회사원 박세환(34·가명)씨는 송금이나 계좌 확인 등이 필요하면 바쁜 시간을 쪼개 은행을 직접 방문한다. 인터넷 뱅킹을 이용하면 간단하지만 지난해 한 지인이 PC에 저장해 둔 공인인증서가 해킹돼 예금 수 백 만원이 무단 인출되는 사고를 겪은 이후 공인인증서 안전에 대한 불신이 생겼기 때문이다. 박씨는 "내 PC도 해킹 당할 수 있다는 생각에 공인인증서를 모두 폐기했다" 고 말했다.
최근 몇 년 사이 공인인증서를 통한 크고 작은 인터넷 뱅킹 해킹 사례가 잇따르고 있다. 인터넷 뱅킹 뿐 아니라 증권거래,전자상거래 등에서 필수적인 공인인증서. 사용자에게는 번거로울 정도로 이중삼중 보안을 요구하면서 이렇게 맥없이 해킹을 당하는 이유는 무엇일까?
◆ '공인인증서' PC에 저장하는 순간부터 해킹 위험
해킹 가능성이 있는 공인인증서는 인증서를 PC 하드디스크에 저장하는 순간부터 위험이 시작된다. 사용자가 PC에 저장한 공인인증서로 금융거래를 하기 위해서는 별도의 부가 프로그램을 컴퓨터에 설치해야 한다.
이때 해킹 방지, 암호화 프로그램 등이 모두 '액티브 엑스(ActiveX)' 방식으로 설치된다는 점에 문제가 있다. 돈을 노린 해커가 만든 '액티브 엑스'가 PC에 깔릴 경우 각종 바이러스와 스파이웨어 같은 악성코드에 감염될 수 있는 것이다. 전문가들은 '액티브 엑스'를 위장한 악성코드가 설치될 경우 PC에 저장된 공인인증서의 무단복제를 막을 방법이 없어 보안상 심각한 문제를 일으킬 가능성을 갖고 있다고 말한다.
김기창 고려대 법학전문대학원 교수는 "이용자들은 별도의 프로그램(ActiveX)을 설치하라는 메시지를 보게 되면 공인인증서를 사용하기 위해 어쩔 수 없이 ‘예’를 누르게 되는데 이 때 해킹의 위험에 그대로 노출되는 것" 이라며 "부가 프로그램을 필요로 하는 공인 인증서는 국내 보안업체들과 관련 기관 이득만 취하게 하고 국민의 PC는 안전으로부터 멀어지게 만든다"고 주장했다.
공인인증서는 1999년에 등장해 10년만인 지난 해 12월 발급건수 2192만 건을 돌파했다. 인터넷 뱅킹 이용자만 하루 평균 2900만 건, 거래금액 30조원에 달할 정도로 급성장을 했다. 하지만 최근 들어 공인인증서를 이용한 인터넷 뱅킹 해킹 사고가 이어지면서 안전성에 대한 불신도 함께 커지고 있다.
◆ '손안의 PC' 스마트폰도 뱅킹 서비스 보안 취약
'손안의 PC'로 불리며 요즘 최대 이슈로 떠오른 스마트폰 역시 금융거래에 있어 해킹의 위험에서 자유롭지 않다. 금융권에서는 인터넷 뱅킹 이용자의 상당수가 스마트폰 뱅킹 서비스로 이동할 것으로 예상하고 있다.
하지만 스마트폰이 PC보다 보안에 더욱 취약하다는 점에서 관련 대책이 시급하다는 지적이 나오고 있다. 스마트폰이 인터넷뱅킹과 마찬가지로 공인인증서와 백신프로그램 등을 설치할 계획으로 알려지면서 PC에서 발견된 오류가 스마트폰에서 재현될 수 있다는 우려도 만만치 않다.
지난달 행정안전부는 공인인증서를 PC에 저장하지 않도록 의무화하는 방안을 추진하기로 했다. 단계적으로 공인인증서의 PC저장을 줄여 오는 2013년에는 사용자들이 공인인증서를 PC에 저장하지 않도록 한다는 것이다. 이 대책의 실효성 여부와 USB 등 저장수단 등이 대안이 될 수 있는지에 대해서는 회의적인 의견도 적지 않다.
◆ 공인인증서 PC저장 금지..이용자 반발 예상
현재 공인인증서 이용자의 70% 이상이 인증서를 하드디스크에 저장해 사용하고 있다. '편리성'이 가장 큰 이유다. 그런데 하드디스크 대신 USB에 인증서를 저장했다가 잃어버린다면 보안에 더 문제가 생길 수 있다는 지적도 있다.
정보보안 전문가들은 "공인인증서 하드디스크 저장 금지는 보안성 강화를 위한 근본적인 대책이 될 수 없다"며 "하드디스크든 USB든 파일 시스템 타입으로 저장하는 방법은 보안에 취약하니 국제 표준을 따른 대안을 찾아야 한다"고 주장한다.
정부도 USB에 인증서를 저장하는 것이 완벽하게 보안이 되지 않는다는 것을 알고 있다. 행정안전부 장영환 정보보호정책과장은 "보안토큰(HSM)을 통한 공인인증서 저장을 확산시키고,스마트폰과 같은 휴대용 뱅킹 서비스가 늘어날 것으로 예상되면서 인증서, 비밀번호 보안을 위해 정부가 금융결제원 등과 기술적인,제도적인 대책을 강구하고 있다"고 말했다.
◆ 보안토큰 등 의무화 확산..비용 부담은 누가?
공인인증서를 보안토큰(HSM-전자서명생성키 등 비밀정보를 안전하게 저장,보관할 수 있는 하드웨어 장치)등 휴대용 저장매체에 저장해 사용하도록 하는 방안이 안전성을 높이는 대안으로 고려되고 있다. 정부는 현재 국민은행의 프리미엄 고객과 농협 등에서만 보급하는 보안토큰(HSM)을 공인인증서 가입자가 쉽게 구입할 수 있도록 올 연말까지 관련 기관과 협의를 추진한다는 계획이다.
이에 대해 순천향대 정보보호학과 염흥열 교수는 "장기적으로 보안토큰을 사용하는 것이 해킹 발생 가능성을 줄일 수 있지만 1만원~3만5000원 정도의 비용을 누가 부담할 것이냐를 두고 또 다른 문제가 발생한다" 고 말했다.
전자금융으로 거래를 할 때마다 새로운 비밀번호를 사용해 보안성을 강화하는 OTP(one-time password·일회용비밀번호생성기)에 대한 관심도 높다. 이 장치는 로그인을 할 때마다 비밀번호를 새로 생성하기 때문에 번거로움은 있지만 은행,증권사 등 발급기관에 관계없이 한번 발급 받으면 다른 금융기관에서도 거래를 할 수 있기 때문에 해킹의 위험을 크게 줄일 수 있다. 금융보안연구원 성재모 정보보안본부장은 "공인인증서 보안에 대한 요구가 커지면서 현재까지 350만명 정도가 OTP 발급(발급비용 2000~5000원)을 받은 상태다. " 고 말했다.
그 동안 금융권에서는 보안 1등급(인터넷 자금이체한도 하루 5억원)이나 프리미엄 고객을 대상으로 보안토큰과 OTP생성기 이용을 의무화해 왔다. 하지만 최근 소액 결제 피해가 계속되는 만큼 보안 강화와 표준화된 보안 기술 개발이 절실하다는 지적이다.
(이 기사의 내용은 4일 밤 9시50분, 11시50분, 5일 오전 8시 50분, 10시 50분 비즈니스앤TV를 통해 더 자세하게 시청하실 수 있습니다.)