IT강국 이미지 망치는 공인인증서 철폐하라 본문듣기
작성시간
관련링크
본문
“그는 공인인증서 없는 한국인처럼 울었다.” 모 커뮤니티 사이트에서 슬픔의 최상급 표현이라며 유행처럼 번진 구절이다. 인터넷을 사용하는 대한민국에 사는 사람이면 모두가 공감할 수 있는 이야기다. 인터넷으로 금융거래를 할 때마다 공인인증서를 요구하는 모습을 접할 때면 정말 답답하게 느껴지기도 한다. 도대체 공인인증서가 뭐 때문에 필요한 것일까?
시작은 창대하였으나...
공인인증서는 2001년 전자정부법이 시행되고 전자상거래시 인증을 위한 수단으로 등장했다. 당장 등록하고 쓰기에는 불편했지만, 일단 등록하고 나면 유효기간인 1년간은 맘 놓고 쓸 수 있다. 위 과정을 수행하고 나면, 전자서명의 기능을 수행하기 때문에 집에서도 관공서 및 은행 업무를 편안하게 볼 수 있다. 당시 미국의 경우를 보면, 카드 번호나 몇 가지 정보로도 충분히 도용이 가능했고 이 때문에 인터넷상에서의 보안이 매우 취약했다. 반면에, 한국의 공인인증서는 이미 수십 년간 사용된 암호화 알고리즘으로 만들었기 때문에, 다른 나라에 비해서 안전하게 이용이 가능하다. 오래된 알고리즘으로 불안해하는 사람들도 간혹 있었지만 보안 업계에서는 검증되지 않은 새로운 알고리즘보다 검증된 방식을 선호한다.
용두사미, 공인인증서의 또 다른 이름
그러나 쓰다보면 짧은 유효기간으로 느껴지는 것은 둘째치더라도 공인인증서의 저장방식도 많은 언급이 되었다. 저장장치 내의 인증서 파일을 자체적으로 보관하는 방식이기 때문에 누군가 저장장치 내의 인증서 보관 폴더를 통째로 복사한다면, 폴더 내의 인증서는 모두 비밀번호가 노출되는 것이나 다름없다. 인증서의 암호는 오프라인에서도 풀어낼 수 있기 때문에 시간이나 횟수에 대하여 제한이 없다. 물론 복제가 불가능한 보안 토큰, 휴대폰의 유심 칩 등에 보관하였다면 한결 낫지만 그 또한 분실의 우려가 있다.
또한, 공인인증서를 쓰다보면 ‘Active X’에 대하여 한 번쯤은 들어보았을 것이다. 이것은 기본적으로 마이크로소프트사의 인터넷 익스플로러에서만 실행이 된다. 물론, 각종 서비스를 사용자가 인식하고 있지 않더라도 웹페이지에 접속하는 그 자체로 실행이 되었기 때문에 무척 편리했던 기술임에는 틀림없다. 그러나 기술 자체는 웹 표준을 따르지 않아 퇴출되고 있는 실정이다.
심지어 설치되고 나면 사용자의 허가 없이도 많은 일이 가능했다. 이런 사실을 잘 모르는 일반 사용자들은 Active X 설치 창이 자꾸 뜨면 습관적으로 OK버튼을 그냥 눌러버리고 말았다. 그러기 때문에 악성코드나 바이러스의 침입 등이 상대적으로 쉬워 보안에는 취약했고, 이러한 사실들에도 불구하고 후속 조치가 없었다. 익스플로러 이외에서 실행하는 것도 언급은 있었을지언정 개발되지 않았다. 심지어 본인이 모르는 계좌 이체 등이 발생하더라도 공인인증서만 사용됐으면 금융회사는 면책을 받는다. Active X를 통하여 설치된 보안 솔루션이 소용이 없다는 이야기다.
편의성의 시대
2014년 9월에 들어서서야 ‘전자상거래 결제 간편화’가 금감원을 통해 발표되었다. 그러나 기업들은 새로운 보안을 위해 추가 비용을 댈만한 메리트를 느끼지 못했고, 이는 2015년 의무사용이 폐지되기까지 이어졌다. 의무사용이 폐지된 이후에도 이렇다 할 대체수단이 등장된 것은 아니다.
공인인증서를 만든 가장 큰 본질은 온라인에서도 ‘본인’임을 알려주는 수단으로 쓰인다는 것이다. 그럼에도 불구하고 많은 불편함을 겪어야하는 방식 때문에 찬밥 신세를 면치 못하고 있다. 그래서 지금 모바일을 비롯하여 금융권에서도 지문인식이나 홍채인식 같은 ‘생체인증’을 개발하고 있다. 해외에서는 애플페이가 지문을 통한 생체인증을 도입했고, 국내에서도 신한은행이 손바닥 정맥 인증을 도입했다. 스마트폰의 지문 인식기능을 이용한 간편 결제는 모바일 앱에서는 이미 흔할 지경. 그러나 편리하게 사용가능한 생체인증도 암호화되지 않고 쓰이면 보안에 취약한 것은 마찬가지다.
흔히 IT업계에서는 편의성과 보안은 양립하기 어려운 일이라고 한다. 그러나 편의성의 시대에 이 두 마리 토끼를 잡지 않으면 이용자들의 만족을 극대화할 수 없다. 대한민국을 IT강국이라고들 하지 않는가. 최근, 한 대선후보의 “ICT 분야에서 불필요한 인증 절차를 없애고 네거티브 규제를 도입하자”는 공약을 보았다. 그의 말처럼 한국의 IT의 위상을 갉아먹고 있는 공인인증서를 철폐하고 편의성의 시대에 부합하는 새로운 대체수단이 개발되길 바란다.
댓글목록
등록된 댓글이 없습니다.