• 후원하기
  • 인쇄
  • 전송
  • 보관
  • 기사목록
  • 오탈자제보

[뉴스텔링] ‘액티브X’ 걷어내도 ‘공인인증서’ 폐지 못하는 이유

시중 은행들 ‘불안한 공인인증서’…대안 없나

  •  

cnbnews 정의식기자 |  2015.09.24 09:56:25

▲지난 1월27일 서울 중구 태평로 금융위원회에서 손병두 금융서비스국장이 IT·금융 융합 지원방안과 관련해 브리핑을 하고 있다. 금융위원회는 27일 전세계적인 IT·금융 융합 트렌드에 맞춰 한국의 전자금융규제를 뼈대부터 바꾸겠다는 강력한 의지를 담아 핀테크 지원방안을 내놨다. ‘사전 규제’를 ‘사후 책임’으로 바꾸고 ‘공인인증서 사용의무를 철폐’하는 등 기술 중립성을 통해 규제 패러다임 자체를 바꾸겠다는 내용이다. (사진=연합뉴스)

시중 은행들이 액티브X 없이도 거래가 가능한 ‘논-액티브X(Non-ActiveX) 인터넷 뱅킹’을 속속 선보이고 있지만, 정작 문제의 핵심인 ‘공인인증서’ 시스템은 건드릴 엄두조차 못내고 있는 것으로 드러났다. 은행들은 “대체 기술을 연구 중이지만, 아직 검증된 대안이 없다”는 입장이다. 하지만 지난 3년간 공인인증서와 관련된 유출 사고는 무려 7만 건을 넘어섰다. 공인인증서를 포기하지 못하는 은행권의 속사정을 CNB가 들여다봤다. (CNB=정의식 기자)

‘액티브X’ 사라진 자리 ‘공인인증서’ 우뚝
은행들 “공인인증서 대체 기술 아직 없어” 
김승주 교수 “FDS DB 구축돼야 달라질 것”

▲인터넷 익스플로러로 우리은행의 인터넷 뱅킹 서비스에 접속한 모습. ‘키보드 보안, 개인방화벽, 공인인증서 구동 프로그램’ 등 ‘보안 3종세트’로 불리는 여러 가지 액티브X 컨트롤들을 설치할 것을 요구한다. ‘논-액티브X(Non-ActiveX) 인터넷 뱅킹’이 전면적으로 도입되는 올해 말 이후면 보기 어려워질 예정이다. (사진=정의식 기자)

지난해 3월 박근혜 대통령은 규제개혁 점검회의에서 “중국인들이 드라마 ‘별에서 온 그대’에서 전지현이 입었던 ‘천송이 코트’를 국내 홈쇼핑 사이트에서 구입하지 못하고 있으니, ‘액티브X’와 ‘공인인증서’가 없는 전자상거래 솔루션을 마련하라”고 지시했다. 

이후 ‘규제혁파’와 ‘핀테크 활성화’의 이름으로 수많은 민관합동회의가 진행되고, 다양한 대책이 마련됐지만, 1년 6개월이 지난 현재 액티브X와 공인인증서는 여전히 우리 인터넷 쇼핑과 뱅킹 환경에 굳건히 남아있다.

그나마 9월부터 KB국민은행·KEB하나은행·신한은행 등 주요 시중은행들이 ‘액티브X가 필요없는 웹 표준 방식의 인터넷 뱅킹 서비스’를 내놨거나 준비하고 있지만, 이는 ‘OTP(일회용 비밀번호 생성기)’를 보유한 고객들만을 위한 서비스로, 일반 보안카드 소지자는 ‘조회’만 가능할 분 ‘송금·이체’ 거래는 불가능하다. 

‘키보드 보안, 개인방화벽, 공인인증서 구동 프로그램’ 등 그간 ‘보안 3종세트’로 불려온 수많은 액티브X 컨트롤들을 설치하지 않아도 되는 것은 분명 놀라운 발전이다. 하지만, 박 대통령이 지적했던 또 하나의 규제개혁 대상인 ‘공인인증서’는 아예 언급조차 되지 않고 있다. 

사실 ‘액티브X 없는 인터넷뱅킹 서비스’는 ‘액티브X 없는 공인인증서 구동 프로그램’에 다름 아니다. 기존의 공인인증서가 USB 드라이브나 하드디스크 등 외부 저장장치에 저장하던 것을 크롬 등 웹브라우저의 로컬 저장소에 전자서명 방식으로 저장하는 식으로 바뀐 것 뿐이기 때문이다.

실제로 KB국민은행의 ‘액티브X 없는 인터넷뱅킹 서비스’를 사용하기 위해 크롬 등의 브라우저로 접속하면, 먼저 기존에 사용하던 공인인증서를 ‘pfx(p12)’ 포맷으로 변환해야 한다며 ‘인증서 변환 프로그램’을 다운로드 받을 것을 요구한다. 

문제는 이 변환된 pfx 파일 포맷의 공인인증서 역시 하드디스크나 USB를 통해 복사나 이동이 가능하다. 기존 ‘NPKI’ 폴더에 저장되던 공인인증서와 별다른 차이가 없다는 뜻이다. 

이렇듯 지난 3월 18일 금융위원회가 금융사를 비롯한 기업들에게 ‘공인인증서를 사용할 의무를 폐지’했음에도 불구하고, 시중 은행들의 인터넷뱅킹 서비스는 여전히 공인인증서를 필수적으로 요구하고 있고, 앞으로 폐지할 계획도 없어 보인다.

