본문 바로가기

보안라이프/이슈&이슈

스마트폰 뱅킹의 뜨거운 감자 공인인증서 해법 찾기

3월 25일 삼성동 코엑스에서 한국정보보호학회 주관으로 ‘공인인증서 보안문제 진단 및 대책 마련을 위한 토론회“가 열렸다. 누구나 인터넷 결제를 하면서 공인인증서를 사용해 본 경험이 있을 것이다. 빈약한 내 통장을 노릴 만큼 할 일 없는 해커는 없다고 생각하며 공인인증서를 하드디스크에 저장한 채로 있지만, 공인인증서의 대한 부정적인 기사를 볼 때마다 불안한 마음이 커지곤 했다.


이런 기사들을 몇 번 보고 나니 자연스레 공인인증서에 막연한 거부감이 생겼다. 또 사람들이 계속 문제 제기를 해도 무조건 공인인증서만 고집하는 것이 혹시 내가 알지 못하는 모종의 거래(?)를 통한 독점이 아닐까 하는 의문도 있었다. 공인인증서. 무엇 때문에 토론회를 할 만큼 논란인지, 그리고 내 의문의 답은 무엇일지 토론회 현장으로 가보자.


공인인증서 외엔 정말 답이 없나?



인터넷 서핑을 하다가 마음에 드는 옷을 발견하고 결제하기를 누르면 어김없이 등장하는 액티브X. 대체 내 컴퓨터에 무슨 짓을 하는 거야! 이거 안전한 거 맞아? 공인인증서를 사용하려면 왜 액티브X가 필요한 걸까?

이번 토론회에서 공인인증서만 사용하도록 하는 현 규정을 가장 강하게 반대한 고려대 김기창 교수는 인터뷰 중에 액티브X를 이렇게 설명했다.

"인터넷 익스플로어는 물론, 파이어폭스나 오페라 같은 모든 브라우저는 공인인증서를 암호화해 저장하는 기능이 있다. 그런데 한국 방식만 저장 장소가 다르다. 왼쪽 앞 가슴에 명찰을 달아야 하는데 오른쪽 바지 주머니에 넣어둔 셈이다. 그러니 서버에 보여주기 위해 손으로 꺼내 가슴에 달아줘야 한다. 그래서 한국에서는 주머니에서 꺼내 왼쪽 가슴으로 옮기고, 서버에 암호화해 보여주는 역할을 액티브X 플러그인에 맡겼다. 문제는 액티브X가 MS에서 개발한 것이라 IE에서만 작동한다는 점이다. 결국 한국에서 전자 거래를 하려면 IE를 쓸 수밖에 없다."


* 관련 인터뷰 : 
http://itview.joins.com/article/itview/article.asp?total_id=4062644


김기창 교수를 비롯한 패널들이 액티브X를 비판하자 사회자인 임종인 교수는 처음 전자 결제를 시작하며 어쩔 수 없이 액티브X를 사용했다며 “사실 우리나라는 익스플로러 점유율이 워낙 높아서 처음 사용될 때는 별 문제가 없었다. 하지만 이제 여러 가지 브라우저가 들어오면서 환경이 변화했다.” 라고 말했다.

스마트폰은 이러한 환경 변화에 가장 큰 역할을 했다. 패널로 참석한 페이게이트의 이동산 이사는 “작년에 아이폰이 출시되고 알라딘에 처음으로 공인인증서 없이 카드 결제를 할 수 있는 시스템을 도입했지만, 공인인증서를 사용해야 하는 금감원의 규제 때문에 서비스를 중지할 수밖에 없었다.” 라며 규제 때문에 서비스를 중지해야 했던 사례를 말했다.

패널들이 공인인증서에 대해서 주로 지적한 부분은 공인인증서만을 사용하도록 한 규정이었다. 그러자 다른 패널들은 다른 나라에서 사용되는 SSL+OTP보다 공인인증서가 더 우수하다는 점, 공인인증서는 10년 이상 검증되었다는 점, 그리고 꼭 해외의 방식을 따를 필요는 없다는 점 등을 들어 반박했다.

*SSL(Secure Sockets Layer)
전자상거래 시 개인정보를 보호하기 위한 프로토콜. 익스플로러뿐 아니라 파이어폭스, 사파리 등 기타 브라우저에서도 사용 가능하다.

*OTP(One-Time Password)
인터넷뱅킹 이용 시 생성되는 일회용 비밀번호. 사용할 때마다 새로운 비밀번호가 생성되기 때문에 고정 비밀번호보다 안전하다. OTP 전용기기(토큰), 휴대전화 모듈(모바일), SMS OTP 등 다양한 장치가 이용된다.


