공인인증서 의무화 논쟁 및 SSL+OTP 기술과 경합
최근 스마트폰 활성화에 따라 공인인증서의 보안 이슈가 또다시 여론의 도마에 오르고 있는 가운데 공인인증서의 보안성을 진단하고 대책마련을 위한 토론회가 한국정보보호학회의 주최로 25일 삼성동 코엑스 컨퍼런스룸 318호에서 개최됐다.

‘공인인증서 보안문제 진단 및 대책마련을 위한 토론회’라는 주제로 개최된 이날 토론회의 핵심은 두 가지로 요약된다. 첫 번째는 공인인증서의 의무화 유지가 정당한가 하는 부분이고, 두 번째는 전자거래에 있어 공인인증서와 SSL+OTP 기술의 경합이었다.

공인인증서는 2000년부터 전자금융거래에 필수적으로 요구되는 보안 서명 수단이다. 그러나 그동안 액티브엑스 기술을 이용해 많은 사용자들이 불편함을 호소했으며, 웹 표준화에도 준하지 않아 인터넷 익스플로러 이외의 브라우저에서는 지원이 안 되는 단점이 있었다. 그리고 보안적인 관점에서는 분실로 인한 부인방지 기능 상실이라는 이슈가 제기되고 있었다.

SSL(Secure Sockets Layer)은 글로벌 표준 통신보안접속 수단으로 방통위의 보안서버 활성화 정책으로 이미 우리나라에서도 많이 이용하고 있는 기술이다. 그리고 이용할 때 마다 패스워드를 자동을 생성해주는 OTP(One Time Password) 역시 이미 국내 인터넷 뱅킹에 도입돼 이용되고 있다. 그러나 부인방지 기능이 없어 전자서명으로써 공인인증서를 대처한다는 것은 무리라는 의견이 팽배하다.

토론회 참가자
    주  장
페이게이트 이동산 이사 오픈웹 김기창 대표
- 공인인증서 의무화 바젤위원회 전자금융 위험관리 준칙 위배 - 공인인증서보다 OTP+SSL가 더 효율적 - OTP+SSL에도 부인방지 기능 적용 가능해
한국정보보호학회 임종인 회장
사회자
KISA 김홍근 단장
△ 정부 기관 측 참가자 - 공인인증서 의무화 유지 입장
금융보안연구원 김영태 팀장
- 해외 인터넷뱅킹 보안현황 보고서 해명
성균관대학교 김승주 교수 한국정보인증 박광춘 이사 박언탁 소프트포럼 상무
- 공인인증서 보안 문제 우려할 정도 아니다. - 전자서명으로써 인프라 구축 돼 있어 - 부인방지 기능 중요해



이날 토론에서 가장 먼저 마이크를 잡은 것은 박광춘 한국정보인증 상무였다. 그는 기본적으로 인증서가 기술로 해석되는 것을 우려했다. 공인인증서는 전자거래를 하기 위한 수단으로 법에 의해 수행되고 있다는 이야기다. 따라서 공인인증서는 전자거래를 신뢰성 있게 하기 위한 수단인데, 이런 부분보다 기술 중심 논의가 되는 것 같다며 아쉬움을 나타냈다.

박 상무는 “공인인증서의 기술적인 논란이 아직도 존재하긴 하지만 현재 금융거래는 공인인증서의 신뢰성에 기초해 활성화 되고 있다는 점을 간과해선 안된다”고 말했다.

그리고 그는 “발급과 관련해 이용자나 서비스에 대해 발급기관이 책임지고 있으며 보험에도 들고 있다. 인증서 자체가 완벽한 것은 아니지만 OTP를 이용해 고액 거래에서도 신뢰성을 만들어 가고 있다”면서 “이런 공인인증서를 보완해가면서 발전하는 논의가 필요하지, 이걸 써야하는지 쓰지 말아야 하는지의 논의는 올바른 접근이 아닌 것 같다”고 의견을 밝혔다.

그러나 오히려 공인인증서의 의무화로 산업계의 발전이 저해되는 부분도 있다는 의견이 제시되기도 했다.

이동산 페이게이트 이사는 “IPTV나 전자책 등 하이브리드 형태의 새로운 서비스가 계속 출시되면서 공인인증서를 쓸 수 없는 IE 기반이 아닌 환경도 늘어가고 있는 상황”이라면서 “그럼에도 불구하고 서비스에서 공인인증서가 이용될 수 있을 때까지 기다리다가 시장의 기회를 놓쳐가는 상황이 계속 연출되고 있다”고 토로했다.

이날 토론회에서 김홍근 한국인터넷진흥원 단장은 “공인인증서는 인증 인프라이기 때문에 바꿔야하는 문제가 아니라 문제를 수정하고 발전하는 방향으로 논의해야 한다”는 주장을 펼쳤다.

그는 “공인인증서 자체에는 문제가 있다기보다는 금융 감독 규정에서 공인인증서를 어떻게 해야 할 것인가로 정리되는 것 같다”면서 “문제는 액티브엑스를 사용했던 상황이었던 것 같은데 이 부분은 개선되고 있다”고 말했다.

이어 박언탁 소프트포럼 상무는 액티브엑스를 써야만 했던 상황에 대해 해명했다. 박상무는 “액티브엑스 때문에 IE에 종속 됐다는 이야기는 사실과 다르다”면서 “초기에는 IE와 넷스케이프를 전부 지원했었지만 넷스케이프가 사라지면서 IE를 이용하게 됐고 액티브액스도 사용하게 됐으며, 최근 파이어폭스와 같은 다양한 웹브라우저의 이용이 늘면서 이에 대한 지원을 준비하고 있다”고 말했다.

김승주 성균관대 교수는 공인인증서의 문제는 스마트카드를 이용하면 해결할 수 있다는 입장을 밝혔다. 김 교수는 “이런 논의가 나오게 된 이슈가 캠브리지 대학의 테크니컬 보고서가 나왔었다. 그 당시 보고서 논문을 보면, 한국 인터넷 문제는 세 가지로 △액티브액스 등으로 웹브라우저가 알려주는 경고를 볼 수 없어 피싱될 수 있다는 것과 △해킹에 쉽게 노출된다는 것, △부인방지가 무력화 될 수 있다는 부분으로 요약할 수 있다”면서 “그렇다고 해서 SSL이 효과적이지도 않은 것으로 증명되고 있으며 부인방지는 사용자 개인키가 노출되지 않도록 스마트카드를 이용하면 문제가 없다”고 주장했다.

김기창 오픈웹 대표는 “공인인증서가 완벽하지 않은데도 불구하고, 여기에만 치중돼 있는 것이 안타깝다”면서 “물론 OTP도 나름 문제가 있을 수도 있다. 그러나 둘 다 문제가 있으니 공인인증서 의무화를 유지하자는 논리는 맞지 않다”면서 “개인키 복제가 가능한 인증서는 효과가 없다고 봐야하는데, 스마트카드를 이용하지 않는 공인인증서가 그런 상황이다. 그럼에도 불구 인증서에 대한 인프라 확충이 됐다고 하는 것은 문제가 있다”고 지적했다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>