'3·20 사이버 대란' 원인..해킹돕는 空인인증서

사설 인증 다운로드시 위험 노출..전문가들 "국제표준방식 도입을"

[아시아경제 조유진 기자]북한발 '3·20 사이버 대란'에 보안 프로그램이 해킹 도구로 사용된 것으로 드러나면서 대한민국의 취약한 인터넷 보안 체계가 도마에 올랐다. 보안 프로그램이 오히려 화를 부르는 어처구니 없는 사고가 재발하지 않으려면 '한국식 공인인증 체계'를 뜯어고쳐 국제 표준으로 바꿔야 한다는 목소리도 커가고 있다.

10일 업계에 따르면 지난달 주요 방송·금융사 전산망을 마비시킨 '3ㆍ20 사이버 대란'에 악용된 악성코드가 보안 프로그램 '제큐어 웹(XecureWeb)'을 통해 유포된 것으로 드러났다. 제큐어 웹은 인터넷 뱅킹 등의 금융 거래나 기타 보안 인증을 할 때 사용하는 대표적인 보안 프로그램으로 국내 개인 PC 2000만대, 금융권 PC의 절반 이상에 설치돼 있다. 피해 가능성이 그만큼 광범위하게 잠재돼 있는 것이다.

전문가들은 이같은 사설 보안 프로그램을 설치해야 하는 대한민국 공인인증체계가 근본적인 문제라고 꼬집는다. 국제 표준 공인인증 방식은 보안 기능을 웹 브라우저에 내장시켜 인터넷 결제 등의 작업시 일일이 보안 프로그램을 내려받을 필요가 없다. 하지만 우리나라는 매번 서로 다른 사설 인증 프로그램을 설치해야 하고, 이 과정에서 수많은 취약성이 드러난다는 게 문제다.

웹표준 운동 시민단체 '오픈웹' 대표로 활동하고 있는 김기창 고려대 교수(법과대학)는 "사설 인증 프로그램을 설치하기 위해 접속한 사이트가 정상적인 사이트조차 확인이 어렵다"며 "국제 표준 공인인증 방식은 미리 검사한 프로그램을 웹브라우저에 내장시켜 안전하지만 한국은 공인인증을 사용토록 하고 있어 보안 상황을 완벽하게 무력화시키고 있다"고 역설했다.

특히 금융감독원 등 정부 기관이 은행ㆍ카드사들을 상대로 공인인증 사용을 강제하면서 상황을 악화시키고 있다고 그는 꼬집었다. 공인인증 프로그램 판매로 해마다 수천억원의 수익을 거두는 사설 보안 업체들이 지금의 공인인증체계를 지지하는 것도 사태 해결에 걸림돌이라는 지적이다. 정부가 지금의 인증시스템을 고집하다보니 보안 프로그램의 취약점을 알고도 쉬쉬 하는 경우가 많다는 주장도 제기된다.

업계 관계자는 "보안사고는 피해 기업이나 기관이 신고하지 않으면 알 길이 없다"면서 "제큐어웹의 취약점은 일찍부터 확인돼왔고 개인 PC까지 해킹을 당하는 금융사고 전력이 있었지만 이를 바로잡지 않아 사태가 커졌다"고 말했다. 김 교수는 "어느 보안 기술도 안전하다고 장담할 수 없는데 정부는 공인인증이라는 특정한 인증 기술을 가장 안전한 것처럼 속이고 있다"고 꼬집었다.

보안 업계는 사설 인증이 난립하는 지금의 시스템에서는 사이버 보안을 담보하기 어렵다고 입을 모은다. 정부가 3ㆍ20 후속 대책을 마련해 사이버 보안 강국으로 거듭나겠다는 구호가 무색하지 않으려면 공인인증체계를 뜯어고쳐야 한다는 지적도 잇따른다. 서둘러 국제 표준 공인인증체계(SSL+OTP)를 도입해야 한다는 것이다.

보안 업계 관계자는 "외국에서 일반화된 일회용 비밀번호생성기(OTP)나 암호통신기술(SSL) 방식이 공인인증의 대안이 될 수 있다"면서 "정부가 지금부터라도 사설 인증을 강제하기보단 국제 표준 방식을 도입하는데 주력해야 진정한 사이버 강국이 될 수 있다"고 역설했다.

한편 지난 3월20일 발생한 방송사ㆍ은행 해킹 공격은 북한 정찰총국의 소행인 것으로 드러났다. 정부는 관련 접속기록과 악성코드의 특성을 분석한 결과 이런 결론을 내렸다고 정부 관계자는 밝혔다. 정부는 접속 경로 추적 결과 지난 2월 하순 북한측이 우회 접속 경로를 통해 피해 업체에 악성코드를 심은 사실을 파악한 것으로 알려졌다.

조유진 기자 tint@
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>