[커버스토리] '17년 대표' 공인인증서의 몰락

정보통신기술(ICT) 중심의 4차 산업혁명 바람이 금융권을 강타하고 있다. 전통적인 금융거래를 넘어 비대면 거래에서 쉽고 빠르게 결제할 수 있는 간편결제를 확대하는 추세다. 

간편결제의 핵심은 인터넷에서 본인 여부를 확인하는 공인인증기술을 생체정보, 전자서명 등으로 간소화하는 것이다. 안전성을 기반으로 빠른 속도가 필수조건인 만큼 수많은 보안프로그램을 깔아야 하는 공인인증서는 ‘구식인증’으로 전락했다.


현재 공인인증서는 금융기관 창구에서 직접 대면 상태로 신원을 확인한 뒤 사용자가 홈페이지에 접속해 개인 저장공간에 내려받는 방식이다. 모바일뱅킹에 공인인증서를 다운로드할 때도 금융회사의 홈페이지에서 먼저 공인인증서를 받은 후 스마트폰에 다시 옮겨야 한다. 공인인증서 만료 시에도 똑같은 절차를 밟아야 하므로 SMS(문자메시지) 인증, 보안카드 번호입력 등으로 소요되는 시간이 추가된다.

금융거래도 시간이 오래 걸리긴 마찬가지다. 모바일뱅킹에서 공인인증서로 로그인하면 보안카드나 영문, 숫자, 특수기호가 섞인 10자리 이상의 비밀번호, 일회용비밀번호생성기(OTP) 등을 추가로 입력해야 하는 번거로움이 있다. 또 키보드 보안, 악성코드 탐지 등 보안프로그램과 충돌해 잦은 오류를 일으키고 모바일뱅킹의 속도를 떨어뜨린다.
터치 한번으로 금융상품 가입부터 해지가 가능한 모바일금융 환경에서 공인인증서는 시간을 잡아먹는 애물단지로 전락했고 금융당국은 1999년 전자서명법을 제정한 후 17년 만에 공인인증서 의무사용을 폐지했다.
모바일환경에서 공인인증서의 편의성이 떨어지는 탓에 하반기 출범하는 인터넷전문은행은 아예 공인인증서를 도입하지 않는 방안을 검토 중이다. 공인인증서 대신 스마트폰으로 얼굴이나 지문을 인식하거나 휴대폰을 통해 자동응답전화(ARS) 혹은 SMS로 본인을 인증하는 방안이 거론된다.

인터넷은행 준비법인의 한 관계자는 “고객이 온라인·모바일환경에서 모든 금융거래를 하는 만큼 대체인증수단의 도입을 검토 중”이라며 “지문인증은 행정자치부가 국민의 지문정보를 오픈해야 하기 때문에 법 개정이 필요하다”고 설명했다.

◆해킹기술 진화, 공인인증서 보안 취약


공인인증서의 취약점은 나날이 진화하는 해킹기술보다 보안성이 현저히 떨어진다는 점이다. 발급부터 복잡한 과정을 거침에도 개인정보 유출이 빈번하게 일어나는 이유다. 미래창조과학부에 따르면 2012년 8건에 불과하던 공인인증서 유출사고는 2013년 8710건, 2014년 4만1733건으로 급증했다. 지난해에는 7월까지 2만356건의 유출사고가 일어났다.

스마트폰의 사용확대로 스미싱, 파밍, 피싱 등 신종 해킹수법이 발전했지만 개인정보가 담긴 공인인증서의 저장방식은 제자리걸음이다. 공인인증서는 사용자PC와 인터넷뱅킹사이트, 스마트폰과 모바일뱅킹 애플리케이션 간 서로 믿을 수 있는 개인키가 공개된 NPKI폴더 안에 버젓이 저장한다. 공격자가 폴더를 복사하면 개인키를 그대로 가져갈 수 있어 개인정보가 노출될 우려가 높다.

중앙처리장치(CPU) 한곳에 저장되는 방식도 해킹위협에서 자유롭지 못하다. 누적된 거래내역 정보가 금융회사 서버에 저장돼 금융회사 전산이 공격받으면 개인정보가 걷잡을 수 없이 유출돼 거액이 출금되는 피해를 입을 수 있다.

공인인증서를 대체할 생체인증서비스가 분산형 저장방식을 추구하는 것도 이 때문이다. 분산형 생체정보 저장방식은 고객이 등록한 생체정보를 쪼개 금융회사와 금융결제원이 나눠 보관한다. 생체인증이 필요할 경우 양쪽에 저장된 정보를 하나로 합쳐 생체정보를 복원해 안전성을 확보할 수 있다. 한 서버의 보안망이 뚫려도 다른 서버에서 이를 수정, 교체함으로써 금융사고를 방지하는 것이다. 금융결제원은 지난 6월 분산관리시스템 개발을 외주에 맡겼고 연내 생체인증 분산관리서비스를 오픈할 예정이다.

금융결제원 관계자는 “공인인증서의 보안 취약점으로 꼽혔던 저장방식을 분산처리하면 해킹 공격에도 대응할 수 있는 시간을 벌게 된다”며 “보안성을 갖춘 생체정보 분산관리표준이 마련되면 개인정보의 안정성을 강화한 간편결제가 확대될 것으로 보인다”고 말했다.

◆‘비밀번호 안 바꿔’ 보관방법 개선 필요
고객관리 미흡도 도마 위에 올랐다. 6개월 동안 한번 이상 비밀번호를 바꾸는 이용자가 20%에 불과해 공인인증서 보관방법에 대한 인식개선이 필요하다는 지적이다.

한국인터넷진흥원이 공인인증서 이용자 4000명을 대상으로 실시한 전자서명 이용실태조사에 따르면 전체 응답자의 58.3%가 비밀번호를 다른 일반사이트의 비밀번호와 똑같거나 비슷하게 설정하는 것으로 나타났다. ‘공인인증서의 비밀번호를 바꾸지 않는다’는 응답자가 전체의 33.2%에 달했고 27.9%는 인증서를 재발급할 때 바꾼다고 답했다. 응답자의 18.8%는 1년에 한번, 12.1%는 6개월에 한번, 8%는 3개월에 한번 비밀번호를 바꿨다.

공인인증서를 컴퓨터 하드디스크에 보관하는 사람도 전체의 41.7%(복수응답)에 달했다. USB 등 이동식디스크를 이용하는 경우는 60.2%, 스마트폰은 42.7%였다. 반면 해킹에 안전한 저장매체인 보안토큰 이용자는 3.9%에 불과해 보관방법이 부실한 것으로 드러났다. 보안토큰은 해킹 등으로부터 공인인증서 유출을 방지하는 기능을 가진 휴대용 공인인증서 저장매체다.

이 같은 상황임에도 국내 인터넷사용자의 96%가 공인인증서를 이용할 정도로 범용성이 높다. 우리나라의 전체금융거래 프로세스는 공인인증서를 기반으로 형성됐다고 해도 과언이 아닌 셈이다.

이와 관련 금융보안원 보안연구부 보안기술팀 관계자는 “결제시스템의 혁명은 새로운 인증서비스를 도입하는 것보다 사용자 스스로 보안수칙을 잘 이해하고 지키는 것이 중요하다”며 “간편결제의 주요 플랫폼인 스마트폰에서 공인인증서의 비밀번호를 자주 바꾸고 저장매체를 추가해 스스로 개인정보를 안전하게 지켜야 한다”고 조언했다.

☞ 본 기사는 <머니S>(www.moneys.news) 제448호에 실린 기사입니다.