공인인증서의 미래, 보안 분야 ‘뜨거운 감자’

<DIV> 전자서명법, 전자금융거래법 개정법률안 공청회 개최 공인인증서 보안성 문제 지적...폐지론과 선택론, 존치론 팽팽 [보안뉴스 김태형] 민주통합당 이종걸 의원과 최재천 의원이 전자금융거래법과 전자서명법 개정안을 각각 대표 발의하기에 앞서 지난 23일 오후 국회 의원회관 세미나실에서 공청회를 개최했다. <IMG border=0 hspace=0 alt="" src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fwww.boannews.com%2Fmedia%2FupFiles%2Fnpki.jpg" width=500 height=215> 이종걸·최재천 의원과 사단법인 오픈넷이 주최한 이날 공청회의 참석자들은 과도한 관치보안 논란과 인증서 자체의 보안성 문제, ActiveX 등 그동안 논란이 되어 왔던 공인인증제도의 정비가 시급하다는 의견이 나왔다. 하지만 이날 공청회 참여자들은 공인인증서 제도의 문제점과 보안상 취약점에 대해서는 공감을 했으나 법 개정에 대해서는 일부 이견을 나타냈다. 이종걸 의원은 이날 인사말에서 “공인인증제도가 마이크로소프트(이하 MS)의 ActiveX 기반으로 IE에서만 사용되는 폐쇄성을 가지고 있고 보안성 문제도 그동안 많이 지적되어 왔다. 이제는 MS에서도 사용하지 않는 ActiveX를 국내에서는 정부가 주도해 사용을 권장하는 아이러니한 상황이다. 이제 더 이상 낡은 보안기술의 사용을 강요하지 말고 금융권에서는 어떤 것을 사용하든지 스스로 결정하고 책임지도록 해야 할 것”이라고 강조했다. 그동안 공인인증서 폐지를 주장해온 김기창 고려대 교수(오픈넷 이사)는 “공인인증서는 무한정 복제가 가능하며, 복사시 암호입력을 하도록 함으로써 문제가 발생하고 있다”며, “더욱이 파일+고정암호의 유출을 보안 플러그인의 설치로 막을 수 없고, 루트 인증기관이 제3자에 의해 검증받지 않아 신뢰성 문제도 제기된다”고 덧붙였다. 이에 대해 김승주 고려대 사이버국방학과 교수는 “Active X가 문제는 맞지만 공인인증서의 폐지에는 반대한다. 공인인증서 폐지가 국민의 선택권을 보장하지 않는다”면서 “국가가 발행하는 인감도장과 같은 공인인증서는 전자적인 인증증명서이기 때문에 폐지보다는 공존해야 한다”고 말했다. 덧붙여 그는 “공인인증서만 사용하도록 하는 강제조항을 없애고 사설 인증서의 사용도 허용해야 한다”고 주장했다. 특정 기술을 사용하도록 하는 것은 위험하기 때문에 이 두 가지를 공존시켜 시장에서 자율적으로 더 좋은 것을 선택하도록 하자는 것. 김 교수는 이러함 문제해결 방법 중 하나로 해외에서 사용하는 것과 같은 하드웨어 기반의 OTP(일회용 비밀번호 생성기) 사용과 전자서명을 함께 사용하는 시스템 도입도 좋은 방안 중의 하나라고 제시했다. 이에 대해 미래창조과학부 오승곤 정보보호정책과 과장은 “공인인증서는 법률상의 전자서명에 대한 공인인증의 기술적 조치로 사용되어 온 것으로, 보안성 문제와 독점 사용으로 인한 산업발전 저해 지적에 대해서는 관련기관 모두가 머리를 맞대 개선·발전시켜야 한다”고 공인인증서 폐지론에 대해 이견을 나타냈다. 이어 금융위원회 전요섭 전자금융과 과장도 “공인인증서가 제도적으로 안정성을 확보해야 하는 방향으로 가는 것이 맞다고 생각한다. 우리나라 금융기관은 각 금융회사별 보안수준 차이가 크다. 이에 공인인증서 외에 유사한 인증방법도 수용하도록 되어 있지만 현재 현실적으로 적절한 대안이 없기 때문에 충분한 검토가 필요하다”고 유보적인 입장을 보였다. 또한, 공인인증관련 기업인 한국정보인증의 안기범 팀장은 “인증수단의 다양화는 그만큼 관리상의 문제가 발생할 수 있다. 또한, 다양한 인증수단만큼 해킹이나 보안위협도 증가하기 때문에 더 위험할 것”이라고 주장했다. 이에 대해 김기창 교수는 “하지만 우리나라는 이를 강제하는 것이 문제다. 공인인증서 기술이 안전하다면 강제할 필요는 없다. 어차피 안전하다면 금융회사들은 모두 이를 사용할 것”이라면서 “그러면 ‘공인’이라는 명칭을 빼고 사용하는 대신에 제3자의 검증을 받고 사용하자는 취지”라고 답변했다. 이처럼 이날 공청회에서는 보안 분야 ‘뜨거운 감자’로 떠오른 공인인증서 폐지와 존속, 그리고 개선안을 두고 ‘갑론을박’이 이어졌다. 문제는 이러한 입장차를 어떻게 좁히고 해결해 나가느냐에 달렸다. 한편, 이종걸 의원이 대표 발의하는 전자금융거래법 개정안은 지난 10여년간 금융위원회가 공인인증서 사용을 강요하는 근거가 됐던 현행 제21조 제3항을 개정하는 것으로, 금융위원회가 금융회사 등에게 특정 기술이나 서비스 사용을 강요할 수 없고 인증 및 보안기술의 공정한 경쟁을 저해해서는 안 된다고 명시하고 있다. 또한, 최재천 의원이 대표 발의하는 전자서명법 개정안은 현행 전자서명법을 전면 개정하여 정부주도의 인증제도를 폐지하고, 최상위 인증기관에 대한 검증제도를 도입하도록 하고 있다. 이에 따르면 정부는 인증업무 수행의 기본원칙만을 정하고 인증기관 업무의 안전성과 신뢰성은 전문성을 가진 독립적 검증기관이 수행하게 된다. [김태형 기자(<A href="mailto:boan@boannews.com" target=_blank>boan@boannews.com</A>)]             카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페) 카페 주소 :<A class=tx-link href="http://cafe.daum.net/Security-no1" target=_blank></A><A class=tx-link href="http://cafe.daum.net/Security-no1" target=_blank>http://cafe.daum.net/Security-no1</A><A class=tx-link href="http://cafe.daum.net/Security-no1" target=_blank>클릭</A> 교재 소개 : 알기쉬운 정보보안기사.산업기사(이론편,문제편[1,200제]) <IMG style="WIDTH: 172px; FLOAT: none; HEIGHT: 196px; CLEAR: none" id=A_2626C63C5191D55D36C7A7 class=txc-image border=0 hspace=1 vspace=1 src="https://t1.daumcdn.net/cfile/cafe/2626C63C5191D55D36" width=172 height=196 actualwidth="1024" id="A_2626C63C5191D55D36C7A7"/></DIV>