우왕좌왕하는 대한민국 보안문제의 해법은?

15일, 행정안전부가 공인인증서 PC저장을 금지한다는 보도가 쏟아져 나오면서 금융권과 업계는 발칵 뒤집혔다. 인터넷뱅킹이나 결제를 위해 공인인증서를 이용하는 대다수의 누리꾼들은 개인컴퓨터(PC)에 공인인증서를 저장하고 있기 때문이다. 그러나 PC저장 금지에 대한 보안 실효성 논란이 제기돼 금융권과 사용자들은 혼란에 휩싸였다.

상황이 이러자 행정안전부는 뒤늦게 해명자료를 내고 “공인인증서는 일반적으로 PC보다 외부 저장매체가 안전하기 때문에 가급적 외부 저장매체에 보관하도록 권고한바 있을 뿐”이라며 “강제적으로 공인인증서를 PC에 저장하지 못하게 한다는 정책은 결정된 바 없으며 앞으로 공인인증서의 안전한 보관 방법은 지속적으로 연구하고 검토 해 정책화할 계획”이라고 밝혔다. 즉, PC저장 금지는 과장된 내용이라고 반박한 것. 결국 과장된 사실로 인한 하나의 헤프닝이 된 것이다.

이런 상황을 헤프닝이라고 볼 수는 없을 것 같다. 전자금융거래법에 따르면 전자금융거래시 공인인증서의 이용을 의무화 하고 있어, 공인인증서의 저장 논란은 꼭 해결해야할 문제임은 확실하기 때문이다. 그러나 시기와 절차가 문제다. 아직까지 공인인증서를 효율적으로 관리할 수 있는 대안이 제시되지 않은 상태이다. 그리고 아이폰 출시 이후 기하급수적으로 확산되고 있는 스마트폰뱅킹의 경우, 기술적으로 공인인증서를 내부에 저장하지 않고 온라인뱅킹 서비스를 구현하는 것이 어려운 상황이다. 이런 점에서 본다면 ‘공인인증서 PC저장 금지’와 같은 방안은 혼란을 부추기기 충분하다.

 

진퇴양란의 상황에 빠진 공인인증서 문제의 원인은 어디에서 찾아야 될까? 그건 바로 오랜 시간동안 보안문제를 등한시해 나타난 준비의 미흡이라고 봐야할 것 같다.

공인인증서 문제는 어제 오늘만의 문제는 아니었고 스마트폰뱅킹과 같은 새로운 트렌드 변화도 갑자기 등장한 이슈는 아니었기 때문이다. (우리나라에서는 아이폰의 도입으로 스마트폰 시장이 활성화되기 시작했지만 이미 외국에서는 스마트폰의 활성화가 진행되고 있었다.)

그런데 항상 이런 이야기가 뒤늦게 나오는 이유에 대해 보안전문가들은 “기술과 트렌드는 계속 바뀌고 있지만 보안은 아직도 예전 그때에 머물고 있다”라고 지적한다. 보안 선행투자의 개념이 없는 한국은 매번 문제가 발생해야 보안을 뒤돌아보기 때문이다. 그러나 보안은 뒤늦게 돌아보면 이른바 ‘소 잃고 외양간 고치는 상황’만 반복될 뿐이다.

또 하나의 문제는 보안과 관련된 문제를 각 부처와 기관이 나누고 있어서 통합적인 의견을 도출하는데 시간이 걸린다는 점이 지적된다. 이번의 경우도, 공인인증서 저장에 대한 대안을 누가 내느냐에 대해 각 부처와 기관들이 서로 눈치만 보는 상황을 연출했다. 그렇다 보니 항상 보안이 한발 늦을 수밖에 없는 노릇.

7.7 DDoS 대란 당시 정부는 사이버보안컨트롤타워를 운영하겠다고 발표한바 있다. 사이버보안컨트롤타워는 이런 문제 문제를 해결방안과 조정으로 일사분란하게 처리할 수 있어야 한다. 보안 문제가 점점 커지고 있음에도 불구하고, 여전히 사이버보안컨트롤타워에 대한 뚜렷한 논의가 시급하게 이뤄지지 않고 있다는 것은 문제가 크다. 그동안 많은 보안전문가들이 이 문제를 꾸준히 지적했음에도 불구하고, 왜 아직도 제대로 논의가 되지 않는지를 정부는 한번 되돌아 봐야할 것이다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>