<TABLE cellSpacing=0 cellPadding=0 width="95%" border=0>
<TBODY>
<TR>
<TD class=msend_title2 style="PADDING-TOP: 10px"><STRONG>보안의 핵='공인인증서'「관리 체계 허술」대란 부를라</STRONG></TD></TR>
<TR>
<TD class=msend_date style="PADDING-BOTTOM: 10px">유윤정 기자 ( ZDNet Korea ) 2007/02/07</TD></TR>
<TR>
<TD bgColor=#0c00e1 height=1></TD></TR>
<TR>
<TD class=msend_cont style="PADDING-BOTTOM: 20px; PADDING-TOP: 10px"><B>국내 인터넷 뱅킹 등록 이용자는 3,454만 명, 공인인증서 발급 개수는 1,022만 개(2006년 9월 기준)다. 하지만 인터넷 뱅킹 이용을 위해 강제적으로 발급받아야만 하는 공인인증서는 전자서명법을 위법하고 있으며 이를 통해 치명적인 오류를 내포하고 있다고 전문가들은 지적하고 있다. </B><BR><BR>우리가 인터넷 뱅킹이나 카드 조회 등을 이용시 사용하는 "인증서"는 열쇠-자물쇠 관계처럼 클라이언트와 서버가 서로를 검증하도록 돼있다. <BR><BR>이를 위해 인증서는 사용자인증서-공인인증기관-최상위인증기관의 인증연결고리를 형성하고 있다. <BR><BR><B>인터넷 뱅킹 이용자 ="나" <--<인증>-- 공인인증기관 <--<인증>-- 최상위인증기관 (스스로 인증)</B><BR><BR>'내'가 신뢰할 수 있는지에 대한 연대보증은 금결원(yessign)을 포함한 6개 공인인증기관에서 하도록 돼있고, 이 6개 공인인증기관의 신뢰성에 대한 연대보증을 최상위인증기관이 하도록 체인이 형성돼 있다. 최상위인증기관은 더 이상 연대보증이 필요 없는 최상위의 존재를 의미한다. <BR><BR>하지만 전자서명법 제25조가 규정하고 있는 최상위인증기관(ROOT CA)은 오로지 한국정보보호진흥원(KISA) 한 곳인데, 막상 우리가 사용하고 있는 인증서 클라이언트를 뜯어보니 이니텍과 소프트포럼과 같은 일개 사설 보안 업체들이 자신들을 최상위인증기관으로 인식하도록 등록해 놓고 있었다. 더불어 이니텍은 2025년까지, 소프트포럼은 2033년까지 자신들의 인증서가 유효하다고 스스로 인증하고 있다. <BR>
<CENTER>
<TABLE width=500>
<TBODY>
<TR>
<TD align=middle><BR>
<IMG style="CURSOR: hand" [안내]태그제한으로등록되지않습니다-xxonclick=xxjavascript:BigImage_View(this); src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fwww00.zdnet.co.kr%3A88%2Fimages%2Fstories%2Farticles%2F1000206%2520AA.bmp"></TD></TR><!--시작-->
<TR><BR>
<TD class=button_00 align=middle><FONT color=#000000>신한은행 인증서</FONT></TD></TR><!--끝--></TBODY></TABLE><BR></CENTER><BR>한 보안 전문가는 "이는 열쇠와 자물쇠의 신뢰성을 담보하기 위해 질문할 수 있는 곳이 다름아닌 "열쇠/자물쇠"를 만드는 회사인 격"이라며 "심각한 것은 이 두 회사가 서버 솔루션까지 취급하고 있는데 그렇다면 묻지마 서버(인증서)를 얼마든지 발급할 수 있다"고 설명했다. <BR><BR><B>사설 업체=최상위인증기관「왜 안되나」</B><BR>만약 이니텍과 소프트포럼이 악의적인 마음을 먹었다고 가정할 경우, 자신들이 보유하고 있는 공인인증기관 비밀키를 이용해 서버인증서를 발급하고, 그를 무조건 신뢰하는 전국민 PC의 공인인증서(클라이언트 SW)를 통해 마음대로 국민들의 계좌정보, 금융내역 등을 빼갈 수 있는 최악의 시나리오가 펼쳐질 수 있다. <BR><BR>이 뿐만 아니라 악의적 침입자가 이니텍과 소프트포럼를 해킹해 악의적 서버인증서를 발급한다면 우리나라 1,000만 개의 공인인증서를 해킹해 돈을 빼가거나 계좌정보를 알아내는 것은 어려운 일이 아니라고 보안 전문가들은 경고하고 있다. <BR><BR>이러한 문제 때문에 최상위인증기관은 이의 핵심인 공인인증기관 비밀키를 엄격하게 관리하도록 공인인증기관의 시설 및 장비에 관한 규정 제2장 "8. 보호설비" 규정에서 물리적, 전자적 규정을 지키도록 돼있다. <BR><BR>KISA는 법률상 올바른 최상위인증기관이므로 법에 근거 엄격히 비밀키를 관리하고 있으나, "멋대로" 최상위인증기관으로 등록돼 있는 이니텍과 소프트포럼과 같은 사설보안 업체는 이를 어떻게, 누가 관리하는지 명확치도 않으며 이를 관리할 수 있는 권한도 없다는 점이 전문가들의 지적을 받고 있다. <BR><BR>고려대학교 법과대학 김기창 교수는 "이번 사건은 전자서명법 25조와 그 하위 규정을 위법하고 있는 명백한 위반 사항"이라고 강조했다. <BR><BR>인증서 클라이언트를 감독하도록 돼있는 KISA 관계자는 "모든 인증기업들이 불법을 저지른다는 판단 하에 기업들을 관리하는 것은 문제가 있으며 권력의 남용이라고 할 수도 있다"고 입장을 표명했다. <BR><BR>이러한 문제점이 지적되자 네티즌들은 "해당 서비스 회사가 법인으로서는 악의적인 목적이 없어도, 내부 개발자 중에 악의적인 목적을 가진 사람이 몰래 모종의 작업을 한다면, 우리나라의 각 은행의 인터넷 뱅킹이 통째로 해킹 당할 수도 있다는 두려움이 생긴다"며 "더불어 우리나라 정부와 각 은행은 그런 해킹을 당하고 나서야 고치지 않을까하는 더 큰 두려움도 생긴다"고 우려를 표명했다. <BR><BR>이에 대해 사설 보안 기업인 이니텍과 소프트포럼은 명확한 답변을 거부했다.@</TD></TR></TBODY></TABLE><FONT face=굴림 size=2><BR>---하여간 짜증임니다 ㅠ,ㅠ---<BR><BR></FONT>
<!-- -->
첫댓글 흠...저도 짜증나네요, 읽고 나니까....
이런 긴글은 읽기 싫어요~~~영상으로 볼수있게 설명까지 곁들여서 올려주삼^^
전 애지간하면 인터넷 뱅킹하는데.....ㅡㅡ 이제 창구와 ATM을 이용해야 하는 것인가...ㅡㅡ
--------------무플방지위원회 여러분 감사합니다,,,,3시장 마감시간에 절 도와주시네요 ㅋㅋㅋ 후다닥--------
ㅋㅋㅋㅋ