문제투성이 공인인증서, 왜 강요하나

이글은 시사IN 2012-08-23일자 기사 '문제투성이 공인인증서, 왜 강요하나'를 퍼왔습니다.

한국은 전 세계에서 통용되는 표준 보안 방식을 무시하고 공인인증서를 강요한다. 프로그램을 따로 다운받는 방식부터 문제투성이다.

모바일 시대가 되면서 한국식 IT 기술들이 공격받고 있다. 그중에서 가장 많이 비난받는 것은 공인인증서이다. 한국식 공인인증서는 공인된 인증서가 아니다. 인증서는 인터넷 보안 접속을 위해 사용되는데 한국식은 전 세계에서 통용되는 표준 보안 기법과 다른 국내용이다. 익스플로러 이외의 웹브라우저들은 국제 인증서는 내장하고 있지만 공인인증서는 인증서로 인정하지도 않는 실정이다.

보안 접속은 누구나 데이터를 훔쳐볼 수 있는 위험한 상태에서 안전한 상태로 변환하는 과정이다. 표준 보안 방식은 이 과정이 절차적으로 확립되어 보안 위험이 존재하지 않는다. 하지만 한국 방식은 다르다. 한국식 인증서를 사용해 보안 접속을 하기 위해서는 따로 프로그램을 다운로드해야 한다. 이 과정은 전혀 보안이 확립되어 있지 않다. 한국식 보안 접속은 시작부터 메울 길 없는 커다란 보안 구멍이 존재하는 것이다.

한국 인터넷뱅킹에서는 공인인증서가 필수다.

표준 보안 방식은 인터넷 사이트가 자신이 누구인지를 먼저 밝힌다. 인증 기관과 웹브라우저가 공조해 사이트의 안정성을 검증하고 나면 웹브라우저 주소창에 잠긴 열쇠를 보여줌으로써 사용자가 안정성을 직접 눈으로 확인할 수도 있다. 한국식 보안에서는 인터넷 사이트가 자신이 정당한 사이트인지 밝히지 않는다. 가짜 은행 사이트에 접속하더라도 그 사이트가 진짜 은행인지 아닌지 알 방법이 없다. 

보안을 위해 내려받는 프로그램이 안전한 것인지 확인하기도 어렵다. 모든 국민이 보안 프로그램 다운로드 창을 만났을 때 무조건 다운받으라고 교육받은 탓에 보안에 무감각해져서 제대로 확인하지 않게 되었다. 그 때문에 컴퓨터가 악성 코드에 뒤덮이게 되었고 그중 많은 수가 ‘좀비 PC’가 되고 말았다. 

쉽게 훔쳐갈 수 있는 인증서

표준 보안은 웹브라우저에 그 기능이 내장되어 있어 편리하지만 한국식 보안 접속은 전용 프로그램을 다운로드해야 하기 때문에 매우 불편하다. 전용 프로그램이 제대로 동작하는지 검증하는 기관도 존재하지 않는다. 실제 보안 프로그램에 악성 코드를 심었던 보안 업체 직원이 구속되는 사건도 있었다. 

그럼에도 관계 기관은 본인 확인을 위해 공인인증서를 사용해야 한다고 강변하고 있다. 사실 공인인증서는 현실에서 사용되는 인감을 온라인 형태로 만든 것이다. 하지만 한국의 공인인증서는 근본적인 결함이 있어 결코 전자인감 기능을 할 수 없다. 

인감 소유자는 인감도장을 안전하게 보관해야 한다. 인감은 실물로 존재하므로 누군가가 그 인감을 훔쳐 가면 소유자가 이를 알 수 있고 분실 신고 등 적절한 대처를 할 수 있다. 하지만 전자인감이라 부르는 공인인증서는 하드디스크에 파일 형태로 존재해 누구나 쉽게 복제할 수 있기 때문에 도난 여부를 확인하는 것이 불가능하다.

윈도 운영체제는 인증서를 안전하게 보관하는 기능을 제공하지만 한국의 업체들은 이 기능도 활용하지 않는다. 대신 USB에 보관하라는 등 보안상 전혀 의미 없는 방법만을 권하고 있다. 인증서가 들어 있는 USB는 훨씬 더 분실 위험이 크기 때문에 아무런 개선책이 되지 못한다.

누구나 쉽게 훔쳐갈 수 있는 공인인증서, 즉 전자인감을 사용해 본인 인증을 한다는 것도 무의미한 일이다. 악성 코드가 침투하면 일단 공인인증서부터 빼간다. 인증서를 사용할 때 필요한 비밀번호는 해킹한 포털 사이트의 개인 정보에서 얻을 수 있다. 이렇게 구한 비밀번호와 훔친 인증서로 해커들은 인터넷에서 무엇이든 할 수 있다.

공인인증서의 필요성을 역설하는 사람들은 이른바 부인방지 효과가 있다고 주장한다. 부인방지란 거래를 할 때 공인인증서를 사용할 경우 인증서 소유자 본인이 거래했다는 사실을 부인할 수 없게 할 수 있다는 뜻이다. 하지만 공인인증서를 쉽게 훔쳐갈 수 있고 훔쳐갔음을 알 수도 없기 때문에 공인인증서의 부인방지 효과는 공상에 불과하다.

국제 표준과 동떨어진 공인인증서는 한국 보안을 마이크로소프트 윈도-인터넷 익스플로러-액티브 엑스에 가두고 있기 때문에 모바일 시대 한국인터넷 서비스의 세계화에도 걸림돌이 된다. 하루빨리 문제투성이인 공인인증서를 폐지하고 국제 표준 보안을 도입해야 할 시점이다.

김인성 (IT 칼럼니스트)