사용자에게 책임 떠넘기는 ‘공인인증서’제도 … 대체가능 수단 위해서는 관련 법부터 정비해야
2014년 ‘천송이 코트’를 중국 사용자들이 공인인증서가 없어 한국 사이트에서‘직구’할 수 없다는 논란이 일었다.
이 때문에 2015년 공인인증서의 의무사용이 폐지됐다. 그에 따라 카드사는 발 빠르게 지문인식 등의 생체인식 시스템을 도입해 간편결제를 시도했다.
더불어 최근 ‘삼성패스’의 등장으로 은행업계 또한 홍채인식 보안시스템을 도입하는 추세이다.
비밀번호와 지문으로 결제가 가능한 간편결제와 홍채인식으로 암호 등록이 가능한 ‘삼성패스’까지. 현재 우리나라의 보안시스템은 더욱 빠르고 편안하게 발전해가고 있다. 하지만 과연 우리가 일상생활 속에서 ‘실제’ 사용하는 보안시스템이 빠르고 편안해졌을까?
생활 속에 뿌리박힌 공인인증서
모 대학에 재학 중인 A양(20세)은 최근 학교 내의 온라인 강의를 신청하기 위해 우체국 범용 공인인증서를 발급받았다. A양은 “다른 사람이 강의를 대신 들어주는 것을 방지하기 위해 범용 공인인증서로 본인인증을 해야 한다. 하지만 USB에 넣고 사용해서 USB를 가지고 있지 않은 날에는 강의를 들을 수가 없다”며 불편을 호소했다.
이뿐만 아니라 여전히 은행사 앱에 로그인하거나 주민등록표등본교부를 인터넷으로 신청하는 등 민원 신청을 할 시에도 본인인증을 위해 공인인증서가 필요하다.
이에 또 다른 대학에 재학 중인 B양(20세)은 “얼마 전 우체국 앱에 로그인하기 위해 공인인증서를 사용했다. 하지만 유효기간이 지나 다시 발급해야 했다”며 불만을 드러냈다.
보안시스템의 기술은 나날이 발전하고 있지만 우리의 일상생활 속에 깊게 자리 잡은 공인인증서를 뿌리 뽑기는 힘들어 보인다. 실제 드림시큐리티가 여론조사기관 리얼미터에 의뢰해 실시한 설문조사 결과에 따르면 사용자가 가장 선호하는 인증수단 은 ‘공인인증서’ 였다.
이는 ID/PW나 OTP(일회용 비밀번호), 생체인증 방식보다 공인인증서의 보안성이 더 뛰어날 것이라는 인식과 공인인증서의 사용처가 가장 많다는 점에서 비롯된다.
과연 우리가 가장 신뢰하고 있는 공인인증서는 안전하게 보관되고 있는 것일까? 2015년 ‘파밍’(악성코드에 감염된 PC를 조작해 개인 금융 정보 등을 몰래 빼가는 수법)으로 공인인증서를 유출한 후, 계좌에서 돈을 빼내 간 사건이 있었다. 그 외에도 우리는 뉴스에서 쇼핑몰이나 은행이 해킹당하는 사건을 심심치 않게 접할 수 있었다.
보안 시스템 안전하려면
유출의 위험이 큰 공인인증서를 가장 안전하게 보관하기 위해서는 PC 하드디스크나 USB가 아닌 ‘보안토큰’에 저장해야 한다. PC 하드디스크나 USB, 스마트폰에 공인인증서를 발급받을 경우 ‘NPKI’라는 저장 폴더가 생겨나 바이러스에 감염되면 유출을 당할 위험이 높기 때문이다.
이에 대해 한국인터넷진흥원 박상환 팀장은 “보안정보의 탈취와 변조가 불가능 한 ‘트러스트 존’이 도입됨에 따라 차츰 ‘NPKI’파일을 없애 갈 예정이다”고 밝혔으나 2019년 까지는 ‘보안토큰’에 의지해야 할 것으로 보인다.
하지만 대부분의 공인인증서 사용자는 PC 하드디스크 또는 USB에 공인인증서를 보관하며, 지난 7월 한국인터넷진흥원이 실시한 전자서명 이용 실태조사에 따르면 6개월에 한 번 이상 비밀번호를 바꾸는 사람 또한 12.1%에 불과하다는 사실이 드러났다.
