지난 13년간 금융위원회는 공인인증서 사용을 강제해 왔습니다. 정부가 특정 보안기술 사용을 강요하면, 이런 문제가 생깁니다:
첫째, 기술인력이 말단 행정관료 밑에서 눈치나 보고 있을 뿐, 기술은 발달하지 않습니다. 공인인증제도를 총괄하는 KISA는 벌써 몇년째(!) 기초적인 보안접속서버 세팅도 제대로 못해서 쩔쩔매고 있고, KISA의 ‘감독’을 받는다는 공인인증기관은 서버인증서를 국제규격에 맞게 발급하는 방법을 몰라서 계속 접속에러를 내고 있습니다. 믿기 어렵지만, 이게 한국 공인인증 업계의 수준입니다. 정부가 ‘강제’해주는데 뭐하러 노력하겠습니까?
둘째, “정부가 ‘공인’한다니까 믿을만 하겠지” 하는 잘못된 믿음이 생겨납니다. 기술을 잘 모르는 행정관료와 기술을 더 모르는 정치권이, 기술을 더더욱 모르는 국민들에게 제도적으로 강요하는 ‘거짓 믿음’입니다. 다행히, 최문기 미래부장관 후보는 “공인인증 제도를 폐지하겠다”고 국회청문회에서 약속했습니다. 최문기 장관후보, “공인인증제도 폐지하겠다”
최 장관이건 다른 분이건, 공인인증제도는 폐지될 것입니다. 억지로 강요되는 공인인증 제도가 없어지면, 그 다음날부터 공인인증서는 아무도 안믿는 천덕꾸러기로 전락할 것입니다. 강제 규정이 폐지되면 당장 못 믿게 되는 기술이 과연 안전한 기술인가요? 진정으로 안전한 기술이라면 애초부터 법규정에 기댈 이유가 없습니다. 안전한 기술은 강요 안해도 전세계에 퍼집니다.
셋째, 정부가 안전하다면서 강요하는 공인인증서는 결국 온국민에게 손해를 끼치게 됩니다. 사고가 나면, (보안 기술을 모르는)법관은 공인인증서가 마치 신통한 기술인줄 오해한 나머지 고객에게 책임을 떠넘기게 됩니다. 기술은 모르고 “권위”에는 익숙한 법률가일수록 그런 식으로 오판할 가능성은 더 커집니다. <전화사기 피해자 잇단 패소…’본인인증’이 발목>
Copy & paste만 하면 마구 복사 가능한 공인인증서가 실제로 그렇게 안전한가요? 잘못도 없는 고객에게 책임을 억울하게 떠넘기게 만드는 원인은 바로 정부가 공인인증서에 “권위”와 “환상”을 부여했기 때문 아닌가요?
오픈넷은 공인인증서 사용을 13년간 강요해 온 금융위원회에 대한 국민감사청구를 통하여, 다음과 같은 의문에 대한 대답을 듣고자 합니다.
- 공인인증서가 과연 금융소비자를 위한 것인가, 아니면 금융기관이 소비자에게 책임을 떠넘기기 쉽게 해주기 위한 것인가?
- 금융위원회가 어째서 공인인증서 사용을 지난 13년간 강요해 왔는지? 하루가 다르게 바뀌는 보안기술 분야에 13년간 변하지 않는 지상최고의 기술이란 존재할 수가 없는데, 어째서 그랬는가?
- 공인인증서는 copy & paste 만 하면 (암호 입력 필요없이) 마구 복사된다는 사실을 금융위원회는 그동안 알고 있었는지? 알았다면 왜 국민들에게 이 사실을 알리지 않았는지?
국민감사청구 참여 페이지는 여기에 있습니다. (캠페인 참여 마감되었습니다.)
관련글: 망가진 한국보안, 어떻게 할 것인가?
