공인인증서, 이번엔 ‘공인’ 딱지 떼려나

[류병규]

2013년 5월23일 목요일 10시. 윈도우 OS와 인터넷 익스플로러(IE) 웹브라우저를 사용하지 않는 이들이라면 관심 가질 만한 법안이 발의됐다. 이날 이종걸 국회의원은 공인인증서 외 다른 사설인증서도 금융 거래시 허용한다는 내용을 중심으로 한 ‘전자금융거래법 일부 개정법률안’을 발의했다.

현행 전자금융거래법 제21조 제3항은 “금융윈원회는 전자금융거래의 안정성과 신뢰성을 확보하기 위해 ‘전자서명법’ 제2조 제8호의 공인인증서의 사용 등 인증방법에 대해 필요한 기준을 정할 수 있다”라고 쓰여 있다.

이종걸 의원은 이 법을 “금융윈원회는 전자금융거래의 안정성과 신뢰성을 확보하기 위하여 인증방법에 대해 필요한 기준을 정할 수 있다. 이 경우 금융위원회는 보안 기술과 인증 기술의 공정한 경쟁을 저해하거나, 특정 기술의 사용을 강제하여서는 아니된다”로 개정하자는 의견을 내놨다.

같은날 국회의원회관에서는 이종걸·최재천 국회의원과 사단법인 오픈넷 주관으로 ‘전자서명법, 전자금융거래법 개정법률안 공청회’가 열렸다. 김기창 고려대학교 법학전문대학원 교수, 김승주 고려대학교 정보보호대학원 교수, 이주혁 플래티푸스소프트 대표, 오승곤 미래창조과학부 정보보호정책과 과장, 전요섭 금융위원회 전자금융과 과장이 참석해 의견을 나눴다.

이종걸·최재천 의원은 이날 공청회에 참석해 “금융위원회는 현행법에 따라 ’전자서명법’에 의한 공인인증서 또는 이와 동등한 수준의 안정성이 인정되는 인증방법을 사용하도록 하고 있다”라며 “액티브X 기술을 사용한 공인인증서가 보안에 취약함에도 불구하고, 공인인증서만 보안 방법으로 활용되고 있는 것은 보안기술과 인증기술의 공정한 경쟁을 저해하기에 이와 같은 법안을 발의하게 됐다”라고 법안 발의 배경을 설명했다.

이 법이 국회에서 통과되면, 인터넷뱅킹 같은 금융거래시 반드시 공인인증서를 쓸 필요가 없게 된다. 금융기관은 자사 보안 방침에 부합한 인증서를 자유로이 선택할 수 있다. 액티브X 플러그인 설치를 요구하는 공인인증서 때문에 인터넷뱅킹이 힘들었던 맥이나 리눅스 운영체제 기반 사용자 불편도 해소될 수 있다.

“구시대적 기술이 아직도 존재하는 게 문제”

공인인증서가 처음부터 문제였던 건 아니다. 김기창 교수 설명에 따르면, 공인인증서는 ‘사용자 권한’이라는 개념이 없던 시절 시절에 개발된 기술이다. 사용자 권한은 표현 그대로 컴퓨터 사용에 대한 권한을 말한다. 지금은 컴퓨터에 특정 소프트웨어를 설치할 때 “이런 위험과 조건이 있는데 설치하겠냐”라는 사용자 의향을 묻지만, 과거엔 그렇지 않았다. 공인인증서는 국내 마이크로소프트의 윈도우98 운영체제가 널리 사용될 때 등장했다.

김승주 교수는 공인인증서가 안전한 전자금융결제를 유도하기 위해서 등장했다고 설명했다. 실생활에서 중요한 금융거래나 계약은 인감 도장을 사용해야 하듯이, 인터넷에서도 거래할 때 사용할 수 있는 인감을 만들어 사용하면 좋지 않냐는 생각에서 공인인증서가 출발했다는 설명이다. 정보통신부도 공인인증서 1천만 사용자 모집 등 강력하게 정책을 견인했다.

문제는 시간이 지나면서 컴퓨터 운영체제는 발전한 반면, 공인인증서는 발전 속도를 따라오지 못한 채 낡은 기술로 남았다는 점이다. NPKI 폴더를 만들어서 개인 인증서를 저장하는 방식 때문에 추가적인 보안조치 없이 공인키와 인증서가 무제한 복제되는 사태를 맞았다. USB 메모리에 내려받은 공인인증서는 굳이 은행 웹사이트를 방문해 복사하지 않아도 ‘CTRL+C/V’로 복제가 이뤄진다.

공인인증서를 장려하면서 당시 정보통신부가 공인인증서를 액티브X 환경에만 인식되게 만든 점도 보안을 막는 걸림돌이다. 액티브X는 마이크로소프트가 개발한 응용프로그램 자동설치 지원 기술이다. 이 기술은 현재 특정 운영체제와 웹브라우저에 종속되는 점과 보안 취약성 때문에 마이크로소프트에서도 장려하지 않는다.

