인터넷상의 신분증, 공인인증서

공인인증서는 인터넷상에서 개인을 식별하기 위해 사용되는 일종의 전자 신분증이다. 공인인증서는 일련번호, 소유주, 만기 날짜 등 식별을 돕는 데이터로 이루어져 있다. 인터넷에서는 얼굴을 직접 보고 신원을 확인하는 것이 불가능해 개개인을 구분할 수 있는 공인인증서를 발행하는 것이다. 대면 식별의 기능을 충분히 대체할 수 있도록 최초 발급 시에는 반드시 은행, 관공서 등을 방문해야 한다.

사기업이 보증 주체가 되는 해외의 인증서와 달리 공인인증서는 국가가 유일한 보증, 관리의 주체다. 그렇기 때문에 일반 기업의 금융 업무뿐만 아니라 국세청의 연말정산 등 다양한 업무를 하나의 인증서만으로 할 수 있다. 우리나라에는 1999년 전자서명법을 시행하면서 처음 도입되어 지금까지 크고 작은 변화를 거치며 사용되어왔다.

공인인증서와 ActiveX의 잘못된 만남

한국의 공인인증서는 ActiveX와 길고 질긴 악연을 가지고 있다. 공인인증서는 일반적인 데이터파일에 불과하다. PDF 파일을 볼 때 PDF Reader가 필요하듯이, 공인인증서 역시 공인인증서를 구동시킬 프로그램이 필요하다. 공인인증서를 처음 만들 때 이 구동 프로그램으로 선택된 것이 Microsoft사에서 개발한 ActiveX다. 그 당시 국민 대부분이 Microsoft사의 운영체제와 브라우저를 사용했고, ActiveX의 보안 문제가 심각하게 인식되지 않았기 때문이었다.

하지만 차츰 ActiveX를 이용하면 사용자의 컴퓨터가 바이러스와 악성코드에 노출되고 사용 환경이 윈도우와 익스플로러로 제한된다는 단점이 대두하였다. 심지어 ActiveX의 개발사인 Microsoft사조차 악용 우려가 크다며 ActiveX의 사용자제를 권장하기도 했다. 공인인증서는 이러한 ActiveX를 기반으로 만들어졌기 때문에 각종 보안, 불편 문제가 공인인증서를 따라다니게 된 것이다.

공인인증서에 제기된 보안 허점과 의혹

ActiveX 자체의 문제 외에도 공인인증서의 보안상 허점이 여러 가지 제기되었다. 첫 번째는 일반 저장 매체에 공인인증서를 설치할 수 있게 한 점이다. 도입 초기 공인인증서의 빠른 보급과 편의성을 위해 보안 매체를 따로 구매할 것을 강요하지 않았기 때문이다. 이 때문에 공인인증서 데이터 파일 자체를‘ 복사 붙여넣기’해 인증서를 무제한 복제할 수 있게 되었다. 두 번째로, 공인인증서는 재발급 절차가 너무 간단해 부정 사용이 쉽다. 공인인증서 자체의 암호화를 푸는 것은 어렵지만, 아예 공인인증서를 재발급받아 계좌를 해킹하는 것은 가능한 것이다. 세 번째로, 공인인증서 자체의 암호화 체계가 안전하지 않아 공인인증서의 비밀번호를 손쉽게 알아낼 수 있다는 주장이 제기되기도 했다.

여러 보안 문제와 의혹 해결해

먼저, 공인인증서의 ‘복사 붙여넣기’ 문제는 사용자가 공인인증서를 파일 복사가 불가능한 보안 토큰에

저장하는 것으로 해결할 수 있다. 또, 부정 재발급 문제는 사용자의 편의를 위해 은행계좌번호와 비밀번호만 알면 공인인증서를 재발급해주는 제도 때문이다. 현재는 부정발급 방지를 위한 대책이 마련되어 반드시 대면인증이나 다른 보안매체를 통해 인증을 받게 하고 있다. 마지막으로,

공인인증서 자체의 암호화 체계가 약하다는 주장은 사실이 아니다. 실제로 공인인증서 자체의 암호가 풀려 보안 사고가 일어난 적은 보고된 적 없으며, 공인인증서의 암호체계는 시대의 흐름에 맞춰 강화되고 있다. 이처럼 공인인증서에 제기된 대부분의 보안 문제의 주된 이유는 공인인증서를 발급, 배포할 때 만들어진 제도의 취약함과 공인인증서 시스템 관리 소홀이다.

해외와 대비되는 불편한 한국의 결제 방식

그렇다면 공인인증서의 편리성은 어떨까. 일각에서는 해외와 우리나라의 금융 결제를 비교하며 공인인증서의 편리성을 비판한다. 해외는 몇번의 클릭만으로 결제가 진행되는 반면, 우리나라에서는 복잡한 프로그램 설치 과정을 거쳐야 겨우 결제할 수 있다는 것이다. 또, 공인인증서로 결제할 수 있는 방법도 제한되어있어 소비자들이 지대한 불편을 겪는다. 이는 공인인증서 자체의 문제보다는 주변 환경의 문제다.

불편함의 주범, 보안 프로그램과 ActiveX

우리나라 결제 방식이 불편한 핵심 이유는 크게 두 가지다. 먼저, 결제할 때 금융기관이 사설 방화벽 등 보안 프로그램을 사용자에게 강제로 설치하게 한다. 이는 금융 사고가 발생했을 때 사용자의 과실을 입증하지 못하면 금융기관이 피해를 모두 보상해야 하기 때문이다. 두 번째로, 공인인증서는 Microsoft의 ActiveX 기반으로 제작되었기 때문에 맥, 리눅스 등 윈도우가 아닌 운영체제에서는 사용하지 못한다.

제도 개선과 기술 개발로 해소 가능해

첫 번째 문제는 제도 개선을 통해 해결되어야 한다. 이전에는 법령으로 보안프로그램의 설치를 강요했으나, 현재는 고객이 원하면 설치하지 않을 수 있도록 법령이 개정되었다. 하지만 설치의 해제를 반드시 가능하게 하라는 조항이 없어서 현재는 해제 기능을 제공하는 금융 기관이 적다. 두 번째 문제를 해결하려는 시도는 현재 진행 중이다. 한국인터넷진흥원은 지난달 ActiveX가 아닌 차세대 웹 표준인 HTML5 기반으로 공인인증서를 사용할 수 있게 하는 방안을 추진 중이라고 밝혔다. HTML5는 다양한 운영체제를 지원하고 ActiveX보다 안전하다.

공인인증서는 생활을 편리하게 하지만, 제도 및 관리 등에서 개선되어야 할 점이 분명히 존재한다. 세계암호학회 이사이자 한국정보보호학회 14대 회장을 역임한 우리 학교 김광조 교수는 “공인인증서는 금융업무, 관공서 업무에 모두 이용할 수 있는 강력한 도구”라고 전했다. 또, “국민이 이용하기 불편한 공인인증서를 개선하는 것은 시대의 요구이자 흐름”이라며 꾸준한 개선의 필요성을 강조했다. 한국정보인증(KISA)에 따르면 우리나라의 공인인증제도는 세계 20여 개국에서 도입 추진 중일 정도로 성공적인 시스템이다. 현 제도의 미비한 점을 개선할 수 있다면 공인인증서의 장점이 더욱 부각될 수 있을 것이다.