한국 IT보안, 이제 솔직해 집시다.

보안의 시작과 끝은 신뢰(trust)입니다. 소프트웨어나 기술은 그 중간 어디쯤에 위치하고 있겠지요.

지난 13년간 정부는 국민들에게 “공인인증서는 안전하니 믿으라”고 말해 왔습니다.

국민들은 보안업체와 은행의 안내를 “믿고”, 공인인증서를 USB나 스마트폰으로 이동할 때 키보드보안 프로그램 설치하고, 인증서 암호 입력하고, 주민번호 입력하고, QR코드를 찍는 등 까다롭고 번거로운 과정을 거쳐갔습니다. “이렇게 까다롭게 하니까 공인인증서는 안전하겠지”라고 국민들은 믿었습니다.

그러나, 은행과 보안업체들의 이런 안내가 사실은 온국민을 우롱한 눈속임이었다는 사실을 설명한 오픈넷 페이지가 3000회 이상 페이스북에서 공유되고, 트위터에서 1600회가 넘게 리트윗 되었습니다. NPKI폴더를(위치만 알면) 그냥 ‘복사’하여 USB나 안드로이드 폰에 ‘붙여넣기’ 하면 공인인증서가 복사/이동된다는 사실을 접한 독자들의 반응은 대체로 두가지 입니다.

  • 난 이미 알고 있었어.
  • 헉, 이럴 줄은 몰랐어!

그러나, 정부, 은행, 보안업체가 그동안 어째서 이 사실을 쉬쉬해 왔는지, 그 이유를 곰곰히 생각해 보시는 분은 많지 않습니다. 프로그램을 짠 보안기술자 본인은 어째서 이런 “암호입력 화면”을 작성했을까요?

인증서를 복사하려면 암호를 입력하라는 화면

인증서 복사하려면 암호를 입력하라

“인증서 복사”를 클릭만 하면 그냥 복사되도록 했더라면(정직했겠지만), 많은 유저들이 “이거 너무 허술한거 아냐?”라는 의문을 가졌을 것입니다. 이런 의문을 피해가려고 대다수 일반인들을 상대로 정부, 금융권, 보안업체들이 그동안 “암호입력 쑈”를 벌인 것입니다. 이렇게 쑈를 해두면, 사고가 나도 “공인인증서는 매우 안전하다, 그러니 고객 당신 잘못이다”라고 판사 앞에서 이야기하고, 책임을 고객이 지도록 만들 수 있습니다.

이런 상황에서 무슨 “신뢰”를 이야기 할 것이며, 무슨 “보안”을 이야기 할 수 있습니까?

인증기술을 잘모르는 국민을 조롱하며 그들을 상대로 “인증서 암호 입력”이라는 보안 코스프레를 한다고 “보안”이 됩니까?

정부와 보안 업계는 이제라도 대국민 사과를 하시면 좋겠습니다.

“공인인증서는 그냥 copy & paste 하면 마구 복제됩니다. 복사할 때 키보드보안 설치하고 암호 입력하라고 한 것은 기술을 잘모르는 유저들을 안심시키고, 법관이 공인인증서를 신뢰하고 유저에게 책임을 지우도록 하는데 도움이 되는 ‘보안 퍼포먼스’였어요”

라고 솔직하게 설명하고 시작합시다.

보안은 솔직함에서 출발해야 합니다.

오픈넷

Print Friendly, PDF & Email