은행 거래 한 번 할 때마다 시키는 대로 깔고 깔고 또 깔고. 한없이 기다리고. 만약 그런데 당신이 접속한 사이트가 가짜 은행 사이트라면?
열 사람이 한 도둑을 못 막는다고 했다. 아무리 백신을 업데이트하고 공인인증서를 USB에 담아 다닌다고 해도 공인인증서를 훔쳐가는 악성코드에는 당해낼 재간이 없다. 그 악성코드를 깐 사람이 바로 당신이라면, 누구를 탓할 수도 없다. 당신은 파밍(pharming)에 당한 것이다.
피싱이 가짜 사이트를 만들어 개인 정보를 빼내갔다면 파밍은 아예 주소를 가로채는 방법을 쓴다. 이를 테면 국민은행 사이트에 접속했는데 거의 똑같이 만든 가짜 국민은행 사이트를 띄우는 방식이다. 최근 파밍 피해사례들를 보면 ‘보안등급을 높여야 한다’는 등의 경고 창을 띄우고 계좌번호와 비밀번호, 주민등록번호 등 공인인증서를 재발급 받는 데 필요한 정보를 요구하는 것으로 알려졌다.
지난 5일 금융감독원과 금융결제원은 PC에 저장된 공인인증서 정보를 빼돌리는 악성코드를 발견하고 유출된 700여건 가운데 유효기간이 만료되지 않은 491건의 공인인증서를 폐기 조치했다고 밝힌 바 있다. 금융감독원은 1700만명에게 긴급 이메일을 보내 위험을 경고하기도 했다. 실제 피해 사례는 아직 확인된 바 없지만 공인인증서마저 안전하지 않을 수 있다는 사실을 일깨워준 섬뜩한 사건이었다.
우선 짚고 넘어갈 건 공인인증서가 뚫린 건 아니라는 사실이다. 일단은 공인인증서가 복사됐을 뿐이지만 해커가 다른 경로로 당신이 자주 쓰는 비밀번호를 알아낸다면 걷잡을 수 없는 사태가 벌어질 수도 있다. 공인인증서 자체의 보안도 중요하지만 핵심은 공인인증서가 마이크로소프트(MS) 인터넷익스플로러 기반의 액티브X에서 작동하도록 만들어졌다는 데 있다. 뭐든 설치하라고 하면 설치를 해야 하는 그런 시스템이 문제라는 이야기다.
27일 국회도서관에서 오픈넷 주최로 열린 보안기술 토론회에서는 공인인증서의 한계와 대안이 본격적으로 거론됐다. 공인인증서의 보안 위험이 문제가 아니라 애초에 정부가 이처럼 특정 보안 기술을 강제하는 것이 문제라는 지적이 제기됐고 아직 공인인증서를 대체할 다른 대안이 없다는 반론이 나왔다. 공인인증서가 아직까지는 가장 확실한 보안 기술이라는 데 대부분 의견이 일치했지만 정부가 이를 관리하는 것이 옳은지를 두고 의견이 엇갈렸다.
먼저 김기창 고려대 법학과 교수는 “국가가 공인인증서 사용을 강제할 법적 근거가 없다”고 지적했다. 거래를 할 때마다 공인인증서를 요구하는 것이 옳으냐는 이야기다. 공인인증서 자체가 완벽한 것도 아니고 까다로운 보안을 필요로 하지 않는 간단한 거래도 있고 무엇보다도 무분별한 액티브X의 남용이 보안을 더욱 취약하게 만든다는 주장이다. 김 교수는 “공인인증서 이외의 다른 인증 수단을 자유롭게 허용해야 한다”고 강조했다.
김 교수는 “공인인증서만 특별한 것처럼 모든 게 만사 OK고 그 외에는 온갖 이유를 대면서 거부하는데 이래서는 안 된다”고 지적했다. 애플 아이튠즈나 구글 체크아웃 같은 결제 서비스를 국내에서는 할 수가 없다. 서비스 사업자가 결제 정보를 보관하는 걸 금지하기 때문에 결제 정보를 매번 새로 입력하거나 PC에 저장해 뒀다가 다시 전송하는 방식을 써야 한다. 김 교수는 “오히려 결제 정보가 유출될 가능성을 더 늘리는 방식”이라고 비판했다.
김 교수는 “정부가 세부적인 인증방법까지 규정하기 보다는 큰 틀 차원에서 가이드라인만 제시하고 시장에서 다양한 보안기술이 쏟아져 나와 경쟁하도록 하면 자연스럽게 공인인증서의 한계를 극복하게 될 것”이라고 강조했다. 김 교수는 “정말 좋은 기술이라면 강제하지 않아도 알아서 다 쓰게 돼 있다”면서 “규제 당국이 특정 기술을 세일즈하면서 진화와 발전을 가로막고 있다”고 덧붙였다.
심원태 한국인터넷진흥원 단장도 공인인증서보다는 액티브액스의 보안을 문제 삼았다. “그나마 공인인증서가 있었기 때문에 국내에서는 인터넷 뱅킹 해킹 사고가 많지 않았다”면서 “주민등록번호가 유출됐다고 주민등록제도를 폐지할 수 없는 것과 마찬가지”라고 주장했다. 심 단장은 다만 “공인인증서는 대체하는 수단을 찾기보다는, HTML5 등 웹 표준에 녹여 좀 더 편리하게 사용할 수 있게 만들 필요가 있다”고 지적했다.
페이게이트 이동산 이사도 “운영체제와 웹 브라우저 환경이 다양해지면 보안을 위협하는 공격 대상도 줄어든다”고 지적했다. 임왕섭 금융위원회 사무관은 “인증체계 전반을 개선할 필요성이 있고 공인인증서를 대체할 수 있는 다양한 대안이 나와서 시장이 활성화돼야 한다고 판단하고 있다”고 밝혔다. 강형우 금융감독원 조사역은 “공인인증서는 이론적으로 안정적”이라면서 “다만 쉽게 복제된다는 지적과 관련, 보완 대책을 만들고 있다”고 말했다.
오픈넷은 해킹 피해의 진원지로 액티브X를 꼽고 있다. 다음은 오픈넷이 제안하는 기본적인 보안 강화 팁이다. 액티브X를 남발하는 인터넷익스플로러 사용을 줄이고 모질라 파이어폭스나 구글 크롬 같은 대안 웹브라우저를 쓰는 것도 좋다. 액티브X를 설치할 때는 신뢰할 만한 사이트인지 신중하게 확인할 필요가 있다. 공인인증서는 USB 메모리 등 외부 저장장치에 담아두되 비밀번호를 다른 웹사이트에서 쓰지 않는 걸로 설정하는 게 좋다.
