금융보안연구원이 지난 2014년 12월 대학생들을 상대로 조사한 결과 공인인증서가 가장 안전한 인증방법이라는 대답을 한 비중이 가장 높았다는 기사를 접했습니다. 기사는 대학생들이 전자금융거래에 있어 불편해도 안전성을 중요하게 생각한다는 결과도 함께 전하고 있어, 마치 대학생들이 공인인증서가 사용이 불편해도 가장 안전한 인증방법으로 인식하고 있는 것처럼 보입니다.
- 관련기사 링크 : [전자신문 _ “의무화 폐지에도 가장 안전한 인증수단은 ‘공인인증서’]
- http://www.etnews.com/20141231000264
그러나 이는 일반인들의 인식과 상당히 괴리된 결과여서 그 이유를 찾아보고자 해당 보고서를 꼼꼼히 살펴보았습니다.
그 결과 해당 조사의 설문지에서 그 해답을 찾아낼 수 있었습니다.
간편결제에 쓰이는 공인인증서?
해당 조사의 설문은 가장 보안성이 높다고 생각하는 인증방법을 물어본 것이 아니었습니다. 정확히는 스마트폰 간편결제 서비스를 이용하기 위해 사용되는 최초 인증방법 중 어떤 것이 가장 보안성이 높다고 생각하는지입니다. 최근 공인인증서와 액티브 액스를 사용하지 않는 결제 방식을 이른바 ‘간편결제’라고 부르고 있는데, 이 같은 설문 구성은 다분히 간편결제 시대에서도 다시 공인인증서가 사용되어야 한다는 결론을 도출하기 위한것이 아닌가 하는 의심마저 듭니다.
설문지에서 1)공인인증서와 함께 선택지로 제시된 인증방법은 2) 신용카드 정보 인증 3) SMS 및 ARS 4) ID-PW인증이었습니다.
[그림1] 금융보안연구원 설문지 구성
설문의 문제점 : 불완전한 선택지 구성
그러나 위 설문의 선택지 구성은 정확하다고 볼 수 없습니다. 현재 사용되는 인증방법을 모두 열거한 것도 아니며, 공인인증서 외에 나머지 인증방법들에 사용되는 다양한 구현방식이나 보안기술에 대해서는 아무런 정보도 제공하고 있지 않습니다. 이용자들이 추가적인 정보 없이 각 인증방법이 가진 보안 취약성에 대해 온전히 알고 있다고 보기도 어렵습니다.
더욱이 최근 금융기관들은 공인인증서 인증에 SMS나 ARS 등 추가 인증을 요구하고 있고, 신용카드 정보 인증과 SMS, ARS인증도 함께 사용되는 사례가 많습니다. 최초 가입시에 오로지 ID/PW만으로 본인인증을 하는 서비스가 있었던가요? 결국 선택지 상 인증방법은 대부분 중복적으로 사용되고 있는데, 일반적인 이용자가 과연 각 어떤 선택지가 더 안전한 인증방법인지 정확히 구분할 수 있을까요?
특히 애플페이와 같은 생체정보를 이용한 본인인증 방법은 왜 선택지에서 빠졌는지 매우 궁금합니다. 다른 질문지에서는 분명히 생체정보를 이용한 기술에 대한 인식을 묻고 있기 때문입니다. 설문의 선택지는 아래와 같은 인증방법에 대한 일반적 구분방식을 제대로 반영하고 있지 못하고 있는 것입니다.
[그림 2] 지식기반, 소지기반, 생체기반으로 나뉘는 일반적 인증방법 구분 방식
출처 : <전자인증수단 이용기반 확대를 위한 안전성 기준 연구>, KISA, 2011.
공인인증서가 만든 신화 : 불편하니까 안전하기라도 하겠지? 불편함과 보안성은 반비례?
위 설문의 문제점을 요약하면 선택지 중 공인인증서 외에 나머지 인증방법에는 어떠한 보안 기술도 사용되지 않는 것처럼 보인다는 것입니다. 공인인증서 없는 간편결제는 무조건 위험하다는 일각의 주장과도 맥이 닿아있습니다. 특히 선택지 제일 마지막에 위치한 ID/PW는 왠지 더욱 위태로워 보입니다.
