1999년 도입된 한국식 공인인증체제 신종 해킹 기술 무방비 상태제도 자체 대대적 정비 필요
[아시아경제 조유진 기자] # 일산에 사는 주부 A씨는 '우리동네 성범죄자' 정보를 열람하기 위해 여성가족부에서 운영하는 '성범죄자 알림e(www.sexoffender.go.kr)'사이트에 들어갔다. 빈발하는 초등생 성범죄를 예방하기 위해 성범죄자 정보 검색을 시도하기 위해서였다. 하지만 이내 좌절하고 말았다. 검색 정보를 이용하기 위해 프로그램 모듈을 3~4차례 설치해야 했기 때문이다. 화면 캡쳐 방지, 공인인증, 이미지 외부 유출 방지, 키보드 보안 모듈 등을 설치하는 시간만 10여분. 시간도 문제였지만 이 과정에서 악성코드가 침입하는 것은 아닌지 몹시 불안했다. '3ㆍ20 해킹'의 근본적인 원인이 '한국식 공인인증체계'로 알려지면서 이를 뜯어고쳐야 한다는 목소리가 커가고 있다. 불편한데다 보안까지 취약하다는 이유에서다. 한국식 공인인증체계가 처음 도입된 것은 1999년. 결국 21세기 사이버 공격을 20세기 기술로 막는 꼴이다. 지금의 인증체계를 고수하면 3ㆍ20 해킹 사고보다 훨씬 피해가 큰 사이버 대란을 피할 수 없을 것이란 우려가 커가는 것도 그래서다. 15일 본지가 민간과 주요 행정기관 주요 웹사이트 20여곳을 대상으로 실태조사를 한 결과 18곳이 한국식 공인인증체계를 사용하고 있는 것으로 나타났다. 금융감독원, 금융결제원, 여성가족부, NHN 네이버, 농협, 국민은행, 신한은행, 하나은행, 예스24, 넷마블 등은 1개 이상의 공인인증서를 요구했다. 민간영역은 주로 결제와 인증, 행정기관은 보안용이었다. 심지어 동영상 재생 등에도 인증을 요구하는 경우가 적지 않았다. 한국식 공인인증체계의 문제는 마이크로소프트의 익스플로러와 무관치 않다. 공인인증 처리방식인 액티브엑스는 익스플로러 전용 프로그램이다. A씨처럼 익스플로러를 사용해 온라인 서비스를 이용하려면 액티브엑스를 통해 여러 인증 프로그램을 내려받아야 하는데 이 과정에서 악성코드가 침입할 수 있다. 익스플로러의 국내 시장 점유율은 80% 정도로 사실상 독점 체제여서 보안의 취약성은 그만큼 심각한 것이다.보안 전문가는 "인증 방식에서 쓰는 '개인키'는 보통 개인 PC에 일반 파일 형태로 보관되는데 누구든 마음만 먹으면 악용할 수 있다"고 꼬집었다. 예컨대, 점심 시간에 회사 동료가 해킹할 수 있을 정도로 허술하다는 뜻이다. 한국식 공인인증체계는 1999년 과거 정보통신부 시절 도입됐다. 당시 정보통신연구원 주도로 한국형 독자적 암호화 기술을 개발했지만 해킹이 전무했던 탓에 보안은 크게 고려되지 않았다. 당시 설계대로 인증 '개인키'를 개인 PC에 두는 것은 해커들에게 집열쇠를 맡긴 꼴이라는 전문가들의 지적이 나오는 것도 그 때문이다. 이후 인터넷 뱅킹이 활성화되면서 공인인증체계가 확산됐고 급기야 대한민국 표준처럼 자리를 잡았다. 보안 전문가는 "지금과 같은 공인인증 방식은 해킹 공격이 전혀 없이 평화로웠던 90년대 사용이 가능했다"며 국제 표준으로의 변화를 촉구했다. 애플 사파리, 구글 크롬, 리눅스 파이어폭스, 오페라 등 익스플로러 이외의 웹 브라우저들은 국제 표준 인증을 탑재하고 있어 이를 토대로 사용자 확인이 이뤄진다. 게다가 우리나라 처럼 서비스마다 인증을 반복하지 않기 때문에 인증 과정에서 악성코드가 침입할 가능성도 낮다. 인터넷 이용자 권리 지키기 위한 공익 NGO인 비영리 사단법인 오픈웹은 최근 액티브엑스 폐지 서명운동을 시작했다. 액티브엑스 폐지는 익스플로러의 의존도를 낮추고 공인인증체계를 국제 표준 도입으로 이어진다는 속내가 있다. 오픈웹 대표로 활동하는 김기창 교수(고려대 법과대학)는 "21세기에 20세기 방식을 선호할 이유가 없다"며 "익스플로러 의존에서 벗어나야만 한국식 공인인증체계의 문제도 해소될 수 있다"고 강조했다. 조유진 기자 tint@<ⓒ세계를 보는 창 경제를 보는 눈, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>
산업2부 조유진 기자 tint@ⓒ 경제를 보는 눈, 세계를 보는 창 아시아경제
무단전재, 복사, 배포 등을 금지합니다.