“서버공격 당하는데 개인만 통제…공인인증제 폐지해야”
지난해 7월부터 인터넷뱅킹에서 공인인증서를 사용할 의무가 사라졌다. 이런 사실을 아는 이는 많지 않다. 스마트폰뱅킹을 비롯한 대부분의 전자거래에서 공인인증서를 여전히 요구하고 있다. 공인인증서를 사용하지 않게 된다면 은행 사이트에 접속했을 때 액티브X를 통해 은행이 요구하는 자체 보안 프로그램을 내려받는 과정이 없어지게 된다.
그동안 액티브X는 마이크로소프트(MS) 전용 브라우저인 인터넷익스플로러(IE)에서만 구동되기 때문에 소비자들의 브라우저 선택권이 제한되며, 보안업계 전반의 발전을 해친다는 지적이 있었다. 오픈웹의 김기창 고대법대 교수와 이민화 전 기업호민관이 논의를 주도했고, MS 운영체제가 아닌 맥 운영체제를 쓰는 아이폰이 보급되면서 결국 공인인증서 사용 의무가 폐지됐다.
김인성 IT칼럼니스트는 25일 서울신문과 가진 인터뷰에서 여기에 더해 공인인증서 체제가 보안 측면에서도 취약하다고 지적했다. 2009년 분산서비스거부(디도스) 공격부터 최근 농협 전산장애 사태까지 국내 보안사고에서 툭하면 서버가 공격을 당하는 이유가 여기에 있다는 것이다.
김 칼럼니스트는 “외국의 보안이 기관 사이트를 통제해 서버 관리에 만전을 기하는 식이라면, 국내는 기관 사이트의 허점을 방치한 채 개인만 통제하는 식”이라면서 “공인인증서로 사용자들은 불편해지지만, 사이트 보안은 전혀 이뤄지지 않고 있다.”고 강조했다. 이 상태로는 보안 분야에 돈을 아무리 쏟아부어도 보안업체의 배만 불릴 뿐 근본적인 해결은 안 된다고 했다.
→농협 전산장애 사고를 전후해 피싱사이트가 출현했다. 사고 원인은 수사를 지켜봐야겠지만, 피싱사이트의 발빠른 움직임에 혀를 내둘렀다.
-피싱사이트를 통해 고객 정보를 빼내는 것은 중국 쪽 해커집단의 돈벌이 수준이 된 지 오래다. 인터넷뱅킹을 하려고 하면 은행에서 보안 프로그램을 다운받게 한다. 해커들은 유사 사이트를 만들고 보안프로그램으로 위장한 바이러스를 다운받게 한다. 이렇게 해서 좀비가 된 PC가 국내에 100만대 이상으로 추정된다. 좀비PC들은 해커의 명령이 떨어지면 특정 사이트에 한꺼번에 접속을 시도, 마비시킨다. 트래픽이 집중돼 서비스가 불가능해지면 해커는 돈을 요구하고, 속도가 생명인 게임업체들은 대부분의 경우 이 협상에 응할 수밖에 없다. 우리의 보안은 보안이 아니다.
→유독 우리가 국제 해커들의 먹잇감이 되는 이유가 있는가.
-국내 인터넷의 보안시스템이 세계 표준과 다르기 때문이다. 근본적으로 해외 사이트가 스스로의 안전성을 증명하는 체계라면, 국내는 개인들이 사이트에 접속할 때 본인이 맞다는 것을 사이트에 증명해야 한다. 예를 들어 웹메일인 지메일(gmail) 사이트에 접속하면, 사이트 주소가 http://에서 https://(안전전송규약·SSL)로 바뀐다. 뒤에 붙는 s는 이 사이트가 정확한 사이트이니 믿고 이용하라는 표시로, 공인인증기관이 증명해 주는 신호이다. https://를 보고 사용자들은 추가 소프트웨어를 다운받을 필요 없이 안심하고 거래를 할 수 있다.
