공인인증서 '대안'이 궁금하세요?

오픈웹(http://openweb.or.kr) 시절부터 지난 7년간 똑같은 질문에 시달리고 있고, 최근에 이 논의를 처음 접하는 분들께서 더욱 자주 질문하셔서, 사실 좀 지칩니다만…
보안프로그램 몇개 나눠주고 설치하게 한 다음, 인증서 파일 사용하면 보안이 잘 될거라고 믿는다면 오해입니다. 공인인증서의 대안은 이런 것입니다. 이용자, 사업자, 규제자를 나누어 말씀드리겠습니다.

1. 이용자

• 자신이 사용하는 운영체제(OS) 업데이트를 즉각 즉각 한다.
• 최신 버전 웹브라우저를 사용한다.
• 보안경고창(“이 프로그램을 설치하시겠습니까?”)이 뜨면 원칙적으로 NO를 선택한다.
• “이 사이트는 신뢰할 수 없는 사이트인데 계속 진행하시겠습니까?”라는 경고가 표시되면, 접속을 중단한다.
• 비밀번호/카드번호 등을 입력하기 전에는 반드시 웹사이트 주소창을 살펴보고, 주소가 https:// 로 시작하는지를 확인한다. http://로 시작하는 페이지에서는 비밀번호/카드번호 등을 입력하지 않는다.
• 이메일 첨부파일을 열었을 경우, “이 프로그램을 설치하시겠습니까?”라는 보안경고창이 뜨면, NO를 선택한다.
• 보안카드는 그냥 그대로 지갑에 넣어서 보관한다. 절대로 스캔하거나 사진찍지 말고, 보안카드 ‘보관’앱이라는 황당한 프로그램을 사용하지 않는다.
• 안드로이드 폰을 사용할 경우, “알 수 없는 소스”를 허용하지 않는다.

2. 사업자

• 위의 내용을 고객들에게 일관되게, 분명하게, 지속적으로 안내한다.
• 액티브X건, 파이어폭스 확장이건, 자바(signed java applet)건 간에, 플러그인을 뿌리고 거기에 의존하여 서비스를 제공하는 관행은 이제 중단하고, 웹브라우저만으로 서비스 이용이 가능하도록 설계한다.
• 이른바 “보안메일”이라면서 ActiceX 콘트롤을 임베드해 둔 첨부파일(*.html)을 자신의 고객에게 보내는 나쁜 짓을 이제는 중단한다.
• 보안 솔루션을 납품받을 경우, 실제로 적용하기 전에 반드시 전문적인 제3자(보안 검증 업체)에게 의뢰하여 납품받은 솔루션의 안전성을 점검 받는다.
• 자신의 서버 및 솔루션 안전성 및 업무 프로세스의 안전성에 대해서 매년 전문적인 보안감사(보안 점검) 업체에 의뢰해서 검증/실사를 받는다.

3. 규제자

• 너무 상세하고 기술적인 내용을 ‘행정 규정’으로 만들어 운영하려 하지 않는다. 솔직히 금감원이 보안 전문 기술 업체가 아니라는 점을 인식하기 바란다.
• 행정 규정은 추상적 수준에서, 오랫동안 변함 없을 대원칙 만을 규정하고, 구체적이고 기술적인 구현은 전문가들에게 맡겨둔다. 정부가 보안기술에 개입하지 않는다.
• 전자금융감독규정을 다음과 같이 개정한다.
  • 감독규정 개정안 예시(pdf)

** ** **
프로그램 몇개와 인증서 파일 쪼가리 나눠주기만 하면 보안이 달성 될거라고 믿는다면, 그야말로 몰상식한 것입니다. 공인인증서의 ‘대안’은 무슨 프로그램이 아니라, ‘상식적 행동(behaviour)’입니다.
공인인증서의 ‘대안’이 뭐냐?고 묻기 전에 위에 설명드린 내용을 다시 한번 읽어보시면 좋겠습니다.
사실, 대안이 뭐냐?고 묻는 것은 그래도 봐줄만 합니다. 자기는 ‘대안이 뭔지 모른다’는 사실 자체는 알고 계시는 것이니까요. 공인인증서를 ‘대체할 수단이 없다’고 단언하시는 분은 솔직히 구제 불능이라고 생각합니다. 무지와 권력을 겸비한 자를 당해 낼 재주는 없습니다.