또한 공인인증서가 유출된 후 사용자가 금융피싱 사이트에 자신의 공인인증서 비밀번호를 입력하게 되면 실제 금전적 피해로까지 이어질 수 있다. 이 때문에 현재의 보안 시스템은 비밀번호를 자주 바꾸고 안전한 사이트인지 확인하는 등 사용자의 주의로 보안을 유지해야만 하는 실정이다.
결국 불편은 사용자의 몫
공인인증서의 불편함은 발급받는 과정에도 존재한다. 공인인증서가 사용되기 시작한 2000년대 초반부터 우리는 줄곧 ‘액티브X’를 이용하여 인증서를 발급받아 왔다. 하지만 이 과정에서 다양한 보안 프로그램을 다운로드 받아야 해서 사람들이 많은 불편을 겪었다.
또한 ‘액티브X’로 발급받는 각종 보안 프로그램들은 보안이 취약하기 때문에 마이크로소프트사에서도 보안시스템 으로사용하는 것은 지양해야 한다고 지적했다.
지난 10여 년 간 이러한 문제들이 계속되었지만 ‘액티브X’사용은 2016년이 되어서야 폐지됐다. 이에 대해 박 팀장은 “공인인증서를 발급받는데 더 이상 ‘액티브X’나 다른 프로그램이 필요하지 않다”고 말했다.
그렇다면 과연 ‘액티브X’에 의한 공인인증서의 불편함은 모두 사라진 것일까? ‘액티브X’가 폐지된 지금도 공인인증서를 사용하기 위해 보안 모듈 등 여러 가지 프로그램을 다운로드 받아야 한다는 불편은 여전히 그대로다.
제자리 걸음인 은행들
불편한 공인인증서는 의무사용이 폐지되고 난 후에도 ‘여전히’ 우리의 일상 속에 함께하고 있다. 짧은 비밀번호나 지문인식으로 결제가 되는 간편결제 시스템과 달리 은행 업무를 볼 때에는 아직도 공인인증서가 필요하다.
일부 은행은 ‘삼성패스’를 통해 공인인증서 비밀번호를 홍채인식 시스템으로 더 편리하게 사용할 수 있게 했지만 이 또한 모든 이들에게 편리하지는 않다. 홍채인식 시스템을 이용한 비밀번호는 홍채인식 시스템을 지원하는 기기를 가지고 있어야 하기 때문이다.
여러 은행사에서 출시한 간편송금앱도 마찬가지다. 간편송금앱은 공인인증서 없이 비밀번호만으로 송금을 할 수 있다. 그러나 하루 최대 송금액이 30만 원이나 50만 원으로 한도가 정해져 있어 고액의 송금은 불가능하다.
이렇듯 은행업계는 공인인증서의 그늘을 벗어나기 시작했으나 아직 공인인증서를 탈피했다고 말하기 부끄러운 수준이다.
공인인증서, 제도부터 정비해야
그렇다면 어째서 은행업계는 보안 시스템으로써 공인인증서를 가장 선호하는 것일까? 바로 ‘무결성’과 ‘부인방지’가 이유이다. ‘무결성’과 ‘부인방지’는 다른 보안 시스템과 달리 공인인증서만이 가진 특성으로 온라인상의 계약을 증명할 수 있는 유일한 수단이다.
한 은행 관계자는 “정부는 공인인증서를 폐기하는 대신에 대체 수단을 쓰라고 한다. 하지만 법이 만들어져 있는 것은 공인인증서뿐이라 다른 대체 가능 수단이 없다”고 밝혔다.
이 때문에 그동안 은행업계는 공인인증서를 사용하는 것을 ‘사용자의 중대 의무’로 규정하고 있었다. 그로 인해 공인인증서 의무사용 폐지 이후에도 은행업계 보안 시스템은 제자리걸음이었다. 최근 도입되는 생체 인식 시스템 또한 제대로 된 제도 정비가 이루어지지 않아 결국 금융 피해의 손해는 사용자에게 돌아갈 것이라는 우려가 끊이지 않고 있다.
온라인 보안 시스템에 있어 가장 중요한 것은 관리를 소홀히 하지 않는 것이다. 하지만 관리의 책임을 사용자에게만 물어서는 안 된다. 은행업계 및 많은 기업들이 자신들의 피해를 최소화하기 위해 ‘사용자의 중대 의무’를 면죄부로 사용하는 것은 지양해야 한다.
이와 같은 상황을 해결하기 위해서는 관련된 법과 제도의 정비가 우선이다. 그러나 정책들은 아직도 미비하다. 보안 관리의 책임을 사용자에게만 묻지 않도록 제도정비가 시급해 보인다.