[뻥뚫린 공인인증서]대안은…해킹·재발급 불가능한 보안토큰 의무화해야

[이데일리 김동욱 기자] 현재 은행이 인터넷뱅킹 때 사용하는 공인인증서의 가장 큰 문제는 재발급이 어렵지 않다는 데 있다. 보이스피싱으로 상대방 금융정보만 손에 쥐면 쉽게 타인 명의의 공인인증서를 재발급받을 수 있다는 얘기다. 저장방식도 허술하다. 대부분 하드디스크나 USB에 저장한다. 해킹에 상당히 취약한 셈이다. 송영관 한국개발연구원(KDI)연구위원은 “공인인증서 비밀키는 개인이 하드디스크나 USB에 저장한다는 점에서 인증서를 보관할 때 아무런 보호를 받지 못한다”며 “이 때문에 악성코드, 스미싱 등으로 인증서 유출사고는 해마다 급증하고 있다”고 말했다.

국내에 공인인증서가 도입된 건 1999년 7월로 전자서명법에 기반을 두고 있다. 정부는 2002년 9월과 2003년 3월 인터넷뱅킹과 온라인 증권거래에서 공인인증서 적용을 의무화했다. 전문가들은 당시 정부가 공인인증서 사용 의무화 조치를 취함으로써 금융회사의 정보보안 투자를 줄이는 유인이 됐다고 지적한다. 김승주 고려대 정보보호대학원 교수는 “금융사로선 정부가 정한 지침만 지키면 되기 때문에 추가로 돈을 들여 기술을 개발할 유인이 없다”며 “금융사기가 발생해도 공인인증서를 거친 거래인 만큼 금융사는 면책 권리를 얻게 된다”고 말했다.

공인인증서는 일종의 ‘인감’ 역할을 한다. 예컨대 인증서 해킹 등으로 거래가 일어났다 해도 공인인증서 명의자는 거래사실을 부인할 수 없다. 그동안 금융당국과 은행이 공인인증서를 고수한 것도 공인인증서만큼 ‘부인방지기능’을 갖춘 보안도구가 없다고 봤기 때문이다. 최근 공인인증서 유출사고에 따른 금융사기가 급증하자 금융결제원 등 공인인증기관이 취한 조치는 8자리 비밀번호를 10자리로 늘린 것에 불과하다.

결과적으로 공인인증서는 태생부터 문제가 많았는데도 금융사의 편의 때문에 그동안 유지돼 온 측면이 크다는 지적이 제기된다. 전문가들은 이에 따라 지금이라도 정부와 은행이 공인인증서 저장방식을 대폭 바꿔야 한다고 강조한다. 지금처럼 하드디스크나 USB에 공인인증서를 저장하는 게 아니라 보안토큰(HSM)에 저장하는 방식을 서둘러 도입해야 한다는 의견이 많다. 보안토큰의 경우 해킹할 수도 없고 실물 하드웨어 없이 인터넷뱅킹 때 이용하는 것은 물론 재발급도 받을 수 없다. 김승주 교수는 “스위스 UBS 은행은 공인인증서를 사용하지만 우리와 달리 보안토큰만 사용한다”며 “반면 국내 은행은 그동안 보안토큰을 사용하려는 노력을 거의 하지 않았다”고 지적했다.

무엇보다 은행 스스로 대체인증 방식을 찾는데 적극적이어야 한다는 지적이 나온다. 한 시중은행 부행장은 “현재 생체인식 등을 포함해 여러 방안을 검토하고 있지만 비용 문제 등 때문에 당장 공인인증서를 대체하기 어려운 게 사실”이라고 토로했다. 이기송 KB금융연구소 연구위원은 “지난해 국내은행의 IT투자 예산 대비 보안예산 비중은 10~15%로 미국은행(40%)과 영국은행(50%)에 비해 훨씬 낮은 수준”이라며 “금융권의 선제적 대응이 요구된다”고 강조했다. 송영관 연구위원은 “현재 공인인증서는 부인방지기능이 있지만 소비자 관점에서 은행 사이트가 진짜인지 가짜인지 여부는 알 수 없다”며 “현재 통신사만 이런 기능을 수행하는 보안인증을 갖추고 있는데 은행들도 보안인증 구축에 적극 나서야 한다”고 지적했다.