설사 공인인증서가 보안에 실질적 도움이 된다고 가정하더라도, 국제적으로 통용되는 위치(웹브라우저가 인식할 수 있는 위치)에 공인인증서를 저장하여 별도 프로그램 없이도 공인인증서를 사용할 수 있도록 하지 않고, 굳이 변칙적 위치에 저장함으로써 오로지 플러그인으로만 공인인증서를 사용하도록 강요한 점은 플러그인 판매 업자의 영업에 유리하다는 점 외에는 어떤 이유로도 설명하기 어렵다.
고객이 플러그인을 구입하는 것은 아니지만, 서버들은 플러그인을 비싼 가격에 구입해야만 한다.
보안이 요구되는 전자금융거래를 HTTP 접속('비보안' 접속)으로 수행하는 국내 관행은 기술적으로 납득이 가지 않는다. HTTP 접속을 할 경우, 접속 고객은 서버의 정체를 확인할 방법이 없다. 웹브라우저 주소창에 표시된 서버에 제대로 접속하였는지, 그 서버를 가장한 다른 악의적 서버에 접속하였는지를 전혀 판단할 수 없다는 말이다.
이런 방식으로 어떤 서버에 접속하여, 서버(또는 그 서버가 임의로 지정한 다른 서버)가 내려주는 플러그인을 자신의 컴퓨터에 설치해야만 비로소 보안접속이 가능하도록 설계된 국내의 전자금융거래를 하려면, 접속 고객은 HTTP로 접속한 서버가 선량한 서버라고 무조건 믿고, 그 서버가 내려주는 플러그인이 선량하고 안전하다고 무조건 믿어야 한다.
그렇지 않으면, 아예 거래를 개시할 수 없다. 이처럼 접속 고객의 ‘맹목적 신뢰’를 논리적 출발점으로 삼는 국내의 전자금융 보안 설계는 보안의 기본 상식을 벗어난 것이다.
전자거래 보안은 여러 연결고리로 이루어진 방어막과 같다. 그 중 가장 약한 연결고리가 이 방어막의 안전성 수준을 결정한다. 접속고객의 맹목적 신뢰(무조건 "예"를 누르는 행위)를 첫번째 연결고리로 삼는 국내의 보안 설계는 적지 않은 문제를 안고 있다.
더 큰 문제는 공인인증서가 실제로는 보안에 별 도움이 되지도 않았다는 점이다. 초보적 공격방법으로도 공인인증서는 쉽게 복사가 가능한 까닭에 인증서를 노리는 공격이 극심해 지자, 키보드보안, 개인방화벽, 안티바이러스 플러그인을 줄줄이 설치하도록 하는 규정이 등장하였다.
하지만 이런 플러그인을 아무리 설치해도 공인인증서 복사 자체를 막을 수는 없고, 인증서 암호 유출을 막을 길도 없다는 점은 최근 영국 옥스포드 대학교의 컴퓨터랩에서 발표된 한국 뱅킹 보안의 취약점 분석 논문에서도 상세히 지적된 바 있다.
키보드보안 플러그인을 반드시 설치해야 한다는 주장 자체가 벌써 인증서 개인키가 유출되기 쉽다는 점을 선선히 시인하는 것이다. 인증서 개인키 파일은 이미 유출되었을 가능성이 크므로, 인증서 암호라도 지켜보겠다는 것이기 때문이다.
그러나 아무리 키보드보안 플러그인을 은행이 강제 실행해도, 사용자가 은행 외의 여러 사이트들에서 입력하는 비밀번호가 인증서 암호와 일치하는 경우가 대부분이므로, 은행이 강제 실행하는 키보드보안 플러그인으로 인증서 암호를 지켜내기는 어렵다.
뭐가 뭔지는 모르지만 '보안 프로그램'이라고 하니 그거라도 자꾸 설치하면 그래도 좀 낫지 않을까 하는 수준의 발상으로 프로그램 설치를 무작정 강제하는 딱한 광경이 10년간 지속되는 동안 국내 전자거래의 안전을 그나마 지켜온 것은 매 거래마다 다른 번호를 입력하게 하는 보안카드(일회용 암호) 였다.
최근 금융보안연구원이 발표한 ‘외국의 인터넷 뱅킹 보안 현황 조사보고서’에도 대부분의 외국 금융기관들은 일회용 암호(OTP)를 사용하여 안전을 확보하고자 한다는 점을 알 수 있다. OTP는 모든 웹브라우저/운영체제/디바이스에서 별도 프로그램이 필요 없이 사용 가능한 기술이다.
전자금융거래를 한국만 하는 것도 아니고, 보안 위협에 국경이 있는 것도 아니다. 아무도 채택하지 않는 방법을 10년간 독불장군처럼 고집하며, 스스로 고립의 길을 걸으며 세계 각국을 'IT 후진국'이라고 혼자서 상상해 온 댓가는 온 국민이 지금 톡톡히 치루고 있는 중이다.
복제·유출이 손쉬운 공인인증서의 보안 효능과 관련된 허황된 신화는 지금이라도 극복해야 한다. 보안 플러그인 판매에 사활을 걸고 있는 국내 업계의 사업 전략도 근본적 수정이 필요하다.
글로벌 스탠더드에 맞는 합리적이고 실효성 있는 보안 기술의 수용을 가로막고, 플러그인 사용을 강요하는 불합리한 현행 규제가 철폐되면 PC와 스마트폰에서 모두 국제경쟁력 있는 전자거래 기술이 국내에서도 발달할 것이다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기