그토록 문제점이 많은 공인인증이 왜 13년가 사용되었는가에 대해 정부의 강제하에 되었다는 주장은 나름 이해가 됩니다. 그러나 그 공인인증이 사용한 보안기술이 정말로 문제가 심각한 것인지에 대해선 납득이 되지를 않습니다. 공인인증이 사용하는 보안기술은 흔히 ‘PKI’라는 기술로 안정성이 상당히 인정받은 국제적인 표준기술이라고 알고 있습니다. 전세계적으로 인터넷에서 사용하는 웹브라우져의 SSL 통신을 위해 PKI기반 기술을 사용하고 있습니다. 인터넷서비스 웹서버에 사용자 인터넷 브라우져에서 SSL를 안전하게 사용하기 위해 국내에서도 ‘VeriSign, Comodo’등의 인증기관이 판매하는 SSL인증서를 널리 이용하고 있습니다. 이외 국제적인 금융거래에 ‘Indentus’라는 인증기관이 글로벌하게 인증서비스를 제공하고 있습니다. 이러한 PKI기술은 국제적으로 통용되는 보안기술이라는 점입니다. 또한 국내와 같은 공인인증제도가 다른 나라에서도 정부기관 및 일반기업에도 널리 사용되고 있다는 점 입니다. 자칫 공인인증이 사용되는 기술이 아주 낙후된 쓸모없는 보안기술이라고 인식되는 것은 잘못되었다고 생각합니다. 다만, 공인인증이 인증서를 저장하는 저장매체와 웹서비스를 제공하는 ‘Active-X’ 라는 기술로 인하여 이토록 오해를 받고 있는 점 입니다. 그 이유는 해외에서는 인증서를 스마트카드나 보안USB토큰에 사용하는 것이 일반적입니다. 이는 인증서를 사용하는 개인키가 안전하게 저장하고 사용하기 위해서입니다. 다만 국내에서는 사용자 편의에 따라 하드디스크, 이동저장매체, 스마트카드, 보안토큰 등으로 제공하고 있습니다. 이는 국내 전자정부서비스의 도입 초기에 안전하게 인증서를 사용하려면 스마트카드나 보안USB토큰을 구입해야 한다면 점을 고려하여 사용자의 편의성과 인증서비스의 활성화에 초점이 맞추어 졌다고 생각됩니다. 현재의 공인인증의 복사 또는 유출에 따른 문제점은 인증서 저장매체를 강화하는 것이 맞다고 봅니다. 자, 그럼 공인인증서 사용을 위해 저장매체를 구입해야 되겠지요? 아시겠지만 보안을 담당하는 사람들은 항상 보안기술을 적용할 시에 사용자 편의성과 보안성 강화(비용증가)을 고려해야 문제점이 공존한다는 점 입니다. 지금은 저장매체 선택은 사용자가 하고 있는데 정부가 이를 보안USB토큰이나 스마트카드로 강제화해야 맞습니까? 둘째, Active-X 기술의 문제점은 비단 공인인증서에 의해 발생된 것처럼 보일 지는 모르지만 우리나라 사용자의 PC환경이 대부분이 Microsoft사의 윈도우를 사용하고 있다는 점에서 인터넷서비스 사업자들이 윈도우 사용자환경을 우선적으로 제공한다는 점에서 발생되었다고 생각됩니다. 이러한 문제점을 해결하기 위해 정부에서 공공기관 전자정부서비스 대상으로 멀티OS, 멀티 브라우져 사용자 환경을 제공하도록 제도화하여 가이드하고 있다고 알고 있습니다. 그럼, 정부가 나서서 이러한 환경을 민간기관인 금융기관에 강제화하는 것은 맞는 일일까요? 또한 우리나라와 같이 사용자 PC가 해킹되는 것을 방지하기 위해 데이타보안, PC보안, 심지어 PC에서 입력하는 값의 해킹을 방지하기 위해 키보드보안, 바이러스에 의한 해킹방지 등등 사용자PC에서 도저히 해킹이 일어나지 않아야 한다는 가정하에 갖가지 보안소프트웨어를 설치하게 되는 사용자의 PC, 이를 도입해야 하는 금융기관의 비용은 결국 누가 지불하게 될까요? 전세계를 다녀도 국내와 같은 24시간 인터넷 자동이체와 타행송금 처리가 가능한 환경은 없을 겁니다. 해외처럼 보안USB토큰이나 OTP토큰을 사용하여 인터넷의 전자금융 업무를 한다는 가정을 해 본다면, 금융기관마다 보안USB토큰이나 OTP토큰 중에 한개는 반드시 사야되고 우리나라 같이 다중 금융거래하는 사람들은 저장매체의 갯수가 거래하는 금융기관 갯수 만큼 구매하고 인증서도 마찬가지 구매해야 겠지요. 참고로 우리나라의 경우, 공인인증와 OTP토큰도 통일해서 한 개 받으면 아무 은행이나 사용가능하게 만들어 놓았답니다. 전 금융기관 대상 OTP토큰 서비스하는 곳도 있어서 가능합니다. 정말 우리나라는 대단한 나라입니다. Active-X를 사용하는 윈도우 사용자 이외에 다른 OS나 인터넷브라우져를 사용하는 사용자들에게 유사한 수준의 보안기술을 제공하기 위해 보안시장은 더욱더 흥행할 수 있다고 생각됩니다. 또한 Active-X를 사용하지 않는 휴대폰인증, 전화ARS인증, OTP토큰 등의 관련 업체들의 흥행의 목소리가 들려 옵니다. 그럼, 미창부, 금감위 그토록 이러한 문제점을 부각시키려는 이유는 정말로 대다수의 국민의 편의를 위한 목소리인가, 많은 정부기관, 기업에서 정말로 유용하게 사용하고 지금까지 저를 포함한 많은 국민들이 유용하게 사용하고 있다는 점을 꼭 알리고 싶습니다. 끝으로 보안업계의 한사람으로서 정부가 보안기술을 전적으로 민간시장에 맡겼으면 국내 보안시장이 지금보다 더 성숙했을까하는 의문점이 남습니다.
논점 파악을 도와드리기 위해 설명을 몇 자 적어봅니다.
