공인인증서 해킹, 불안해서 쓰겠나

이글은 파이낸셜뉴스 2013-02-11일자 사설 '공인인증서 해킹, 불안해서 쓰겠나'를 퍼왔습니다.

[fn사설]

정부주도형 현 방식 대신

민간 혁신기술 검토할 만

금융결제원이 해커들이 빼간 공인인증서 461건을 일괄 폐기했다. 금융결제원이 유출된 공인인증서를 자체 폐기 처분한 것은 이번이 처음이다. 온라인·모바일 뱅킹 시대에 공인인증서는 현대인의 필수품이나 마찬가지다. 해커의 손에 넘어가면 어떤 화를 입을지 모른다. 다행히 아직 실제 피해 사례는 보고되지 않았지만 이번 일을 계기로 공인인증서의 발급·관리 체계에 대한 대대적인 수술이 불가피해 보인다. 

금융결제원은 이달 초 금융 피싱(phishing.전자금융사기) 사이트를 점검하다 악성코드로 자동수집된 공인인증서 목록을 발견했다. 누군가 고객 컴퓨터에 악성코드를 심어 공인인증서 정보를 빼낸 것이다. 국민.신한.우리.하나.외환.씨티.농협 등 주요 은행 고객들이 모두 해킹 대상이 됐다. 

금융당국의 엄격한 통제를 받는 현 공인인증서 제도는 지난 십수년간 국내 온라인 뱅킹의 발전을 이끌었다. 현재 금융결제원·코스콤 등 5개 인증기관만이 공인인증서를 발급할 수 있다. 그 용도는 금융거래를 넘어 신분확인용으로도 널리 쓰인다. 국세청 연말정산 서비스에 접속할 때 공인인증서를 통해 본인 여부를 확인하는 게 좋은 예다. 금전거래와 본인 확인의 중요성을 고려할 때 공인인증서를 정부의 엄격한 감시 아래 두는 것은 타당한 측면이 있다.

그러나 인증서 사고가 끊이지 않으면서 제도 개선을 요구하는 목소리도 커지고 있다. 특히 악성코드의 온상으로 꼽히는 액티브X 플러그인 기술을 둘러싼 논란이 뜨겁다. 컴퓨터나 스마트폰에 공인인증서를 깔려면 의무적으로 액티브X 플러그인을 설치해야 한다. 해커들이 준동하는 것도 바로 이 공간이다. 

정부도 공인인증서의 결함을 모르는 게 아니다. 한때 총리실 주재로 관계 기관들이 모여 공인인증서 외 인증방법의 활용을 모색한 적이 있다. 그러나 이 같은 시도는 금융당국의 거부로 현실화하지 못했다. 신 기술의 보안에 대한 불안감, 불투명한 책임 소재 등이 그 배경이 됐던 것으로 보인다.

그러나 특정 기관과 특정 기술을 정부가 지정하는 현행 방식이 완벽하지 않다는 게 여러 차례 드러났는데도 오로지 공인인증서만을 고집하는 건 온당치 못하다. 지난 대선에서도 공인인증제를 폐지하려는 움직임이 있었다. 정보기술(IT) 보안 전문가인 무소속 안철수 후보는 가장 적극적으로 폐지를 주장했고 민주당 문재인 후보는 점진적 개선에서 적극 폐지로 돌아섰다. 박근혜 후보는 가장 신중한 편이었으나 역시 '글로벌 표준에 맞는 다양한 공인인증 서비스 허용'을 공약집에 담았다. 

은행·IT 전문가들은 국내에서만 통용되는 한국형 공인인증서가 눈부시게 빠른 기술혁신을 따라가지 못한다고 말한다. 금융당국은 열린 마음을 가져야 한다. 더 좋은 민간 기술이 있는데 단지 관행에 젖어 구멍 뚫린 옛 기술을 고집하는 것은 어리석다.