공인인증서를 폐기하라

kisa

인터넷 금융사기인 피싱 기법이 날로 발달하고 있다. 이제는 스마트폰을 바탕으로 한 휴대전화 소액결제 사기인 스미싱까지로 진화하고 있다.

한국이 피싱의 천국이 된 것은 무엇보다 우리 공인인증서 자체의 문제다. 한마디로 시대에 뒤처진 공인인증서는 이제 폐기되고 글로벌 스탠다드에 맞춰 보안체계는 재설계 돼야 한다. 그 문제를 짚어보기로 하자.

현재 공인인증서 문제는 너무나 많다. 다음과 같은 세 가지가 가장 큰 문제다. 1)보안에 극도로 취약한 액티브-X 기반이다. 2) 공인인증서가 특정 폴더에 저장돼 유출이 쉽다. 3) 서버 인증을 하지 않고 있어 피싱에 무방비다.

앞의 두가지 문제는 오랫동안 지적된 문제이며, 최근 급증하는 피싱 문제는 피싱을 시도하는 가짜 홈페이지를 소비자가 인식하지 못하는데 그 원인이 있다.

전세계에서 활용되는 인터넷 브라우저는 보안 연결시 홈페이지를 인증하는 기능을 제공하고 있다. 그런데 우리 공인인증은 이를 무시하고 우리 것만을 고집해 서버인증을 제공하지 않고 있다. 접속한 사이트가 ‘국민은행’인지 ‘국만은행’인지 사용자 스스로 판단해야 한다는 의미다. 일반인에게 이는 무리다.

우리의 공인인증 제도는 역사적 진화의 산물이다. 우리나라가 1997년부터 시작된 질풍노도와 같은 벤처붐의 결과 2000년 전세계에서 가장 앞선 인터넷 기술 강국이 되면서 문제는 시작된 것이었다.

당시 인터넷 보안체계는 불완전해서 우리의 기술자들은 전세계에서 가장 앞선 128비트 보안체계를 개발했고 이를 금융거래를 비롯한 인터넷 거래에 활용하고자 했다. 이 기능이 당시 인터넷 브라우저에 내장 되어 있지 않기 때문에 액티브-X라는 보안에 취약한 마이크로소프트(MS)만의 기능을 활용했다.

액티브-X는 사용자의 컴퓨터에 특정기능을 심기 위해서 컴퓨터의 보안을 일시적으로 해제하는 기능이다. 당연히 액티브-X는 보안에 취약성이 있다. 그 결과 우리는 금융거래를 하면서 수많은 프로그램을, 보안목적이란 이유로, 보안에 취약한 액티브-X를 통해서, PC에 무조건 설치하는데 길들여 졌다.

월급쟁이들은 연말정산 한번 하고 나면 컴퓨터가 걸레가 된다고 한탄하고 있지 않은가. 필자는 기업호민관 재직시절 공인인증서 때문에 한국이 인터넷 후진국이 됐다는 기고와 더불어 공인인증서 개선 활동을 한 바 있다.

지난 2010년 대체인증수단 도입을 위해 금감원 산하에 인증방법평가위원회가 마련됐지만 사실상 개점휴업상태다. 기껏 한 개 회사 30만원 이상으로 국한하여 인증하고 실질적인 개선은 없다.

MS마저 액티브-X를 사용하지 말라고 한다. MS는 윈도우8부터는 이를 지원하지도 않는다. 경쟁력이 취약해진 익스플로러가 한국에서만 기승을 부리는 이유가 바로 액티브-X를 기반으로 하는 우리의 독특한 공인인증제도 때문이고, 스마트 디바이스에서 많은 한국 홈페이지가 먹통이 된 이유이기도 하다.

이제는 시대착오적인 공인인증서를 퇴출시켜야 한다. 어려운 기술문제라는 방어막으로 정책의 투명성이 상실되는 손톱 밑 가시 사례가 바로 공인인증서다. 전세계를 보라. 관련된 수많은 이해관계 업체들이 국민들보다 소중하지는 않다.

수많은 보안 프로그램으로 걸레가 된 한국의 네티즌들이 세계적으로 가장 보안에 취약해 진 이유를 공인인증서 제도 이외에 무엇으로 더 설명하겠는가. 공인인증서 제도는 폐기하고 글로벌 스탠다드로 가야 한다.

글 : 이민화 벤처기업협회 명예회장

%d bloggers like this: