"온라인결제=공인인증서? 인증수단 다양화돼야"
사단법인 오픈넷, '전자금융거래 보안기술의 다양화'를 주제로 세미나 열어
직장인 K씨는 스마트폰으로 항공권을 구매하려다가 애를 먹었다. A, B사의 신용카드는 30만 원 이상 구매 시 모바일용 ISP 애플리케이션(이하 앱)을, C, D사의 신용카드는 30만 원 이상 구매 시 카드사별 앱과 공인인증서를 설치해야 결제를 할 수 있었다. 또한 E사의 신용카드로는 30만 원 이상 구매 시 아예 구매를 할 수 없었다. 결국 카드사 앱을 설치하고, PC에서 공인인증서를 내려받고, 스마트폰으로 공인인증서를 전송하고, 결제 시 공인인증서를 선택하고, 공인인증서 비밀번호를 입력하고, 보안카드 비밀번호를 입력해야 했다. 도대체 왜 이렇게 복잡한 것인지 짜증이 났다.
대학생 L씨는 얼마 전 은행 공인인증서가 대규모로 유출됐다는 뉴스를 접했다. 평소 인터넷 쇼핑을 즐기는 L씨는 자신의 공인인증서도 안전한지 불안하기만 하다. 하지만 요즘 온라인 결제 시 공인인증서를 요구하는 곳이 대부분이다. 30만 원 이상을 카드 결제하거나 계좌이체할 때는 무조건 공인인증서를 사용해야 한다. 그는 온라인 결제 시 소비자가 다른 인증수단을 선택할 수 있는 폭이 좁은 것에 답답함을 느꼈다.
현재 국내 경제활동인구의 90%가 공인인증서를 사용하고 있고, 전체 금융거래 중 비대면 거래가 차지하는 비율이 87%에 달하며, 모바일 이용자 중 약 70%가 모바일뱅킹을 이용하고 있다. 전자금융거래가 매우 활발하게 이루어지고 있는 것. (공인인증서란 현실에서 사용하는 인감을 온라인 형태로 만든 것이다)
그러나 전자금융거래 시 안전성, 편의성에 대한 문제는 끊임없이 제기되고 있다. 전자금융거래 관련 해킹, 피싱, 악성코드 감염 등의 위험은 날이 갈수록 높아지고 있다. 또한 PC나 스마트폰에 공인인증서를 설치하고, 보안 관련 앱이나 플러그인을 설치하는 과정이 상당히 복잡하다. 더 심각한 것은 이렇게 복잡한 과정을 거치는데도 개인정보 유출이 빈번하게 일어나고 있다는 것이다. 때문에 최근 전자금융거래의 편의성, 보안기술의 안전성에 대한 보완이 필요하다는 지적이 일고 있다.
이에 오픈넷이 '전자금융거래 보안기술의 다양화'라는 주제로 세미나를 열었다. 오픈넷(이사장 전응휘, www.opennet.or.kr)은 인터넷을 자유와 개방, 공유의 터전으로 만들고 인터넷 이용자의 권리를 지키고자 출범된 사단법인이다. 오픈넷은 지난 20일 창립기념식을 치르고 본격적인 활동에 돌입했으며, 앞으로 매월 정기 세미나를 열 예정이다. 이번 세미나는 오픈넷이 개최한 첫 세미나였다.
이날 세미나에는 현행 전자금융거래의 문제점과 본인인증제도의 개선 방향에 대한 논의가 이루어졌다. 신학용 국회교육과학위원장, 오픈넷 전응휘 이사장, 고려대학교 김기창 교수, KISA(한국인터넷진흥원) 공공정보보호단 심원태 단장 등이 참석했으며, 금융감독원(이하 금감원), 전자결제업체, 보안업체 관계자들이 함께했다.
공인인증서-액티브X 중심의 거래환경이 문제
고려대학교 김기창 교수는 현행 전자금융거래의 문제점을 제기하며, 소비자에게 불편한 점들을 개선해야 한다고 말했다. 그는 전자서명법에 공인인증서 강제 규정이 없는데도 금감원이 공인인증서 사용을 강제하고 있는 것이 큰 문제라고 지적했다. 소비자나 은행이 항상 고위험 거래를 하는 것이 아닌데도 공인인증서를 꼭 사용해야만 하는 경우가 너무나 많다는 것. 문제는 공인인증서가 보안에 강한 것도 아니다. 최근에는 공인인증서가 대량 유출된 사건이 일어나기도 했다. 공인인증서를 사용할 때 입력하는 비밀번호가 유출될 위험도 크다.
