공인인증서, 쇼핑몰 보다 더 큰 문제는?
OSS
게시글 작성 시각 2014-03-31 17:41:09
2014년 03월 29일 (토)
ⓒ 지디넷코리아, 손경호 기자 sontech@zdnet.co.kr
공인인증서가 국내 온라인 쇼핑몰 이용의 걸림돌이 돼왔다는 박근혜 대통령의 지적에 따라 대안 결제방식에 대한 논의가 한창이다.
문제는 공인인증서를 통한 신원확인, 전자문서 위변조 방지, 거래내역 부인방지 기능이 국내 환경에서 더이상 안전성을 보장할 수 없다는 점이다.
해외 온라인 쇼핑몰 이용자들이 결제에 불편함을 겪고 있다는 것보다 중요한 것은 인터넷뱅킹에 사용된 보안방식이 이미 수차례 해커에게 노출돼 피해를 입혀왔다.
현재로서는 공인인증서를 활용하는 방식은 그대로 두되 액티브X를 걷어내고 웹표준으로 거론되고 있는 HTML5를 기반으로 웹브라우저에 추가적인 기능을 기본탑재하도록 하자는 쪽으로 무게가 실리고 있다. 한국인터넷진흥원(KISA)가 최근 입찰공고한 'HTML5 기반 공인인증서 발급 및 이용 프레임워크 개발 용역'이 이 같은 흐름을 보여준다.
보안 관점에서 공인인증서에 활용된 공개키기반구조(PKI)는 현재까지 알려진 암호화 통신 방법 중 가장 안전한 것으로 평가되고 있다.
▲ 공인인증서를 활용한 인터넷뱅킹이 유지될지, 다른 결제방식이 추가로 도입될 수 있을지는 사용자인 국민들의 선택에 달렸다.
그러나 아무리 PKI를 활용한 공인인증서가 안전하다고 하더라도 이로 인한 피해가 속출하고 있다는 점은 금융당국이 공인인증서를 바탕으로 한 인터넷뱅킹의 허점을 보완할 수 있는 새로운 보안대책 마련에 소홀히 해왔다는 책임을 피할 수 없다. 비공인인증서 방식의 보안대책 논의가 오랫동안 지속돼 온 것도 이런 이유 때문이다.
이 과정에서 금융회사들은 정부가 인정해 준 공인인증서를 활용하고 있는데도 사고가 났다는 식으로 책임을 회피해왔다.
해커가 다른 사람의 계정을 도용해 인터넷뱅킹으로 자금을 인출하기 위해서는 크게 사용자 PC에 저장된 공인인증서 및 개인키, 인터넷뱅킹 화면에서 공인인증서를 활용하기 위한 비밀번호, 은행으로부터 발급 받은 보안카드 번호 등이 필요하다.
지난해에는 가짜 은행사이트(파밍 사이트)를 만들어 사용자들에게 보안승급 등을 요청하면서 보안카드 번호 전체를 입력하게 하거나, 공인인증서 로그인을 위한 비밀번호를 입력하라는 등의 수법으로 정보가 유출되는 일이 잦았다. 해커 입장에서는 이에 더해 추가적으로 공인인증서, 각 PC에 저장된 개인키만 훔쳐내면 다른 사람 명의로 인터넷뱅킹을 할 수 있게 된 것이다.
이처럼 모든 정보를 훔쳐내는 대신 사용자PC에서 계좌이체가 일어나는 순간 해당 정보를 다른 계좌, 다른 이체금액으로 바꿔치기하는 일명 '메모리 해킹' 수법이 활개를 치기도 했다.
두 가지 수법은 모두 어떤 경로를 거쳐서 사용자 PC가 악성코드에 감염돼야만 가능한 일이다. 보안에 소홀히 한 사용자에게도 책임이 있는 셈이다. 그렇다고 하더라도 최종적으로 고객들의 안전한 거래를 책임져야할 금융회사들에게 면죄부가 주어지는 것은 아니다.
공인인증서 기반 인터넷뱅킹에 대한 금융회사 차원에서 모색해 볼 수 있는 대책은 크게 두 가지로 진행되고 있다.
먼저 공인인증서를 활용한 인터넷뱅킹 과정에서 발생하는 보안취약점을 최소화하는 일이다. 금융위원회는 지난해 9월25일 공인인증서 발급 및 재발급, 인터넷뱅킹을 통한 1일 누적 300만원 이상 이체시 문자, ARS를 통한 전화인증 등 추가 본인확인절차를 거치도록 했다. 이밖에도 파밍 사이트 여부를 확인하기위해 금융당국은 은행들에게 그래픽인증, 나만의 주소서비스, 개인화 이미지 등 다양한 방법을 동원하도록 의무화 지침을 내리기도 했다.
법도 개정됐다. 지난해 5월22일부터 시행된 개정 전자금융거래법 제9조에는 금융회사, 전자금융업자가 접근매체(공인인증서 등)의 위변조로 인한 사고가 발생했을 때 책임을 지도록 명문화했다. 기존에 공인인증기관이 과실이 없었다는 점을 입증하면 손해배상책임이 면제되는 법(전자서명법 제26조)에서 한층 강화된 조항이다.
