Special Section
최신기사
공인인증서를 어찌하오리까
뉴스종합| 2013-04-19 06:41
[헤럴드경제=이자영 기자]#. 예전에 금융감독원 근무경력이 있는 부인을 둔 한 금융사 간부는 ‘공인인증서’로 일상을 감시당하고 있다고 농담을 던졌다. 금융정보에 정통한 와이프가 요구하는 것은 공인인증서 비밀번호 뿐. 남편의 사생활을 캐물을 필요도 없이 공인인증서 하나면 모든 금융거래내역을 조회할 수 있기 때문에 그는 “도망칠 구석이 없다”며 투덜댔다.

온라인거래에서 ‘인감도장’ 역할을 하는 공인인증서는 온라인쇼핑, 인터넷뱅킹, 증권, 보험, 서류 발급, 세금 납부 등 다양한 분야에서 필수적으로 쓰인다. 공인인증서와 비밀번호만 있으면 한 개인의 다양한 금융거래 정보가 명명백백하게 드러난다. 해커 입장에서 공인인증서는 고급정보가 가득한 보물상자를 여는 열쇠가 된다.

3.20사이버대란을 계기로 허술한 금융보안체계에 이목이 쏠리며 공인인증서가 다시 도마 위에 올랐다. 지난 90년대 보안을 위해 도입된 공인인증서가 이제 해커에게 탈취되는 등 보안에 독으로 작용하다는 비난이 날을 세운다.

공인인증서가 문제가 되는 지점은 크게 두 가지다. 해킹을 당하면 그야말로 도둑에게 인감증명서를 넘겨주는 꼴이 되는 보안성 문제가 첫번째요, 온 국민을 ‘액티브X를 설치하시겠습니까?’ 같은 메시지에 둔감하게 만들어 악성코드 감염에 스스로 뛰어들게 하는 부작용이 두 번째다.

우선 공인인증서가 국가보안까지 위협하는 골칫덩이가 된 데는 후자가 대표적인 문제점으로 지적된다.

우리나라에서 인터넷뱅킹이나 온라인결제를 하려면 공인인증서 발급이나 각종 보안프로그램을 깔기 위해 ‘Active X컨트롤 설치’를 수 차례 눌러야 한다. 금융거래를 위해서는 공인인증서가 필요하고, 공인인증서를 사용하려면 액티브X가 깔려야 하기 때문이다.

문제는 개인 PC에 별도 프로그램을 설치하는데 익숙해지다보니 각종 다운로드를 습관적으로 하게 되는데 있다. 무심코 ‘예(Yes)’ 를 누른 프로그램이 해커의 침투경로가 된다. 해커들은 가짜 액티브X를 이용해 악성코드를 심어 PC에 저장된 각종 정보를 빼내고 PC를 숙주로 만든다. 러시아의 보안업체 카스퍼스키랩이 지난 2일 발간한 ‘2월 스팸 리포트’에 따르면 전세계에 스팸메일을 뿌린 발신지 중 미국(16.9%)과 중국(14.4%)에 이어 한국이 3위(13.7%)를 차지했다. 미국이나 중국보다 월등히 적은 인구를 고려하면 국내 유포자가 많다기보다는 ‘좀비PC가 많다는 해석이 유력하다. 김기창 고려대학교 법학전문대학원 교수는 “개인 PC에 끊임없이 외부 프로그램을 설치하다보니 우리나라의 악성코드 감염률은 세계 최고 수준”이라며 “악의적인 세력이 의도적으로 악성코드를 심는다면 국가보안을 해칠 수 있는 심각한 문제”라고 우려했다.

그렇다면 외국의 경우는 어떨까. 미국 온라인쇼핑몰인 아마존이나 이베이, 아이튠즈에서는 액티브X 추가설치나 공인인증서 없이도 비밀번호와 카드번호, CVC코드 등으로 결제가 된다. 공인인증서보다 안전하다고 단언할수는 없지만 개인 PC에 추가 프로그램을 설치할 필요가 없고 절차가 간편하다.

IT전문가들은 공인인증서만을 고집하는 현행 체계를 다양한 표준이 가능하도록 열어달라고 주장한다. 다양한 공인인증 서비스가 허용되면 여러 플레이어들이 들어올 것이고, 시장의 경쟁에 의해 소비자와 사업자들이 자연스럽게 우수한 서비스를 선택할 것이라는 의견이다.

개인의 ‘전자 인감증명서‘를 중심으로 보안체제가 운영되는 것이 안전하지 못하고 개인에게 책임을 미룬다는 지적도 제기된다. 김 교수는 “아마존이나 페이팔은 거래의 패턴을 분석해서 거래내용 자체가 이상 징후를 포착한다”며 “사고가 나면 사업자가 유저에게 돈을 물어주라고 법제도가 되어 있기 때문에 어떻게 해서든 사고가 안 나는 온갖 기술을 열심히 개발해서 적용하고 있다”고 말했다. 반면 우리나라의 경우 개인의 인감증명서로 거래가 이뤄지다보니, 부정결제가 발생했을 때 책임소재가 개인을 향하게 될 수 밖에 없다는 지적이다.

정부도 공인인증서의 폐해를 모르는 것은 아니다. 총리실 주재로 관계 기관들이 모여 공인인증서 외 인증방법의 활용을 모색한 일도 있다. 오랜기간 공론화 되기도 했거니와 지난 대선에서 안철수 후보가 액티브X와 공인인증서 폐지를 공약으로 내걸었을 만큼 국민들의 관심과 문제의식도 높다. 그러나 10년 이상 지속되 온 체계를 폐지할 때 오는 부작용과 불안감, 혼란은 조심스레 접근할 문제다. 한 카드사 관계자는 “공인인증서의 단점도 있겠지만 다른 보안방법을 도입했을 때 얻는 효용이 모든 부작용을 감수할 만큼 클 지는 고려해봐야 할 것”이라며 “익숙한 체계를 바꿀 때 소비자들이 보이는 저항감은 생각보다 크다”고 우려했다. 한편에서는 금융당국의 규제 욕심과 공인인증서를 발급하는 업체, 일부 보안업체의 기득권을 지적하기도 한다.

아직까지 국내 금융보안은 공인인증서를 중심으로 돌아가는 추세다. 금융당국은 다음달부터 30만원 이상을 온라인결제할 때 공인인증서와 휴대폰 문자인증을 반드시 거치고, 모바일 결제의 경우도 신용카드 등록시 기기에 저장된 공인인증서나 문자인증을 반드시 거치기로 했다. 당국이 이같은 가이드라인을 발표한 지난 9일 공인인증서 사업체인 한국전자인증의 주가가 8%이상 오르기도 했다.

nointerest@heraldcorp.com
랭킹뉴스
모든 기사(콘텐츠)는 저작권법의 보호를 받으며,
무단 전제/복사/배포 등을 금지합니다.
Copyright Herald Corporation. All Rights Reserved.