공인인증서가 쉽게 유출되는데 따른 사용자 불안이 점점 커지고 있지만, 별다른 보안대책은 나오지 않고 있는 상황이다. 정부가 상황을 방치하는 것 아니냐는 지적이 만만치 않다.
공인인증서 유출 이슈는 최근에도 불거졌다.
보안회사 빛스캔에 따르면 1주일간 유출된 건수만 7천여건에 달한다. 지난해 한 해 동안 PC를 통한 유출이 확인된 공인인증서가 777건이라는 점을 고려하면 유출 사고 건수가 급증했다.
문제는 정부에서 공인인증서 유출에 따른 위협을 6년 전부터 인지하고 있었다는 점이다. 대책도 마련하겠다고 했지만 올해 들어서도 구체적인 대책은 나오지 않고 있다.
PC 내 NPKI 폴더에 저장되는 공인인증서 파일은 노출되면 안 되는 파일이다. 키관리 전문회사인 세이프넷 코리아 관계자에 따르면 공인인증서 기술에서 근간을 이루는 '공개키기반구조(PKI)' 상 공인인증서에 담겨 있는 개인키, 공개키 등에 대한 정보는 누구나 쉽게 접근할 수 있는 공개된 폴더에 저장돼서는 안 된다.
실제로 일반 기업들 간 공인인증서를 활용해 정보를 주고 받는 과정에서도 인증서 파일은 USB드라이브나 보안토큰과 같은 곳에 별도로 저장하는 것이 안전하게 여겨지고 있다.
정부 역시 이 점에 대해서는 문제를 인식해 지난 2009년 안전행정부(당시 행정안전부)와 한국인터넷진흥원(KISA) 주도로 PC에 공인인증서 저장을 금지하고 이를 대체할 수 있는 방안을 마련하겠다고 밝힌 바 있다. 해당 업무는 미래창조과학부 정보보호정책과로 이관됐다.
KISA가 2012년 발표한 전자서명 이용실태조사 보고서에 따르면 공인인증서 저장매체로 USB드라이브를 활용하는 비율이 71.9%(중복포함)로 가장 많았으며 PC 내 저장은 54.3%로 나타났다. PC에 저장하는 이유에 대해서는 응답자 중 49.2%가 이동매체는 휴대나 컴퓨터 연결이 불편하기 때문인 것으로 조사됐다. 불편함을 최소화하면서 안전성을 확보하기 위한 방안이 필요한 것이다.
보안토큰은 가장 안전한 공인인증서 저장매체로 활용될 수 있으나 사용자들이 3만원~4만원을 주고 구매해야 하는 부담이 따른다. 스마트폰 내 가입자식별모듈(USIM)칩에 저장하는 방법도 거론돼 왔으나 아직 활성화된 단계는 아니다.
KISA 전자인증팀 임진수 팀장은 보안토큰은 비용을 부담해야 하는 탓에 보급률이 낮은 편이고, 스마트폰 USIM칩, 마이크로SD 등에 공인인증서를 저장하도록 노력하고 있으나 쉽지 않은 것이 현실이라고 말했다.
관련기사
- 공인인증서 유출 악성코드 주의하세요2014.05.12
- 공인인증서 의무사용 폐지로 달라질 것들2014.05.12
- 원클릭 간편 결제, 한국에선 아직 '꿈'2014.05.12
- 공인인증서 의무 폐지 이후 소비자 선택은?2014.05.12
주관부처인 미래부 정보보호정책과 이지형 사무관은 KISA, 인증기관들과 협의를 통해 안전하게 저장할 수 있는 방법에 대해 논의 중이나 법이나 규제를 통해 PC 저장 금지를 강제하기는 어렵다는 입장이다. 이와 함께 오는 10월 발표될 예정인 액티브X 없는 공인인증서 이용 기술에 안전하게 저장할 수 있는 다양한 방법들이 함께 강구될 것이라고 덧붙였다.
현실적인 어려움이 있다고 하더라도 정부가 추진해 온 공인인증서 PC 내 저장 금지 권고는 6년째 구체적인 대응책 없이 표류 중이다.