유심(USIM) 저장 인증서: 양손잡이를 위한 전자서명 솔루션?

by | Jul 8, 2013 | 오픈블로그, 혁신과 규제 | 0 comments

며칠 전에 보도된 내용입니다만, LG U+가 LTE스마트폰 유심칩에 이용자가 자신의 공인인증서를 설치하고, 그런 스마트폰으로 이용자가 공인인증서를 사용할 수 있도록 하겠다고 그 포부를 밝혔습니다.
뭘 어떻게 하면 된다는 것인지를 간단히(?) 설명 드리겠습니다.

  1. 먼저 LG U+로 이통사를 바꾸고(이미 LG U+고객이라면 이 절차는 불필요), 비싼 LTE기종의 안드로이드 폰을 마련합니다. 기계값 할부금까지 해서 매달 10만원 가량은 지를 각오를 하면 되겠죠.
  2. 구글 플레이 스토어에서 유심공인인증서비스 앱을 자신의 스마트폰에 설치합니다.
  3. 이 앱을 실행하고, 화면에 표시되는 안내에 따라 현재 PC/USB/스마트폰SD카드 등에 ‘위험하게’ 저장되어 있는 공인인증서를 LTE폰 유심칩에 ‘안전하게’ 설치합니다(이와 관련해서는 아래 추가 설명 필히 참조).
  4. 그러고 나면, 외환, 수협, 몇몇 지방은행(광주,경남,제주)을 제외하고는 유심칩저장 인증서를 사용할 수 있습니다. 하지만 쇼핑거래에서는 LTE폰 유심칩에 ‘안전하게’ 설치된 공인인증서는 현재 사용이 불가능합니다. 여기 참조. 이용가능한 은행 고객이 아니신 분들은 심심할 때 공인인증서가 유심칩에 아직도 안전하게 잘 저장되어 있는지 한번씩 열어보는 취미를 기르시기 바랍니다.
  5. 이용 가능 은행의 고객은 온라인 뱅킹 거래때 공인인증서창이 뜨면, 공인인증서 저장위치를 “모바일-유심”으로 선택해야 합니다. 그러면 자신의 휴대폰 번호를 입력하는 창이 뜹니다. 거기에 자기 전화번호를 입력하면 휴대폰으로 메세지가 “삐리리” 하고 전달되고 이 메세지가 안내하는대로 유심공인인증서 앱을 LTE휴대폰에서 그때 ‘잽싸게’ 실행해야 합니다.
  6. 그러면 PC의 공인인증서 창에, 휴대폰 유심칩에 저장된 자신의 공인인증서가 선택 가능하게 나타나게 됩니다. 이렇게 혜성같이 PC화면에 모습을 드러낸 자신의 공인인증서를 선택하고 인증서암호 입력창(PC)에 “서비스 비밀번호”(인증서 암호가 아닙니다)를 입력하고 확인을 누릅니다. 그러면 다시 LTE폰에서 또 한번 확인을 누르라는 안내가 표시되고, 여기서 확인을 누르면 마침내 전자서명이 이루어집니다! 축하합니다, 성공하셨쎄요. 오른손으로 LTE폰을 조작하고, 왼손으로 PC를 조작하며, 오른쪽 눈으로는 LTE폰, 왼쪽 눈으로 PC의 공인인증서 암호입력창을 동시에 관찰, 파악할 수 있는 양눈/양손 잡이의 경우는 확실히 편리할 것입니다. 그렇지 못하면 수십번 이체연습을 하시면 익숙하게 전자서명하실 수 있을 것이고, 친구들을 불러놓고 자랑할 수 있을 수준이 될 것입니다. 아무나 할 수 있는 묘기는 아니니까요.

이런 훌륭한 서비스가 올해 11월달까지는 무료이고, 그 다음부터는 돈을 (얼마인지는 모르지만) 내지 않으면 유심칩 인증서는 사용할 수 없습니다.
두가지 중요한 점을 언급하고자 합니다.
첫째, 여태까지 USB, PC, 안드로이드폰의 SD카드에 함부로 저장해 둔 공인인증서가 사실은 매우 위험한 것이었다는 사실을 이제 LG U+가 공개적으로 시인하고 있습니다. 여기

“지금까지는 보안이 취약한 PC나 USB 및 SD메모리 카드를 이용하여 공인인증서를 저장하였지만, 본 서비스는 해킹이 불가능한 USIM칩에 공인인증서를 저장하여 보안을 극대화한 보안 서비스 입니다.”

그리고, ‘인증서 비밀번호’도 사실은 별로 안전한 보호장치가 아니었다는 사실도 이제 실토하고 있습니다:

“인증서의 비밀번호가 아닌 보안토큰(USIM 공인인증)의 서비스 비밀번호를 사용하기에 안전성이 더욱 뛰어 납니다.”

오픈넷/오픈웹은 그동안 국내 공인 인증서가 매우 허술하고, 아무나 묻지마 복사 가능한 파일에 불과하고 비밀번호도 쉽게 유출된다는 점을 거듭 지적했지만, 공인인증업체는 ‘오리발’을 내밀며 부인해왔습니다. 이제 LG U+와 라온시큐어(보안업체)가 산통을 깨는 발언을 하면서 최초로 ‘커밍 아웃’을 한 것입니다.
둘째, 유심칩에 ‘안전하게’ 공인인증서를 저장하고 나면, 다시는 그것을 다른 곳으로 이동하거나 복사할 수 없습니다(삭제만 가능). 그래서, 기존의 ‘위험한’ 공인인증서를 그대로 USB/PC/SD카드에 그대로 저장해 두고 사용한다? 그렇게 하면, 안전한 유심칩 설치 공인인증서는 있으나마나 한 것이 됩니다. 공격자는 유저가 삭제하지 않은 ‘기존’의 공인인증서(+인증서 암호)를 베껴가서, 그것으로 유저 행세를 완벽하게 할 수 있습니다. 유심칩 공인인증서를 ‘어렵게’ 사용하는 보람이 있으려면, 기존의 ‘위험한’ 공인인증서는 모두 삭제하는게 옳습니다.
물론, PC의 공인인증서 프로그램과 유심공인인증앱 간의 연락 체널이 어느 정도 안전한지는 아직 검증되지 않았고, 이런 저런 공격방법은 조만간 등장할 것입니다. 따라서 유심칩 공인인증서가 ‘실제로’ 안전한지는 두고 볼 일입니다. 유심칩 공인인증서는 복제가 불가능한 것은 맞고, 이점은 물론 훌륭한 장점입니다. 하지만, PC의 공인인증 플러그인이 안고있는 취약점을 적절히 활용하면, 공격자가 유심칩 공인인증서를 굳이 입수하지 않고, 고객이 엉뚱한 내용을 전자서명하게 하는 방법으로 공격이 이루어질 여지는 언제나 있습니다.
하여간 양손과 양눈을 동시에 사용하실 수 있는 소수의 선택받은 분들에게는 희소식일 듯. 그러나 이런 ‘독특한’ 서비스가 나왔다고 해서 공인인증서 사용을 “쫌만더 강제해주세여”라는 찌질한 부탁을 들어줘야 할 이유는 없다고 생각합니다.
공인인증서 사용 ‘강제’체제는 오는 9월 정기국회에서 마침표를 찍고, 앞으로는 원하는 은행/카드사에 한하여 이런 양눈/양손 잡이용 유심저장 인증서를 사용할 수 있도록 선택권을 보장하면 될 것입니다.

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

최신 글