토론회에서는 유독 SSL+OTP에 대한 이야기가 많았다. 그 이유는 SSL+OTP가 공인인증서의 대안으로 제안되고 있기 때문이다. SSL+OTP는 미국과 유럽에서 널리 사용되는 기술이지만, 패널들은 안전을 확신할 수 없다며 대체로 SSL+OTP보다는 공인인증서의 손을 들어줬다.

성균관대 김승주 교수는 “SSL의 EV 인증서의 핵심은 해당 인증서를 발급할 때 신원을 정확히 파악하고 발급한다는 것이다. 하지만 그린툴바(EV 인증서를 사용할 때 주소창이 녹색으로 변하여 그린툴바라 부름)의 효과가 완벽하지 않다는 논문이 나왔다.”며 SSL+OTP의 안전성에 의문을 제기했다.


소프트포럼 박언탁 상무도 SSL+OTP이 안전하지 않다는 입장을 밝혔다. “SSL+OTP의 가장 큰 문제점은 타임 싱크와 타임 갭이다.”라고 지적하며 "EV SSL에도 문제가 많은 것은 사실이다."라고 말했다.

또 박광춘 상무는 사람들이 성급한 일반화의 오류를 범할 수 있음을 지적했다. “만약 그토록 공인인증서가 위험해서 개인 키가 모두 유출된다면 지금 공인인증서는 사용될 수 없다. 확실치 않은 내용 몇 가지로 공인인증서는 모두 위험하다고 일반화하는 것은 문제이다.”라고 말하며 언론 매체가 인증서에 있을 수 있는 아주 극단적 상황과 부정적인 부분만 부각하는 것에 문제를 제기했다.

토론회에 앞서 진행된 KISA(한국인터넷진흥원) 강필용 팀장의 발표에 따르면 공인인증서는 꼭 액티브X로만 구현되는 것이 아니며, SSL+OTP가 공인인증서보다 우수한 것도 아니다. 새로운 전자금융거래 인증 대안으로 제안된 SSL+OTP는 기밀성과 무결성, 인증 서비스는 제공되지만 ‘부인방지’ 기능이 없다는 것. 즉, SSL+OTP가 방탄조끼, 장갑, 투구를 쓰고 있다면, 공인인증서는 여기에 보호신발을 하나 더 신은 셈이다. 때문에 토론 패널들은 대부분은 공인인증서의 우수함에 의견을 같이 했다.

고려대 김기창 교수는 “공인인증서 기술은 우수하다. 하지만 공인인증서를 반드시 사용해야 한다는 규정만 빼 달라.”라고 말하며 시장에서 자유롭게 경쟁하도록 해야 한다고 주장했다. 또 그는 “강제 규정을 빼도 공인인증서가 충분히 좋은 기술이기 때문에 많은 은행들은 공인인증서를 쓸 것이다. 쓰지 말자는 것이 아니다.” 라고 말했다.

결국 공인인증서 문제의 핵심은 공인인증서와 SSL+OTP 중 어느 것이 더 좋은지가 아니었다. 10년 이상 검증되고 대중화한 공인인증서만을 계속 사용하도록 해서 이 기술을 더 보완할 것인지, 아니면 시장 논리에 따라 강제 규정을 풀어 사업자와 사용자들에게 선택권을 줄 것인지가 쟁점이다.

소액결제만이라도 자유를!

토론회가 진행되면서 30만원 미만 소액결제에도 공인인증서만을 사용해야 하는가에 대해서 논란이 있었다.

김기창 교수는 “현행 규정은 30만원 미만의 결제는 공인인증서를 안 써도 된다고 되어 있다. 그런데 금감원은 전자서명은 꼭 하라고 한다. 이제까지 전자 뱅킹은 더 좋은 것을 찾기보다 금감원에게 잘못 보이지 않기 위한 것이었다. 강제 규정 때문에 보안 전문가가 활약할 분야가 사라져 버렸다. 과연 정보보호학회를 위해서도 강제 규정이 좋은 것인가.”라고 말하며 금감원이 불필요한 규제를 한다고 주장했다.


금융감독위원회가 꼭 하도록 규정한 전자서명은 바로 부인방지 서비스이다. 위에서 말했듯이 SSL+OTP에는 없는 기능이다. 때문에 금감원이 전자서명을 꼭 하도록 권고하면 공인인증서 외에 다른 서비스를 제공할 수 없는 것이다.