김 교수는 금융거래 보안과 관련해 관련 업계가 소비자에게만 책임을 떠넘기는 것도 무책임하다고 꼬집었다. 공인인증서는 사용자의 PC, 스마트폰, USB 등에 저장해 사용하는데, 사용자가 이들 단말기를 체계적으로 관리해 해킹을 막아내기란 쉬운 일이 아니다. 그런데도 관련 업계는 사용자들에게 'PC 관리 잘하라'고만 말하고 있다. 결국 피해가 생기면 사용자만 책임을 떠안는 경우가 많다. 또한 전자금융감독규정을 살펴보면 고객 동의하에 보안 프로그램을 설치하지 않아도 된다고 명시되어 있는데, 이는 설치하지 않으면 고객의 책임으로 넘길 수 있다는 것을 의미한다. 그러나 전자금융거래법 9조에는 '최소한의 경우를 제외하면 고객이 아닌 서비스를 제공하는 자에게 책임이 있다'라고 명시되어 있다.
KISA 공공정보보호단 심원태 단장은 "액티브X 설치 문제를 해소해야 한다"고 밝혔다. 현재 상당수의 국내 주요 사이트들이 결제 프로그램에 액티브X를 사용하고 있다. 액티브X는 MS의 웹 브라우저인 인터넷 익스플로러에서만 사용할 수 있다. 액티브X를 기반으로 한 전자금융거래는 크롬, 파이어폭스, 사파리 등 다른 웹 브라우저에서 할 수 없다. 이는 곧 사용자 불편으로 이어졌다. 또한 액티브X는 바이러스 및 악성코드 유포, 분산서비스 공격(DDoS) 등의 보안 문제에 취약하다. 액티브X 설치 창은 새로운 사이트에 접속할 때 수시로 뜬다. 이것이 보안 프로그램인지 해킹 프로그램인지 분간하기도 어렵다. 간혹 액티브X 설치와 실행을 위해 웹 브라우저 자체 보안 등급을 낮춰야 하는 일도 있다. 보안을 높이기 위한 액티브X가 오히려 보안을 낮추는 결과를 초래하는 것이다.
해답은? 인증방법의 다양화
이에 대한 대책으로 '인증방법을 보다 다양하게 마련해야 한다'는 의견이 제기됐다. 공인인증서만 강제하지 않고 보다 다양한 인증방법을 허용해야 소비자 선택의 폭이 넓어질 수 있기 때문이다. 또한 금융업계와 보안업계도 경쟁을 통해 더욱 편리하고 안정적인 인증방법을 개발할 수 있을 것이다. 공인인증서만을 중심으로 한 구조를 탈피해야 액티브X에서 벗어날 수 있고, 그랬을 때 전자금융거래 시 다양한 웹 브라우저 및 OS를 사용할 수 있게 된다. 페이게이트 이동산 이사는 "웹 브라우저와 OS 환경이 다양화되면 보안을 위협하는 공격 대상도 줄어든다"라고 말했다. 이 외에 '글로벌 표준에 맞는 다양한 공인인증 서비스를 허용해야 한다'라는 이야기도 제시됐다.
이와 관련해 임왕섭 금융위원회 사무관은 "공인인증서의 문제점에 대해 깊이 고민하고 있다. 대체하거나 보완할 수 있는 수단이 있는지 검토하고 있다"고 말했다.
이 이사는 전자금융업자의 금융보안연구원 회원가입을 허용해, 보안정보에 대한 접근 기회를 확대해야 한다고 강조했다. 현재 금감원은 금융거래 관련 사고가 일어났을 시 결제대행사에 정보를 공유하지 않는다. 결국 사용자들이 겪는 불편을 몰라 문제를 해결하지 못하고, 다양한 인증 방법을 적용할 기회를 갖지 못한다. 만약 전자금융업자들이 금융보안연구원 회원으로 가입한다면 정보를 공유할 수 있을 것이다.
큐브피아의 권석철 대표는 해커가 사용자의 PC에 접근하더라도 공인인증서가 유출되지 않도록 하는 새로운 보안기술을 소개했다. 보통 사용자가 PC를 사용하는 방식은 로컬 접속방식이며, 해커가 사용자의 PC에 접근하는 방식은 원격 접속방식이다. 큐브피아는 로컬과 원격을 구분해 해커가 사용자의 PC에 접근했을 때 혼란을 준다. 예를 들어, 일반 프로그램을 이용하는 것도 동일하며 IP 주소 또한 동일하다. 그러나 로컬 접속을 한 사용자에게는 공인인증서가 보이지만, 원격 접속을 한 해커에게는 공인인증서가 보이지 않는다. 원격 접속 시 사용자 PC에 보호 기능을 부여해 공인인증서를 아예 보이지 않도록 하는 것. 권 대표는 "이 기술은 공인인증서뿐만 아니라 특정 파일, 디렉토리에도 적용할 수 있다"라고 설명했다.
글 / IT동아 안수영(syahn@itdonga.com)