서버 인증 없이 플러그인을 습관처럼 내려받아 공인인증서를 사용하는 것도 문제다. 김기창 교수는 “사용자가 금융 거래를 위해 공인인증서 관련 플러그인을 설치할 때 보안되지 않는 서버인 ‘http’에서 내려받는 게 문제다”라며 “서버의 안정성을 확인하지 않은 채 공인인증서 사용을 강제하는 건 문제가 있다”라고 지적했다.

공인인증서의 안정성을 책임지는 루트 인증기관인 한국인터넷진흥원(KISA)에 대한 독립적이고 전문적인 제3기관으로부터의 검증 실사가 없다는 점도 문제로 지적됐다. 공인인증서의 안정성을 책임지는 곳이지만, 그 누구도 KISA가 안전하다는 걸 말해주지는 않는다. 바로 이 점 때문에 국내 공인인증서는 파이어폭스를 보급하는 모질라재단에서 7년째 인증을 받지 못하고 있다. 공인인증서가 신뢰성이 높다고 보지 않기 때문이다.

이같은 다양항 문제에도 불구하고 국내 은행은 액티브X와 공인인증서를 이용해야 금융거래를 할 수 있다는 법률에 막혀 새로 등장한 보안 기술을 적용하지 못하고 있다. 인터넷뱅킹을 하려면 반드시 공인인증서가 필요하고, 은행 웹사이트를 방문할 때도 키보드 보안, 방화벽 등과 같은 각종 보안 플러그인을 설치해야 한다. Https라는 서버 암호화 방식을 채택하고 아이디와 비밀번호만 입력하면 인터넷 결제가 이뤄지는 해외와 대조되는 모습이다.

금융 거래 인증, 시장 자율 경쟁에 맡길 때

공인인증서의 보안 허점과 액티브X의 불편함은 한두 해 얘기가 아니다. 스마트폰, 태블릿PC 등이 등장하면서 이들 기술에 대한 지적은 계속돼 왔다. 이날 공청회에 모인 이들은 공인인증서의 단점을 지적하기 위해 모인 게 아니다. 공인인증서를 폐지하고 새로운 기술을 제정하자고 모인 것도 아니다.

김승주 교수는 “매체에서 공인인증서 폐지를 언급하는데, 폐지가 아니라 이를 대체할 수 있는 사설인증서의 활용을 허용하자는 얘기를 하고 싶다”라며 “현존하는 공인인증서와 경쟁할 수 있는 다양한 기술이 나와야 시장 발전에 도움이 된다”라고 말했다.

현재 공인인증서를 대체할 수 없는 기술은 시장에 존재하지 않는다. 지난 2010년 금융감독원은 ‘전자금융거래시 공인인증서 사용의무 규제완화 방안’을 발표하면서 금융기관과 전자금융업자가 자율적으로 인증 방법을 선택할 수 있게 관련 법을 개정했다. 공인인증서를 사용하지 않고도 이용자 인증, 서버 인증, 통신채널 암호화, 부인 방지 등의 기능을 갖춘 경우에는 인증방법평가위원회 안정성 평가를 거쳐 다양한 전자금융 서비스를 제공할 수 있다고 밝혔다.

그러나 현재까지 공인인증서를 대체하는 기술이 인증방법평가위원회를 통과한 적도, 관련 기술을 도입한 은행도 없다. ‘공인인증서와 동등한 수준의 체제’와 ‘정보보호시스템에 사용하는 정보보호제품은 국가기관의 평가 인증을 받은 장비를 사용할 것’이라는 전자금융감독규정에 발이 묶여서다.

이날 공청회에 참여한 전요섭 과장 역시 “현재까지 공인인증서와 동등한 수준을 갖춘 기술로 인증방법평가위원회를 통과한 기술은 없다”라고 말하면서도 “동등한 수준의 기술이 있다면, 언제든지 수용할 방침이 있다”라고 말했다.

김기창 교수와 김승주 교수, 법안을 발의한 이종걸 의원과 최재천 의원은 “동등한 수준의 기술을 요구할 게 아니라 시장 자율에 맡겨, 시장이 적절한 보안 기술을 선택하게 만들라”라고 입을 모았다. 굳이 금융기관이 나서 특정 기술 사용을 강제하기보다는 시장에 맡기는 게 훨씬 더 좋은 보안 기술을 도입할 수 있다는 얘기였다.

공청회 말미에 금융위원회는 “다양한 기술을 받아들일 의향이 있다”라고 말했다. 의향으로 끝날지 실행으로 옮겨질지는 발의된 법안이 언제 통과되는지를 보면 알 수 있을 것 같다. 현재 전자금융거래법 일부 개정법률안은 발의됐으며, 전자서명법 전부개정법률안도 조만간 발의될 것으로 보인다. IT 갈라파고스라고 불리는 공인인증서 기술이 언제 자유로이 해방돼 시장 평가를 받을지 그 시점이 기대된다.

공청회 관련 영상은 오픈넷 웹사이트에서 볼 수 있다.

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알기쉬운 정보보안기사.산업기사(이론편,문제편[1,200제])