다른 방법으로는 국내에서 표준처럼 사용되고 있는 공인인증서 대신 금융회사들이 그에 준하는 다른 방법을 활용해 보안성을 확보하는 방법이다. 이러한 논의는 오픈넷 등 시민사회단체, 창조경제연구회 이민화 이사장 등이 줄기차게 요구했던 사항이다. 은행들이 알아서 비공인인증서 방식으로 인터넷뱅킹을 안전하게 사용할 수 있는 방법을 모색하라는 것이다.
지난달 '공인인증서와 인터넷 개방성'이라는 주제로 개최된 공개포럼에서 이민화 이사장은 "금융거래 형태에 맞춰 다양한 금융인증방법을 금융기관에게 넘겨주고, 그로 인해 벌어진 책임은 징벌적 배상제를 포함해 금융기관이 스스로 부담하게 해야한다"고 주장했다.
인터넷뱅킹에서 발생하는 사고를 막기위해서는 공인인증서 체계에 보안성을 높이는 방법과 함께 비공인인증서 방식으로도 충분한 보안성을 갖출 수 있는 수단이 마련돼야 할 것으로 보인다.
이 사안에 대해 국내 보안 업계 관계자는 "인터넷뱅킹시 공인인증서를 내가 갖고 있으면 본인이 책임주체가 되는 것이고, 공인인증서 체계를 유지하지 않으면 은행이 책임을 지게 되는 것"이라고 말했다.
오랫동안 공인인증서 사용에 따르는 불편함을 겪으면서, 보안 사고의 피해자가 돼 온 국민들이 요구하지 않는 이상 은행이 직접 나서서 책임을 짊어지지는 않을 것으로 예상된다. 선택은 사용자인 국민의 몫으로 남아있다.
문제는 공인인증서를 통한 신원확인, 전자문서 위변조 방지, 거래내역 부인방지 기능이 국내 환경에서 더이상 안전성을 보장할 수 없다는 점이다.
해외 온라인 쇼핑몰 이용자들이 결제에 불편함을 겪고 있다는 것보다 중요한 것은 인터넷뱅킹에 사용된 보안방식이 이미 수차례 해커에게 노출돼 피해를 입혀왔다.
현재로서는 공인인증서를 활용하는 방식은 그대로 두되 액티브X를 걷어내고 웹표준으로 거론되고 있는 HTML5를 기반으로 웹브라우저에 추가적인 기능을 기본탑재하도록 하자는 쪽으로 무게가 실리고 있다. 한국인터넷진흥원(KISA)가 최근 입찰공고한 'HTML5 기반 공인인증서 발급 및 이용 프레임워크 개발 용역'이 이 같은 흐름을 보여준다.
보안 관점에서 공인인증서에 활용된 공개키기반구조(PKI)는 현재까지 알려진 암호화 통신 방법 중 가장 안전한 것으로 평가되고 있다.
▲ 공인인증서를 활용한 인터넷뱅킹이 유지될지, 다른 결제방식이 추가로 도입될 수 있을지는 사용자인 국민들의 선택에 달렸다.
그러나 아무리 PKI를 활용한 공인인증서가 안전하다고 하더라도 이로 인한 피해가 속출하고 있다는 점은 금융당국이 공인인증서를 바탕으로 한 인터넷뱅킹의 허점을 보완할 수 있는 새로운 보안대책 마련에 소홀히 해왔다는 책임을 피할 수 없다. 비공인인증서 방식의 보안대책 논의가 오랫동안 지속돼 온 것도 이런 이유 때문이다.
이 과정에서 금융회사들은 정부가 인정해 준 공인인증서를 활용하고 있는데도 사고가 났다는 식으로 책임을 회피해왔다.
해커가 다른 사람의 계정을 도용해 인터넷뱅킹으로 자금을 인출하기 위해서는 크게 사용자 PC에 저장된 공인인증서 및 개인키, 인터넷뱅킹 화면에서 공인인증서를 활용하기 위한 비밀번호, 은행으로부터 발급 받은 보안카드 번호 등이 필요하다.
지난해에는 가짜 은행사이트(파밍 사이트)를 만들어 사용자들에게 보안승급 등을 요청하면서 보안카드 번호 전체를 입력하게 하거나, 공인인증서 로그인을 위한 비밀번호를 입력하라는 등의 수법으로 정보가 유출되는 일이 잦았다. 해커 입장에서는 이에 더해 추가적으로 공인인증서, 각 PC에 저장된 개인키만 훔쳐내면 다른 사람 명의로 인터넷뱅킹을 할 수 있게 된 것이다.
이처럼 모든 정보를 훔쳐내는 대신 사용자PC에서 계좌이체가 일어나는 순간 해당 정보를 다른 계좌, 다른 이체금액으로 바꿔치기하는 일명 '메모리 해킹' 수법이 활개를 치기도 했다.