한국의 보안 방식은 이와는 달리 사이트는 안전하다고 일단 가정을 하고, 개인 사용자에게 자기들만의 보안 프로그램·키보드 해킹방지 프로그램·바이러스 백신 등을 다운받게 한다. 이것도 모자라 공인인증서를 요구한다. 액티브X를 다운받는 동안 사용자 컴퓨터는 보안에 완전히 취약한 상태가 된다. 시작 단계에서부터 보안이 무너져 있는 것이다.
→안전연결은 국내만 채택을 안 한 것인가.
-대부분의 국가에서 채택했다. 1990년대 중반까지 미국은 보안방식으로 복잡한 암호화 기법을 쓰지 못하게 했고, 해독 불가능한 암호화 방식은 수출도 금지했다. 그래서 우리가 독자적으로 만든 게 공인인증서다. 이후 해외에서는 사용자가 웹사이트에 보안접속을 시도하면 웹브라우저가 인증기관에 의뢰해 이상이 없다는 답을 받고 안전전송 규약을 허용하는 체제가 자리잡았다. 국내는 이를 받아들이지 않고, 개인에게 부담을 더 지우는 쪽으로 보안이 발전했다. 은행과 같은 기관이 서버관리를 제대로 하고 있는지 감시하는 곳은 없다. 이게 툭하면 보안사고가 일어나고, 서버 공격이 이뤄지는 이유다.
다른 문제도 있다. 우리 상황에서 보안업체들은 은행이나 공공기관에 납품 경쟁을 벌인다. 이 시장을 확보하면, 개인은 선택권을 갖지 못한 채 일방적으로 사이트 방침에 따라 다운로드를 해야 한다. 해외는 웹브라우저에 기본 보안 프로그램이 장착되고, 개인이 브라우저를 선택하는 구조이다. 그래서 기본적으로 보안 프로그램이 싸고, 그러면서도 개인 고객을 대상으로 성능 경쟁이 계속된다.
→아이폰 도입과 함께 한 차례 공인인증서 폐지운동이 있었다.
-결론적으로 스마트폰 도입 뒤에도 공인인증서 체제는 살아남았다. 이것은 새로운 문제로 이어질 수 있다. 예컨대 제2금융권은 스마트폰의 새로운 버전에서 구동시킬 공인인증서 보안체제를 개발할 자금이 부족할 것이다. 결국 이들은 보안을 외주에 맡기거나 스마트폰뱅킹 시장에 진출하기 어려울 것이다. 만일 국제 표준방식을 채택했다면, 2금융권 업체도 투자비용 없이 스마트폰뱅킹 시장에 진입할 수 있을 것이다. 국제 표준방식은 과거의 소프트웨어 뿐 아니라 미래의 어떤 플랫폼에서도 지원이 되도록 만들어져 있다. 스마트폰 운영체제 새 버전이 나왔다고 보안업체가 추가 개발 비용을 요구할 근거가 사라진다.
→공인인증서 보안 체제 때문에 우리가 잃는 것이 또 있는가.
-이 방식은 전체적으로 우리나라 전자상거래를 죽이고 있다. 물건을 하나 사는데 다른 나라와 달리 공인인증서를 요구하니 어떻게 물건을 팔 수 있겠나. 온라인에서는 오프라인처럼 해외진출을 할 때 막대한 투자를 하기보다 언어만 바꿔서 손쉽게 이동할 수 있어야 하는데, 한국만의 특수한 보안 방식은 이것을 불가능하게 한다. 커다란 세계 시장을 곁에 두고 중소기업들이 굶어 죽고 있다. 수출탑을 수여할 정도로 수출에 목 매는 나라에서 온라인 시장의 개방에 대해서는 왜 이런 모습인지 모르겠다.
홍희경기자 saloo@seoul.co.kr
■ 김인성 IT칼럼니스트는
▲46세 ▲서울대 컴퓨터공학과 졸업 ▲리눅스 시스템으로 초기 엠파스 사이트 구축 ▲전 리눅스원 개발이사 ▲현 KT 계열 네트워크 장비업체 컨설팅 ▲저서 ‘한국IT산업의 멸망’, ‘리눅스 디바이스 드라이버’(공동번역), 잡지 ‘마이크로소프트웨어’에 칼럼 연재