이용자의 PC나 단말기에 아무런 추가 프로그램도 설치하지 않는 인증방법들과 무수히 많은 추가 프로그램을 나누어주는 공인인증서를 함께 두고 가장 안전한 인증방법을 선택하라구요? 대학생들은 공인인증서 사용을 위해 이용자의 PC에 설치되는 수많은 추가 프로그램이 보안성을 담보한다고 느꼈을 수도 있습니다.
무엇보다 현행 국내 공인인증서 구현방식에서 사실상 본인확인의 정확성(authentication)을 담보하는 것은 함께 나누어준 보안카드나 otp(일회용비밀번호생성기)인데 그 마저도 선택지에는 없었습니다. 복제 및 재발급이 용이하고 해커들의 무수한 공격에 노출되어 있는 현행 공인인증서 구현방식 하에서 공인인증서 시스템은 위 설문지에도 나와 있는 아이디와 패스워드 (ID/PW) 시스템과 다를 바 없다는 점은 이미 오픈넷에서 여러번 지적한 바 있습니다.
공인인증서 일변도의 보안현실에서 특정 ‘기술’에 대한 인식 조사는 무의미
이제 위 인식조사에 대한 본질적인 질문입니다.
과연 이용자가 보안 기술에 대해 자세히 알아야 할 필요가 있을까요? 이용자의 특정 ‘기술’에 대한 인식조사 결과가 어떤 의미가 있을까요? 이용자는 기술 전문가들이 아닙니다. 더욱이 그 동안 시장에서 공인인증서 사용이 강제되었기 때문에 현재 이용자들의 보안 기술에 관한 지식과 경험은 매우 왜곡되어 있다고 볼 수밖에 없습니다.
이용자가 실제로 접하는 것은 ‘기술’이 아니라 그 기술을 이용하여 시장에서 구현되는 ‘상품’입니다. 이용자에게 보다 중요한 것은 해당 ‘상품’이 보안 사고에 취약한지 여부, 사고가 나더라도 사고거래로 인한 손해가 충분히 배상되는지 여부에 대한 정보일 것입니다. 그동안 시장에 공인인증서라는 기술을 활용한 한 가지 유형의 ‘상품’들만 존재해왔던 우리나라 현실에서, 뜬금없이 이용자를 대상으로 다시 ‘기술’에 대한 인식 조사를 하는 것이 무의미한 이유이기도 합니다.
결국 위 조사결과는 오로지 송금자의 본인확인, 즉 이용자에게 과도하게 보안 책임이 집중된 대한민국의 불행한 현실을 보여주고 있습니다. 또한 그동안 공인인증서 사용을 위해 추가 프로그램들에게 순순히 자신의 PC를 내어주고 막연히 안전할 것이라고 생각해왔던 대학생들의 왜곡된 보안 인식을 보여주는 것 그 이상도 이하도 아닙니다.
결론 :
위 조사를 근거로 대학생들이 공인인증서를 가장 안전한 인증방법이라고 인식하고 있다고 결론 내리는 것은 정확한 해석이라고 볼 수 없습니다.
해당 조사 결과는 반대로 대학생들의 금융보안 관련 지식과 경험이 왜곡되어 있어 정확한 금융보안 관련 정보가 충분히 제공되어야 하는 상황이라고 해석되어야 합니다. 혹시 본 조사 결과가 공인인증서 의무화가 폐지된 이른바 간편결제 시대에서도 공인인증서가 계속 사용되어야한다는 근거로 활용되지 않을까 걱정입니다.
부연 :
국내거주 외국인(미국 변호사)의 눈에 비친 국내 금융보안 현실이 궁금하신 분은 아래 링크를 참조해주시기 바랍니다.
- “한국에선 온라인 쇼핑 포기했어요” (블로터 15.01.21.)
- http://www.bloter.net/archives/218543
0 Comments