[공인인증서 논란 분석②] “공인인증서, ‘공인’ 단어 빼라”
상태바
[공인인증서 논란 분석②] “공인인증서, ‘공인’ 단어 빼라”
  • 김선애 기자
  • 승인 2017.05.04 14:29
  • 댓글 0
이 기사를 공유합니다

“여러 인증 기술 공정하게 경쟁하게 해야”…“‘PKI=공인인증서’라고 주장하지 말라”

공인인증서는 억울하다. 공인인증서가 보안에 취약하고 기술의 발전을 저해한다는 지적은 이제 접어야 한다. 규제에서는 공인인증서 의무사용이 대부분 완화됐으며, 공인인증서를 안전하게 사용할 수 있는 기술도 다양하게 선보이고 있기 때문이다. 그럼에도 불구하고 사용자는 공인인증서 때문에 온라인 서비스를 자유롭게 이용할 수 없다며 폐지를 주장한다. ‘공인인증서의 억울함’을 풀어주고, 사용자가 불편할 수 밖에 없게 된 이유를 짚어본다.<편집자>

해외 거래서 사용하지 못하는 공인인증서

공인인증서는 해외거래에서 사용할 수 없다는 사실 때문에 글로벌 표준에 맞지 않는 인증제도라는 비판도 있다. 특히 한미FTA에서는 전자인증을 위한 법령을 채택하거나 유지할 수 없다고 명문화 돼 있으며, 당사자가 거래를 위해 적절한 인증 방법을 상호 결정하지 못하게 하는 것을 금지하고 있다.

공인인증서는 국내 거래에서만 사용될 수 있을 뿐이며, 해외 기업 혹은 기관간의 거래는 사용할 수 없다. 이 때문에 공인인증서를 ‘갈라파고스’에 비유하는 것이다. 국내에만 한정된 인증 방식으로는 글로벌 경쟁력을 얻기 어렵다는 것이다.

공인인증서를 찬성하는 측이나 반대하는 측 모두, 공인인증서의 완전 폐지나 강력한 의무화를 주장하는 것은 아니다. 공인인증서로 인해 편리한 부분이 있으며, 일부 업무에서는 공인인증서가 반드시 필요한 것도 있기 때문이다. 공인인증서와 다른 인증 기술이 동등하게 경쟁할 수 있도록 환경을 개선하는 것이 필요하다는데 동의하고 있으며, 공인인증서에서 ‘공인’이라는 단어만 빼도 합리적인 경쟁이 된다고 주장한다.

현행법 상 금융거래에서 공인인증서 외에 다른 인증서를 사용할 수 있도록 규제를 완화했지만, 금융기관의 타 인증서 도입 의지를 기대하기는 난망한 상황이다. 금융권은 허가된 방법만 사용하는 규제에 익숙해 있어, 공인인증서 외에 다른 인증방법을 의무적으로 두도록 명문화 하지 않으면 인증 방식을 다양화 하는 것은 쉽지 않은 일로 보인다.

▲공인인증서 인증이 필요한 사이트 중 여전히 인터넷익스플로러(IE) 접속만을 요구하는 사이트가 상당히 많다.

“PKI는 억울하다”

‘공인인증서=PKI’라는 인식 때문에 PKI에 대한 부정적인 인식이 있지만, PKI는 가장 많은 분야에서 오랫동안 사용돼 온 인증기술이다. 애플페이, FIDO, 블록체인도 PKI를 사용하고 있으며, 온라인 신원확인, 전자서명, 신분증 등 다양한 영역에서 사용된다. 사물인터넷(IoT) 기기 인증에도 PKI가 사용된다.

공인인증서가 불편하다고 여겨지는 것은, PKI를 채택했기 때문이 아니라 공인인증서와 함께 설치되는 보안모듈 3종세트에서 수시로 장애가 발생하기 때문이다. 정부는 공인인증서 의무화 폐지와 함께 보안모듈 3종세트도 의무사용을 폐지했지만, 여전히 공인인증서를 사용하는 사이트에서는 보안모듈을 설치해야 서비스를 이용할 수 있다.

보안모듈 중 가장 말썽을 일으키는 것이 키보드 보안 모듈이다. 이것은 키 입력을 가로채는 공격을 막기 위한 것으로, 후킹 방식을 사용하기 때문에 시스템에서 해킹으로 인식하고 해당 모듈의 활동을 차단하게 된다. 키보드 보안은 장애가 많이 발생하는 반면, 보안성은 높지 않기 때문에 무용지물이라고 비판받는데도 서비스 기관은 이를 포기하지 않는다.

노재민 한컴시큐어 상무는 “공인인증서 모듈은 공인인증서를 불러오는 역할만 하기 때문에 시스템에 영향을 미치지 않는다. 공인인증서에 대한 부정적인 인식 때문에 다른 보안 모듈에서 발생하는 장애까지 모두 공인인증서의 문제라고 비판하는 것은 문제가 있다”며 “현재도 아무것도 설치하지 않고도 공인인증서를 사용할 수 있는 기술이 있으며, 7월부터 의료 클라우드에 시범서비스를 시작할 계획”이라고 설명했다.

“액티브X 자리 차지한 .exe”

액티브X, NPAPI 등 웹브라우저 플러그인 지원이 중단되면서 공인인증서와 보안모듈을 브라우저에 설치할 수 없게 되자 정부는 “액티브X를 걷어내겠다”며 웹 표준을 준수하면서 공인인증서를 사용할 수 있는 기술을 개발할 것을 요구했다. 그러자 보안업체들은 쉽게 개발할 수 있는 실행파일(.exe) 방식으로 단말에 설치하도록 했다. 이 방식은 더 많은 장애와 충돌을 일으켰으며, 윈도우10 및 엣지 등 최신 OS와 웹브라우저에서 동작하지 않아 불편을 가중시켰다.

액티브X의 문제 중 하나는 사용자가 무엇을 설치하는지 확인하지 않고 습관적으로 설치 동의 버튼을 누르게 되며, 이러한 습관을 악용해 악성코드가 설치된다는 것이다. .exe 역시 이와 동일한 문제를 갖고 있다. 실행파일로 유입되는 악성코드를 백신에서 차단하면서 금융보안모듈을 설치하지 못하는 문제가 발생하기도 했다.

이 방식이 1년 이상 사용되면서 어느 정도 안정성을 찾게 됐으며, 신뢰할 수 있는 서명이 있는 경우에만 설치되도록 해 보안성을 높이고 있다. 그러나 지난해 이니텍 코드서명 탈취 사고와 같이 보안 기업의 코드서명이 탈취되는 공격을 당한다면 가짜 보안 모듈이 설치되는 것을 막을 수 없다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.