성균관대 김승주 교수는 다른 시각을 제시했다. “우리나라에는 다른 선진국과 다르게 지켜야 할 가치가 얼마냐에 따라서 어느 정도의 보안을 해야 하는지 연구가 부족하다. 때문에 소액결제에 어느 정도 OTP 수준을 도입해야 하는지 모른다. 그러니까 그냥 제일 좋은 방식인 공인인증서를 사용한곤 한다.”

소액결제 문제 역시 제일 우수한 공인인증서와 다양성 보장 사이에서 답을 찾지 못하고 끝났다. 비록 기자는 보안에 대해 많이 알지 못하지만, 그토록 공인인증서의 우수함에 자신이 있다면 소액결제 정도는 자유롭게 하도록 해도 되지 않을까 생각했다.

저 그렇게 나쁜 애 아니에요. - 공인인증서에 대한 오해

이 날 토론회 참석자 패널 중에는 공인인증서를 둘러싼 오해를 해명하고, 공인인증서의 장점을 많이 내세우는 이가 많았다.

소프트포럼의 박언탁 상무는 “거래 안전성을 위해 인증기관이 노력하는 부분은 간과하고 인증서에만 문제가 있다고 지적하는 것은 아쉬운 부분이다.”라며 공인인증서 기술을 보완해야 한다고 하지 않고, 아예 공인인증서 자체가 잘못됐다고 알려지는 것에 유감을 표시했다.

KISA 김홍근 단장도 박언탁 상무와 비슷한 의견을 제시했다. “최근 공인인증서 관련 기사 제목을 보면 ‘공인인증서 장벽에 스마트폰 막혀’ 같은 부정적인 것이 대부분이다. 그러나 사실 알고 보면 공인인증서는 별 문제가 없다. 물론 다른 대안을 만들자는 의견에는 동의한다. 또 공인인증서 관리에 문제가 있다고 인식하고 있다.”라고 말했다.

김승주 교수는 “공인인증서 기술은 스마트카드 같은 안전한 저장소에 저장해야 한다. 전자서명이 나왔을 때는 스마트카드를 생각하고 나왔지만, 보급이 안 되면서 하드디스크에 저장하기 시작했다. 그러면서 복사가 쉽게 되는 문제가 발생했다.”라며 스마트카드가 보급된다면 지금보다 공인인증서가 더 안전해질 수 있다고 말했다. 또 최근의 학술 논문에서 여러 인증 수단 중 가장 상위에 있는 것은 전자서명이며, UBS(스위스연방은행)가 앞으로 스마트카드에 저장하는 전자서명 방식을 쓰겠다고 발표했다고 알렸다.

그래서 해결 방법은 없는 걸까?

토론이 중반을 넘어갈 무렵 토론자들은 청중의 질문에 대답하는 시간을 가졌다. 총 3가지 질문이 있었는데 그 중 한 명은 공인인증서에 대해 아래와 같이 말했다.

"공인인증서는 단순한 기술이 아닌 인프라 혹은 제도이다. 때문에 인프라, 제도 차원에서 어떻게 개선할 것인가를 논의해야 한다. 인프라는 곧 도로로 비유된다. 이 도로 위에 전국적으로 많은 인증서가 달리고 있다. 전국의 인증서가 잘 달리는데 도로에 문제가 있으니 모든 도로를 갈아엎자는 것은 말이 안 된다."

그렇다. 현재까지는 공인인증서를 사용할 때 액티브X를 설치해야 해서 불편한 것을 빼면 별 문제가 없다. 게다가 공인인증서 기술은 SSL+OTP에 비해서 더 안전한 기술이다. 그러나 도로만으로 교통체증이 해소되지 않는다면, 기차나 공항 같은 인프라도 생각해 볼 수 있지 않을까? 더욱이 스마트폰이 들어오면서 공인인증서가 설 자리가 더 줄어드는 것도 사실이다.

공인인증서가 10년 이상 별 문제 없이 사용된, 안전이 검증된 시스템이라면 SSL+OTP도 다른 나라에서 수없이 검증되었다고 볼 수 있다. 외국 것이 무조건 좋은 것은 아니지만, 국제 표준에서 우리나라만 톡 떨어져나간 것 같아 불안한 것이 사실이다.

정부도 이에 공감한 듯하다. 아래 기사에서 보듯이 31일 오후 정부는 공인인증서 의무제를 폐지하겠다고 밝혔다. 현재의 공인인증서 기술도 잘 발전시켜 공인인증서와 SSL+OTP 두 가지 기술이 상호보완되면 좋겠다.

Ahn

대학생기자 김준일 / 국민대학교 신소재공학부