▲KB국민은행의 ‘액티브X 없는 인터넷뱅킹 서비스’를 사용하기 위해 크롬 브라우저로 접속하자 기존에 사용하던 공인인증서를 ‘pfx(p12)’ 포맷으로 변환해야 한다며 ‘인증서 변환 프로그램’을 다운로드 받을 것을 요구하는 모습. (사진=정의식 기자)

구멍난 공인인증서…올 상반기 2만여건 유출

은행들이 향후 공인인증서를 폐지할 것인지 아니면 유지할 계획인지에 대해 주요 은행 관계자들을 취재한 결과, 응답은 한결 같았다. “대체 기술이 없기 때문에 당분간은 유지한다”는 것.

A은행 관계자는 CNB와 통화에서 “대체 인증 솔루션을 마련하기 위해 노력중이기는 하나 아직 마땅한 대안을 찾지 못했다. 정부당국이 생체인증 기술을 활용하라고 제언하고 있지만, 아직 완성된 솔루션이 없어 바로 도입하지 못하고 있다.”고 답했다. 

B은행 관계자도 “공인인증서는 은행권 외에도 행정기관 등 다양한 분야에서 본인인증 용도로 활용되고 있고, 아직 다른 대체수단이 준비되지 못한 상태라 빠른 시일내에 폐지하기는 어렵다.”는 입장을 CNB에 전해왔다. 

C은행 관계자는 “별도의 대체 기술이 나온다해도 그간 공인인증서를 사용해온 고객들이 혼란을 느낄 수 있기 때문에 상당기간은 병행 사용될 것”이라고 덧붙였다.

이렇듯 은행권이 공인인증서 사용을 선호하는 가장 큰 이유는 ‘보안이 검증됐기 때문’인데, 과연 공인인증서는 안심하고 사용해도 좋은 기술일까? 

최근 새정치민주연합 장병완 국회의원(광주 남구)이 미래창조과학부로부터 제출받은 자료에 따르면, 지난 2011년 이후 총 7만810건의 공인인증서가 유출됐다. 특히 올 상반기에만 무려 2만 건 넘는 유출 사례가 있었다.

2012년을 기점으로 매년 공인인증서 유출 건수가 크게 증가하고 있는데 가장 큰 이유는 스마트폰 도입이 활성화되고, 스미싱, 파밍 등 신종 해킹 수법이 범람하고 있기 때문이다. 

장병완 의원은 “연간 4만건 이상의 공인인증서가 유출되는 심각한 상황에서 현재 공인인증서 중심 개인정보보호 및 확인 시스템은 전면 재검토해야 한다”며 “아마존, 이베이 등 해외 전자상거래 사이트와 주요 선진국들은 간편결제와 보안 등을 이유로 사용하지 않는 엑티브X와 공인인증서를 왜 우리만 고집하는지 모르겠다”고 비판했다.

▲지문인식이 결합된 ‘삼성페이’로 결제하는 모습. (사진제공=삼성전자)

FDS·보안토큰·생체인식·OTP…대안 많지만

한편, 은행권이 공인인증서 폐지를 미루려는 원인을 김승주 고려대학교 정보보호대학원 교수는 ‘FDS 데이터베이스 미비 때문’이라고 설명했다.

김 교수는 CNB와 통화에서 “해외에서 널리 사용중인 ‘FDS(Fraud Detection System, 이상거래 금융탐지 시스템)’를 국내 은행들도 최근 뒤늦게 도입하고 있다. 하지만 아직 충분한 고객 데이터가 쌓이지 못해 이상거래를 제대로 잡아내지 못하고 있다”며 “충분한 FDS 데이터베이스가 구축되는 시점까지는 은행권도 별다른 대책이 없기 때문에 공인인증서 체제를 유지할 수 밖에 없을 것”이라고 분석했다.

또, 공인인증서 자체는 보안이 강력한데 저장 방식이 문제라는 의견도 제시했다. 

김 교수는 “기존 공인인증서 체제를 유지하되 지금까지처럼 하드디스크, USB 드라이브 등에 저장하는 것이 아니라 ‘보안토큰’에만 저장하는 방식으로 사용해야 한다”며 “스위스 UBS은행은 공인인증서를 사용하지만 우리와 달리 보안토큰만 사용한다. 국내 은행은 그동안 보안토큰을 사용하려는 노력을 거의 하지 않았다”고 지적했다.

정부당국과 보안업계는 ‘생체인증’ 기술에 주목하고 있다. 지문인식 기술은 이미 애플페이·삼성페이 등을 통해 소비자들에게 호평받고 있고, 홍체인식, 안면인식 기술도 정확도가 놀라운 수준인 것으로 알려졌다. 

글로벌 생체인증표준 개발 컨소시엄인 FIDO(Fast IDentity Online) 얼라이언스가 관련 기술을 주도하고 있다. 삼성전자, LG전자, 라온시큐어, 한국정보인증, 한국전자인증 등 국내 기업들과 구글, 페이팔, 알리바바, 마이크로소프트, 비자, 마스터카드 등 해외 기업들이 가입돼있다.

한편, 해외처럼 신용카드 번호와 비밀번호만으로 쇼핑과 뱅킹이 가능하게 해도 별다른 문제가 없다는 주장도 있다.

한 보안 전문가는 “불필요한 절차를 늘려서 마치 보안이 강화된 듯 한 착각을 일으키게끔 하는데, 복잡한 다단계 보안절차를 갖추는 것과 실제 보안 강화는 별개의 문제”라며, “이체 한번 하려면 공인인증서로 로그인해서, 이체 비밀번호를 입력하고, ARS 인증을 거친 후, 보안카드 숫자를 입력한다. 이후 다시 공인인증서 비번을 입력하는 복잡한 절차를 거쳐야 겨우 이체 한 건이 완료된다. 하지만 사실 OTP 하나만 사용해도 이 모든 절차를 수행하는 것보다 안전하다”고 털어놨다.

(CNB=정의식 기자)

배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너

 
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너
배너