫동안 지속돼 온 것도 이런 이유 때문이다.

이 과정에서 금융회사들은 정부가 인정해 준 공인인증서를 활용하고 있는데도 사고가 났다는 식으로 책임을 회피해왔다.

해커가 다른 사람의 계정을 도용해 인터넷뱅킹으로 자금을 인출하기 위해서는 크게 사용자 PC에 저장된 공인인증서 및 개인키, 인터넷뱅킹 화면에서 공인인증서를 활용하기 위한 비밀번호, 은행으로부터 발급 받은 보안카드 번호 등이 필요하다.

지난해에는 가짜 은행사이트(파밍 사이트)를 만들어 사용자들에게 보안승급 등을 요청하면서 보안카드 번호 전체를 입력하게 하거나, 공인인증서 로그인을 위한 비밀번호를 입력하라는 등의 수법으로 정보가 유출되는 일이 잦았다. 해커 입장에서는 이에 더해 추가적으로 공인인증서, 각 PC에 저장된 개인키만 훔쳐내면 다른 사람 명의로 인터넷뱅킹을 할 수 있게 된 것이다.

모든 정보를 훔쳐내는 대신 사용자PC에서 계좌이체가 일어나는 순간 해당 정보를 다른 계좌, 다른 이체금액으로 바꿔치기하는 일명 '메모리 해킹' 수법이 활개를 치기도 했다.

두 가지 수법은 모두 어떤 경로를 거쳐서 사용자 PC가 악성코드에 감염돼야만 가능한 일이다. 보안에 소홀히 한 사용자에게도 책임이 있는 셈이다. 그렇다고 하더라도 최종적으로 고객들의 안전한 거래를 책임져야할 금융회사들에게 면죄부가 주어지는 것은 아니다.

공인인증서 기반 인터넷뱅킹에 대한 금융회사 차원에서 모색해 볼 수 있는 대책은 크게 두 가지로 진행되고 있다.

먼저 공인인증서를 활용한 인터넷뱅킹 과정에서 발생하는 보안취약점을 최소화하는 일이다. 금융위원회는 지난해 9월25일 공인인증서 발급 및 재발급, 인터넷뱅킹을 통한 1일 누적 300만원 이상 이체시 문자, ARS를 통한 전화인증 등 추가 본인확인절차를 거치도록 했다. 이밖에도 파밍 사이트 여부를 확인하기위해 금융당국은 은행들에게 그래픽인증, 나만의 주소서비스, 개인화 이미지 등 다양한 방법을 동원하도록 의무화 지침을 내리기도 했다.

법도 개정됐다. 지난해 5월22일부터 시행된 개정 전자금융거래법 제9조에는 금융회사, 전자금융업자가 접근매체(공인인증서 등)의 위변조로 인한 사고가 발생했을 때 책임을 지도록 명문화했다. 기존에 공인인증기관이 과실이 없었다는 점을 입증하면 손해배상책임이 면제되는 법(전자서명법 제26조)에서 한층 강화된 조항이다.

다른 방법으로는 국내에서 표준처럼 사용되고 있는 공인인증서 대신 금융회사들이 그에 준하는 다른 방법을 활용해 보안성을 확보하는 방법이다. 이러한 논의는 오픈넷 등 시민사회단체, 창조경제연구회 이민화 이사장 등이 줄기차게 요구했던 사항이다. 은행들이 알아서 비공인인증서 방식으로 인터넷뱅킹을 안전하게 사용할 수 있는 방법을 모색하라는 것이다.

지난달 '공인인증서와 인터넷 개방성'이라는 주제로 개최된 공개포럼에서 이민화 이사장은 금융거래 형태에 맞춰 다양한 금융인증방법을 금융기관에게 넘겨주고, 그로 인해 벌어진 책임은 징벌적 배상제를 포함해 금융기관이 스스로 부담하게 해야한다고 주장했다.

인터넷뱅킹에서 발생하는 사고를 막기위해서는 공인인증서 체계에 보안성을 높이는 방법과 함께 비공인인증서 방식으로도 충분한 보안성을 갖출 수 있는 수단이 마련돼야 할 것으로 보인다.

관련기사

이 사안에 대해 국내 보안 업계 관계자는 인터넷뱅킹시 공인인증서를 내가 갖고 있으면 본인이 책임주체가 되는 것이고, 공인인증서 체계를 유지하지 않으면 은행이 책임을 지게 되는 것이라고 말했다.

오랫동안 공인인증서 사용에 따르는 불편함을 겪으면서, 보안 사고의 피해자가 돼 온 국민들이 요구하지 않는 이상 은행이 직접 나서서 책임을 짊어지지는 않을 것으로 예상된다. 선택은 사용자인 국민의 몫으로 남아있다.