두 가지 수법은 모두 어떤 경로를 거쳐서 사용자 PC가 악성코드에 감염돼야만 가능한 일이다. 보안에 소홀히 한 사용자에게도 책임이 있는 셈이다. 그렇다고 하더라도 최종적으로 고객들의 안전한 거래를 책임져야할 금융회사들에게 면죄부가 주어지는 것은 아니다.
공인인증서 기반 인터넷뱅킹에 대한 금융회사 차원에서 모색해 볼 수 있는 대책은 크게 두 가지로 진행되고 있다.
먼저 공인인증서를 활용한 인터넷뱅킹 과정에서 발생하는 보안취약점을 최소화하는 일이다. 금융위원회는 지난해 9월25일 공인인증서 발급 및 재발급, 인터넷뱅킹을 통한 1일 누적 300만원 이상 이체시 문자, ARS를 통한 전화인증 등 추가 본인확인절차를 거치도록 했다. 이밖에도 파밍 사이트 여부를 확인하기위해 금융당국은 은행들에게 그래픽인증, 나만의 주소서비스, 개인화 이미지 등 다양한 방법을 동원하도록 의무화 지침을 내리기도 했다.
법도 개정됐다. 지난해 5월22일부터 시행된 개정 전자금융거래법 제9조에는 금융회사, 전자금융업자가 접근매체(공인인증서 등)의 위변조로 인한 사고가 발생했을 때 책임을 지도록 명문화했다. 기존에 공인인증기관이 과실이 없었다는 점을 입증하면 손해배상책임이 면제되는 법(전자서명법 제26조)에서 한층 강화된 조항이다.
다른 방법으로는 국내에서 표준처럼 사용되고 있는 공인인증서 대신 금융회사들이 그에 준하는 다른 방법을 활용해 보안성을 확보하는 방법이다. 이러한 논의는 오픈넷 등 시민사회단체, 창조경제연구회 이민화 이사장 등이 줄기차게 요구했던 사항이다. 은행들이 알아서 비공인인증서 방식으로 인터넷뱅킹을 안전하게 사용할 수 있는 방법을 모색하라는 것이다.
지난달 '공인인증서와 인터넷 개방성'이라는 주제로 개최된 공개포럼에서 이민화 이사장은 "금융거래 형태에 맞춰 다양한 금융인증방법을 금융기관에게 넘겨주고, 그로 인해 벌어진 책임은 징벌적 배상제를 포함해 금융기관이 스스로 부담하게 해야한다"고 주장했다.
인터넷뱅킹에서 발생하는 사고를 막기위해서는 공인인증서 체계에 보안성을 높이는 방법과 함께 비공인인증서 방식으로도 충분한 보안성을 갖출 수 있는 수단이 마련돼야 할 것으로 보인다.
이 사안에 대해 국내 보안 업계 관계자는 "인터넷뱅킹시 공인인증서를 내가 갖고 있으면 본인이 책임주체가 되는 것이고, 공인인증서 체계를 유지하지 않으면 은행이 책임을 지게 되는 것"이라고 말했다.
오랫동안 공인인증서 사용에 따르는 불편함을 겪으면서, 보안 사고의 피해자가 돼 온 국민들이 요구하지 않는 이상 은행이 직접 나서서 책임을 짊어지지는 않을 것으로 예상된다. 선택은 사용자인 국민의 몫으로 남아있다.
※ 본 내용은 (주)메가뉴스(http://www.zdnet.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 지디넷코리아. 무단전재 및 재배포 금지
[원문출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20140328182433]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 363983 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 353773 | 2020-10-27 |
2860 | 정부, 차세대 웹표준 `HTML5`…보안기술 개발 시동 | 4031 | 2014-03-31 |
2859 | 공인인증서, 쇼핑몰 보다 더 큰 문제는? | 3362 | 2014-03-31 |
2858 | 진저브레드, 안드로이드 중 충돌률 가장 높아… iOS7도 비슷 | 4180 | 2014-03-31 |
2857 | NIPA, SW인재 저변 확충 지원과제 공모 | 3724 | 2014-03-31 |
2856 | 센트OS 흡수한 레드햇, 리눅스 파편화 줄인다 | 4402 | 2014-03-31 |
2855 | APM 솔루션 '제니퍼' UI컴포넌트, 오픈소스로 공개한다 | 3817 | 2014-03-31 |
2854 | 구글·링크드인·트위터·페북, DB개발 손잡다 | 3968 | 2014-03-31 |
2853 | [알아봅시다] 세계 빅데이터 특허출원 동향 | 3599 | 2014-03-31 |
2852 | 유진로봇 “사물인터넷서 한 단계 진화…매출 이미 발생” | 3589 | 2014-03-28 |
2851 | 페이스북·구글·트위터·링크드인, 오픈소스 MySQL 프로젝트 참여 | 4270 | 2014-03-28 |
0개 댓글