누구나 ‘인증서 복사’ 가능…보안 구멍

‘2013년부터 공인인증서 피시에 저장금지’ 왜?
이용 불편만 끼치고 보안기능 수행못해

해커 등 침입자에겐 열려 있고, 주인에겐 이중삼중의 자물쇠를 채워온 인터넷뱅킹 ‘공인인증서’ 체계에 대한 근본적 재검토가 시급하다는 지적이 나오고 있다. 인터넷뱅킹과 증권거래 등에서 필수적인 공인인증서가 이용자에게 불편만 끼치고 보안기능은 제대로 수행하지 못하고 있기 때문이다.

현재 인터넷뱅킹 거래 때 요구되는 공인인증서는 문서파일처럼 사용자 피시(PC)나 휴대용 저장장치(USB 등)에 함부로 보관되고, 피시에 접근할 수 있으면 암호나 보안절차 없이 누구나 복사해갈 수 있다. 공인인증서는 2100만건 넘게 발급됐고, 이용자의 74%가 이를 하드디스크에 저장해 쓰고 있다.

집에서 쓰던 인터넷뱅킹을 직장에서도 사용하고자 할 경우 ‘공인인증서 복사·내보내기’ 과정을 거쳐야 한다. 이 경우 ‘액티브엑스’를 통해 키보드 해킹방지 등을 설치하고 인증서를 선택해 암호를 입력해야 한다. 하지만 이는 사용자를 과도하게 불편하게 하는 과정으로 여겨진다. 은행이 요구하는 이 방법 대신 윈도 탐색기를 실행해서 특정폴더(NPKI)에 있는 인증서 파일을 원하는 저장매체에 옮겨도 아무 문제가 없기 때문이다. 인증서를 발급받은 주인만 번거롭게 할 뿐, 해커 등 피시 침입자가 인증서 파일을 가져갈 때는 ‘묻지도 따지지도 않고’ 내주는 꼴이다. 지난해 분산서비스거부(DDos) 공격과 네이버 인기검색어 조작에서 드러났듯, 악성코드에 감염돼 해커의 명령을 받는 좀비피시는 국내에 수만대가 넘는다. 때문에 은행과 보안업계에서는 공인인증서가 보안기능을 수행하지 못한다고 보고, 전자거래 때 이용자마다 고유한 보안카드의 암호를 추가로 입력하도록 하고 있다.

행정안전부와 인터넷진흥원은 올 하반기부터 인터넷뱅킹 이용자에게 “하드디스크에 공인인증서를 저장할 경우 보안위험이 있다”는 안내를 띄우고, 2013년부터는 공인인증서를 피시에 저장할 수 없도록 할 방침이다. 김기창 고려대 법학전문대학원 교수는 “이용자들은 해킹방지 프로그램을 설치하고 암호를 입력하기 때문에 자신의 공인인증서는 자신만이 접근가능할 것이라고 믿고 있는데, 실제론 기만적 과정”이라며 “공인인증서는 보안토큰 등과 같은 안전한 수단에 보관되어야 한다”고 말했다.

구본권 기자 starry9@hani.co.kr