그동안 사용자 PC에 수많은 보안프로그램을 설치해야하면서도 구조 상 허술하게 관리된 탓에 공인인증서에 대한 사용자들의 불안감도 커졌다.
국내 업계관계자들에 따르면 지금까지 불거진 문제는 공인인증서를 구현할 때 사용자 경험(UX)에 대한 문제를 전혀 고려치 않았다는 점이 가장 큰 실책으로 꼽힌다. 기술적으로는 반드시 PC외에 보안성이 높은 별도 저장매체에 암호화키를 저장해야한다는 기본 원칙을 위반했다는 것이 문제다. 공인인증서에 사용되는 공개키기반구조(PKI)라는 기술이 미국 국가안보국(NSA)이나 미국 국립표준기술연구소(NIST)로부터 최고 수준의 보안 등급을 받았다는 사실은 잘 알려져있지 않다.
그럼에도 공인인증서에 대한 부정적인 인식이 확산되는 이유는 뭘까? 한국인터넷진흥원(KISA) 재직시절 공인인증서 시스템의 근간을 이루는 전자서명법 제정 당시 공인인증서 기술을 구현하기 위한 데모 프로그램 개발에 참여했던 고려대 정보보호대학원 김승주 교수는 기술 도입 초기에도 하드디스크에 암호화키를 저장하는 방식에 대해서는 많은 반대의견이 있었다고 밝혔다.
별도 저장매체를 사용해야한다는 기본원칙이 지켜지지 않았던 셈이다. 당시에는 IC칩이 탑재된 전자주민카드와 같은 스마트카드 내에 안전한 영역에 인증서와 암호화키를 집어넣어 관리할 수 있게 하는 방안을 검토됐었다. 그러나 전자주민카드가 사생활 침해 등을 이유로 시민단체들의 반대에 부딪쳐 무산되면서 대안으로 등장한 것이 하드디스크 내지는 USB드라이브에 인증서와 암호화키를 저장하는 방식이다.
PKI기술 자체는 안전하지만 공인인증서를 통해 구현된 한국형PKI 기술이 위험한 이유가 여기에 있었다. 하드디스크, USB드라이브는 PC에 연결되는 특성상 데이터를 읽을 때 중간에서 관련 내용을 가로채는 메모리해킹 수법에 취약할 수 밖에 없게 되는 것이다.
십수년 동안 UX는 전혀 고려하지 않았다는 점도 공인인증서 시스템에 대한 사용자들의 불신을 부추겼다. 공인인증서를 활용하기 위해 필요한 암호화 및 로그인 관련 프로그램을 액티브X 기반 플러그인을 통한 추가 설치하는 방식으로만 구현하는 데 집중한 개발사들과 공인인증기관들도 책임에서 자유로울 수 없다.
이 탓에 인터넷익스플로러 외에 맥OS 등 다른 플랫폼에서는 계좌이체는 물론 연말정산, 세금계산서 발행 등 필요한 업무를 할 수 없게 되는 지경에 이르게 됐다.
당초 PKI 기술의 기본을 지키면서 UX까지 고려한 시스템을 개발했더라면 최초로 전자정부를 구현하고, 실시간 인터넷뱅킹을 도입한 한국의 기술을 다른 나라에 대대적으로 수출하는 일도 가능했을지 모를 일이다.
해외는 어떻게 보안기술을 구현하고 있을까. 김 교수에 따르면 스위스 UBS은행은 PC나 스마트폰과 연결이 필요없는 '시큐어 액세스 카드 디스플레이'라는 IC칩이 탑재된 일회용 비밀번호(OTP) 생성기를 활용하고 있다. 이 카드의 숫자키패드에 계좌번호와 결제금액 등을 입력하면 서명값이 나오고 이 값을 PC에 입력하면 이체 등 금융업무를 수행할 수 있다.
얼핏보면 복잡해 보이지만 PC에 여러 보안프로그램을 설치하고도 안전성을 담보하지 못하는 공인인증서 시스템 구현 방식에 비해 훨씬 쉽고 빠르다. 스탠다드차타드 은행 등 해외 다수 금융권에서 이런 방식을 채택하고 있다. 전 세계적으로 가장 널리 보급된 EMC RSA의 '시큐어ID(SecurID)' 역시 이러한 방식을 적용했다.
구글은 지난해 10월 자사 서비스에 USB포트에 꽂는 보안토큰을 도입하기도 했다. 크롬38 버전 이상 웹브라우저에서는 구글 계정 로그인을 위해 ID, 비밀번호 외에 '시큐리티 키'라는 보안토큰을 통해 투팩터 인증을 받을 수 있게 한 것이다.
국내에도 보안토큰을 활용해 공인인증서 시스템을 활용할 수 있지만 문제는 비용이다. 시중에 약 2만원 선에서 거래되고 있는 보안토큰을 일반 사용자들이 구매할 것인가하는 점이다. RSA 시큐어ID의 경우 2년 간 사용할 수 있는 5개 단위로 제품(RSA SecurID SID900)이 270달러~300달러 선에 거래되고 있다.
정부의 실책은 두 가지로 읽힌다. 과거 공인인증서 시스템을 인터넷뱅킹, 증권거래, 각종 민원과 온라인결제는 물론 일반 웹사이트 회원가입에까지 너무 광범위한 곳에서 반강제적으로 사용하라고 부추긴 점이 첫번째다. 십수년이 넘게 UX를 방치시켰다는 점도 공인인증서 시스템에 대한 사용자들의 반감을 불러왔다.
광범위하게 사용돼 온 공인인증서 시스템에 대한 의무사용이 폐지되면서 새로운 본인인증수단에 대한 논의가 급물살을 타고 있는 것은 분명하다. 다양한 보안기술이 활용될 수 있는 판로가 열린 것은 다행스러운 일이다.
관련기사
- 액티브X 없는 보안이 주는 의미2015.03.29
- 전자금융 공인인증서 사용 의무 폐지2015.03.29
- 연말정산, 왜 공인인증서만 써야했나?2015.03.29
- HTML5 기반 공인인증서, 현실장벽에 표류2015.03.29
보안 관계자들 사이에선 공인인증서 시스템을 사라져야할 구시대 유물로만 취급하기에는 아쉽다는 의견도 있다. 김 교수는 우리나라가 CDMA기술을 처음 개발한 것은 아니지만 최초 상용화에 성공했던 것처럼, PKI기술 분야에서도 보안토큰을 더 저렴하면서 안전하게 새로운 방식으로 만들면 글로벌 시장에서도 경쟁할 수 있는 것 아니냐고 반문했다.
삼성페이, 애플페이가 구현하고 있는 지문인식 기반 결제는 생체인증을 위한 글로벌 컨소시엄인 FIDO 얼라이언스가 제시하는 U2F, UAF라는 생체인증기반 기술표준을 따르고 있다. 이들이 국내 공인인증서 시스템에 대한 불만과는 별개로 공개키암호화(PKI) 기술을 활용하면 피싱 등으로부터 매우 안전하게 보호할 수 있다고 말한 것은 아이러니다.