김기창 교수 “KISA가 공인인증서 문제점 은폐하고 있다” 주장

김 교수는 “공인인증제도를 감독하는 행안부가 기술적인 지식의 한계로 KISA의 정기검사 보고서에 전적으로 의존하고 있지만, KISA는 공인인증서가 비공인 소프트웨어로 발급, 갱신된 사실을 은폐하고 있다”고 주장한다. 즉 정부기관이 관리 감독을 제대로 못하고 있다는 지적이다.

이에 대해 KISA 측은 “공인인증서는 KISA 점검을 받은 공인인증기관 인증서 생성·발급 설비를 통해 생성·발급되며, 클라이언트 소프트웨어는 인증서 생성 요청 및 저장 등을 수행하는 소프트웨어다”라며 “사설업체의 클라이언트 소프트웨어는 전자서명법상 KISA 점검 대상이 아니라고 봐야한다”고 답변했다. 즉, 김 교수가 제기한 문제는 공인인증 체계를 잘못 이해하면서 나타난 오해라는 것.

하지만 혹자들은 김 교수의 주장이 KISA 측 주장대로 오해에서 시작된 문제제기라 하더라도 국내 인터넷금융 체계의 문제점을 여론의 도마 위에 올려놨다는 점에서 의미가 있다고 주장한다.

업계의 한 관계자는 “현재 국내 인터넷뱅킹은 액티브엑스를 이용해 MS의 인터넷 익스플로러에서만 작동하도록 돼 있지만 앞으로 보안상의 이유로 액티브엑스의 기능을 축소하고 있기 때문에 이를 대처할 웹표준 기반의 인터넷 뱅킹에 대한 논의가 언젠가는 필요한 시점이었다”고 말했다.

국내 인터넷 금융 환경에 대한 논의는 이미 오래전부터 진행돼 왔었지만 마땅한 해결책을 찾지 못하고 있다. 특히 MS의 IE 환경만 지원하는 환경은 웹표준을 지향하는 전세계의 경향과 어긋난다는 주장도 만만치 않다.

이에 대해 학계에서는, 현재 인터넷금융 환경에 대한 개선이 필요하지만 시장논리에 맞게 점진적으로 추진해 나가야할 사안이라고 입을 모은다. 하지만 정부기관이 나서 시장을 제어하는 것만이 답이 아니라는 지적도 있다. 

염흥열 순천향대 교수는 “인터넷 금융 환경은 보안성과 편의성 경제성을 고려해야 한다”며 “장기적인 방향으로 본다면 웹표준화를 통해 액티브엑스 갈등해소도 방법이 될 수 있지만, 예측할 수 없는 여러 문제점이 발생할 수 있다는 점을 감안한다면 결국 시장 논리에 맞겨야한다”고 말했다.

임종인 고려대 교수는 “국내 현실을 감안한다면 시장논리에 맡길 수밖에 없지만 앞으로 등장할 차세대 플랫폼에 따라 국내 인터넷 환경이 급속도로 변할 수도 있다”며 “가령 스마트폰의 보급화로 기존 인터넷 뱅킹 체제가 새로운 형태로 변화될 수 있듯이 차세대 플랫폼에 의한 자연적인 인터넷금융서비스 변화가 시작될 수도 있다”고 말했다.

김 교수는 “암호화 지정만 해주면 윈도우 2000 버전 이상에서는 키보드 보안프로그램이 수행하는 역할을 해 주는데 왜 굳이 키보드 보안프로그램이 필요한지를 은행 및 업체 등에 묻고 싶다”며 “은행 등은 키보드 보안프로그램 설치 등에 있어 실행 파일만 던져주고 이에 대해 왜 설치를 해야 하는지 등을 이용자에게 설명해주지 않고 있다”고 지적했다. 

이에 관련업체 관계자는 “국가는 전자금융감독규정 시행세칙 제 29조 제2항 제3호에 이용자 PC에서의 정보유출을 방지하기 위해 사용자 접속 시 우선적으로 이용자 PC에 개인용 침임차단시스템, 키보드해킹방지 프로그램의 보안프로그램을 설치할 것을 키보드보안 의무 설치 법규로 제시하고 있다”고 말했다.

또한 그는 “개인 정보 유출 기사는 심심치 않게 뉴스에 오르고 있으며 신종 바이러스와 해킹 기술은 나날이 고도화 되어 인터넷처럼 모든 사람들에게 공개돼있는 환경일수록 정보를 관리하기란 더욱 쉽지 않다”며 “이에 관련 전문가들은 인터넷 뱅킹 사이트, 인터넷 쇼핑몰, 온라인 게임 등 많은 사용자에게 공개돼있는 사이트에서 키보드 보안 솔루션을 적용, 개인정보를 보호하기 위한 방안을 마련하는 것은 당연하다”고 덧붙였다.

아울러 다른 업체 관계자는 “사용자가 키보드를 이용해 개인정보를 입력 할 때 그 정보를 해킹 하는 툴을 키로거라고 하며 PC에 해킹 프로그램을 몰래 숨겨 놓아 PC 사용자가 키보드로 입력한 내용을 저장하였다가 유출하는 행위를 키로깅이라고 한다”며 “인터넷의 발전으로 이러한 해킹 툴은 손쉽게 구입이 가능하다. 또한 백신, 방화벽 프로그램으로는 모든 키보드 해킹 방지는 무리가 있다. 따라서 키보드 보안프로그램 설치는 기업과 사용자를 위해 선택이 아닌 필수 사항”이라고 밝혔다.

“전자서명·보안접속 통합블로깅, 현시점에 맞지 않아”

김기창 교수는 “전자서명과 보안접속이 2000년 7월부터 현재까지 통합돼 블로깅을 하고 있는데 이는 현 시점에서는 맞지 않다”며 “전자서명이 필요 없는 부분에서도 보안 접속만 하면 되는데도 불구하고 보안업체들은 이를 판매하기 위해 전자서명을 보안측면으로 포괄하고 있다”고 지적하고 “보안프로그램에 대한 액티브엑스 설치에서 무조건 ‘Yes’를 취하는 일반 이용자들에 대한 정책적 혼선도 문제”라고 덧붙였다.

특히 김 교수는 “모 은행 공인인증서 발급 업체의 경우에는 공인인증서가 아닌 사설인증서가 공인인증서로 둔갑해 사용되고 있다”며 “특히 최상위 인증기관인 KISA(한국정보보호진흥원)의 루트인증서(자기서명인증서)를 업체 스스로가 루트인증을 하고 있는 것은 문제가 있다”고 지적하기도 했다.

한편 이와 관련한 업체 측은 "은행 측의 권고가 있어 이에 대한 답변을 할 수 없다"고 밝혔으며, 공인인증제도를 감독하는 행정안전부 역시 최상위 인증기관인 KISA의 감독관청 허위보고를 했다는 김 교수의 민원 제기에 대해 “KISA와 금결원 관계자들이 이에 대해 대응하고 있다. 행안부는 그 결과에 따라 움직일 것”이라고 밝혔다.

[공동취재: 오병민, 김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>