Q. 공인인증서, ActiveX를 이용한 금융거래 보안프로그램의 신뢰도가 점점 낮아지고 있다. 금융권에서 보안신뢰도를 높이기 위하여 앞으로 어떻게 활용하고 폐기, 개선할지에 대한 계획이 나와 있는가?

A-1. 공인인증서의 경우 전자금융거래 시, 필요한 사용자 인증과 금융거래 인증수단으로, 별도의 플러그인 또는 외부 프로그램을 이용해야 하며 개인키 파일의 유출 등 관리적 취약점이 발생할 가능성이 있다.

또 ActiveX는 키보드 해킹 방지 프로그램 등 보안솔루션에 적용된 플러그인 기술로 보안 프로그램을 사칭한 악성프로그램의 설치 위협이 존재한다. 그러나 공인인증서가 가지는 법적·기술적 효력과 보안프로그램 등이 제공하는 보안기능은 현 전자금융거래 환경의 안전성과 신뢰성 확보를 위한 최소한의 안전장치이다.

이를 개선하기 위해서는 우선 금융회사는 공인인증서의 관리적 취약성 해소를 위한 하드웨어 장치의 안전성 강화 및 특정 운영체제에 종속적인 플러그인 사용의 최소화가 필요하다. 또 금융당국은 해당 문제점의 해소를 위한 제도 개선 연구 등의 노력이 요구된다.
(금융보안연구원)

A-2. 공개키기반구조(PKI)란 기술을 바탕으로 만들어진 전자서명인 공인인증서는 인터넷뱅킹 등 온라인 거래를 할 때 본인임을 확인해주는 일종의 전자인감이라고 할 수 있다. 그러나 일각에서는 소수의 기관에서 발행하는 공인인증서의 독점으로 인해 국내 보안기술의 발전이 저해되어 왔다는 이유와 공인인증서의 유출사고로 인한 금융피해가 빈번하다면서 ‘보안을 위해 설치한 제도가 사용자들에게 불편만을 주고 오히려 사용자 보호에는 효과가 없는 것이 아니냐’는 주장도 나오고 있다.

이러한 공인인증서 보안문제의 핵심에 있는 것이 바로 ActiveX이다. ActiveX는 인터넷 익스플로러에서 플러그인 프로그램을 설치하기 위해 MS사가 도입한 프레임워크로서 공인인증서를 사용하기 위해 ActiveX를 구동하는 과정에 발생하는 보안위협에 사용자의 컴퓨터가 무방비로 노출되는 문제점을 안고 있다. 이런 이유로 공인인증서 자체가 문제가 아니라 이를 사용하기 위해 설치해야 하는 ActiveX가 문제라는 지적이 제기되고 있다.

공인인증서의 수학적 개념인 알고리즘은 현재도 쉽게 풀릴 수 없는 개념으로 완벽에 가깝고 공인인증서에 대해 공인된 대안이 없다는 의견이 있는 반면, 대체할만한 수단이 없다는 것은 공인인증서에 관련된 이해관계 업계의 주장에 불과하고 전 세계가 한국형 공인인증서 없이 한국보다 적은 금융 사고율을 보이면서 인터넷 금융을 하고 있는 현실을 직시해야 하며, ActiveX에 최적화된 공인인증서는 SSL 암호화 방식이 아닌 개인키를 파일로 보관하기 때문에 해커들의 공격에 취약하다는 등 의견이 엇갈리고 있다.

공인인증서의 문제점을 지적하는 목소리가 높아지자 전자금융거래법 개정안을 통해 공인인증서 사용을 의무화하는 정책을 폐지하기도 했다. 개정안의 취지는 공인인증 제도를 폐지하자는 게 아니라, 독점을 풀어 금융사가 자율적으로 금융보안 수단을 결정할 수 있도록 하자는 것으로서 아직까지는 공인인증서의 존폐유무에 대한 구체적인 윤곽은 없다.

하지만 ActiveX를 이용해 공인인증서를 사용하는 방법은 분명 문제가 있고 전 세계적으로 사용하는 인증 방식에 대한 검토가 필요한 것은 사실이다.
(홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>