PKI 기술에 근본적인 결함이 있어서 공인인증서를 폐지하자는 것이 아니고**, 거래서명을 주 목적으로 하는 현행 공인인증서 관련 법을 바로잡는 데에 그 초점이 있다고 봐야합니다. 우리가 공인인증서를 써야만 하는 이유는 인증의 목적이 아니라 거래서명 때문입니다. (아이디/암호 로그인으로 조회는 가능하지만 계좌이체나 고액 카드 결제 등의 거래를 하려면 반드시 공인인증서로 서명을 해야 하죠?) 고객의 부인방지를 통해 금융기관들의 책임을 덜어주는 것 외에는 그 용도를 설명하기가 어려운 현행 제도부터 뜯어 고치는 일이야 말로, 그동안 특정 기업과 정부의 결탁으로 시작해 ActiveX와 같은 특정 기술로 엉망진창이 된 대한민국 웹도 인터넷도 모두 바로잡을 수 있는 시작점이라고 생각합니다. ( 참고: http://minix.tistory.com/422 )
어떤 기술을 써야 안전한 전자금융거래가 가능할 지는 정부가 고민할 문제도, 법에서 논할 문제도 아닙니다. 금융기관들이 온라인에서 안전한 거래를 위해 그들의 책임을 다하고 있는지 투명하게 감시하는 방법을 만들어 운영하고, 그렇지 않을 경우에 엄중히 처벌하는 것이 정부의 올바른 역할입니다. 그렇게 마련된 정정당당한 무대가 있어야만 그 위에서 금융기관들과 국민들이 더 우수한 보안 기술에 대한 수요를 만들고, 그래야 민간에서도 경쟁적인 기술 개발을 통해 국내 보안업계도 발전하고 전자상거래도 IT도 모두 흥하는 선순환이 가능할 것입니다. 그런데 지금 우리나라의 현실은 그야말로 비참합니다. 금융기관들의 책임 소재를 모호하게 만들고 특정 기업들의 제품을 강제하며 인증서 장사하는 방법이나 고안하는 정경유착의 시범을 보이라고 우리가 세금을 내고 있는 것이 아니죠!!
** 주) 안전한 통신을 위해 모두가 쓰는 SSL/TLS는 PKI에 의존하고 있는 기술이며, 공인인증서 제도를 개혁하자는 주장에 이 기술을 바꿔야한다는 뜻은 전혀 없어 보입니다. 전세계가 쓰고 있는 이 PKI도 완벽한 것이 아니며 인증기관(CA)의 키 관리 소홀로 MITM 공격을 가능하게 하는 큰 사고도 수 차례 있어왔습니다. ( 참고1: http://en.wikipedia.org/wiki/Comodo_Group#2011_affiliate_registration_security_breach 참고2: http://en.wikipedia.org/wiki/Diginotar#Issuance_of_fraudulent_certificates ) 다만, 우리나라의 제도는 숙련되지 않은 개개인에게까지 이러한 민감한 키 관리의 부담을 지움으로써 사고의 가능성을 원천적으로 극대화 시킨 뒤, 그로부터 파생되는 문제들을 덮기 위해서 점점 더 문제를 복잡하게 만들었다는 데에 큰 잘못이 있습니다. 금융기관들이 정부가 선호하는 백신, 악성코드 차단 프로그램, 방화벽, 키보드 보안 프로그램들로 스스로를 둘러싸며 점점 더 불편을 늘려가는 사이, 국민들은 자신의 PC를 무장해제하고 인증서와 보안카드를 복제하면서 결국 보안은 증발한 것이죠. 아무리 긴 키와 강력한 암호화 기술을 쓰고 정교한 보안 장치들을 보급해서 쓴다 한들, 정보 보안은 결국 사람의 문제입니다.
(참고로 저는 오픈넷과 관련이 없으며, 하루빨리 병든 우리나라 IT가 낫길 바라며 본 감사 청구에 참여한 여러분 중 하나입니다. 우리나라 전자금융거래의 실태가 얼마나 심각한가를 얼마 전부터 미국에 체류하면서 더욱 뼈저리게 느끼고 있습니다.)
“한국형”인증체제(이른바 “공인인증제도”) 자체도 너무 황당한 기술적 허점을 안고 있고, 그런 “한국형”인증서 사용을 제도적으로 “강요”하는 것은 더 큰 문제입니다.
네, 공인인증서 자체도 문제이고, 그것을 강요하는 것은 더 큰 문제입니다.
이 문제에 대하여 입 꼭다물고 있는 보안 전문가, 보안학계 일부 교수들도 안습.
공인인증서 기술이 문제가 있다고 주장하지 않았습니다. 공인인증서 외에도 좋은 기술이 많이 있으니 (1) 공인인증서만을 (2) 정해진 방법으로만 사용해야 한다는 현재의 규제를 풀라는 주장으로 이해됩니다.
그렇게 하면 국내 보안업계의 기술력도 올라가고 장기적으로는 보안 분야 시장도 커질 것입니다. 국내 인터넷 산업이 국제적으로 고립된 상황을 개선하는 효과도 있을 것입니다.