금융결제원이 그동안 공인인증서의 문제로 지적됐던 액티브엑스(Active X) 기술을 이용하지 않는 기술을 개발해 도입을 준비 중인 것으로 밝혀졌다. 

초기 공인인증서 도입당시에는 액티브엑스 기술을 이용하는 것이 최적의 방법이었지만 기술적인 발전으로 인해 더 이상 액티브엑스를 이용하지 않아도 되는 상황. 그러나 공인인증서에 액티브엑스 외의 기술을 이용하는 것은 추가비용을 요구하는 것이기 때문에 도입이 쉽지 않았다. 그러나 최근 들어 공인인증서에서 액티브엑스를 이용하는 것에 대한 문제가 전반적으로 제기됨에 따라 비용보다는 도입이 시급하다는 사회적인 분위기가 형성됐다.  

이에 따라 금융결제원 측은 액티브엑스 기술을 이용하지 않고 공인인증서를 이용하는 기술 개발을 마치고 본격적인 도입을 검토 중인 것으로 밝혀졌다.

금융결제원의 한 관계자는 “현재 액티브엑스 기술을 이용하지 않고 자바(Java) 기술을 이용한 공인인증서 개발과 테스트를 내부적으로 마치고 상반기 내에 결제원 내부에서 적용을 시작할 방침”이라고 밝히고 “물론 은행권과 의견 합의를 봐야하는 문제가 남아있지만 사회 전반적으로 액티브엑스에 대한 불안감이 확산됨에 따라 큰 어려움은 없을 것으로 예상된다”고 밝혔다.

아울러 금융결제원은 이미 우리나라에서는 액티브엑스를 대체할 기술이 충분히 존재하기 때문에 기존 액티브엑스 기술을 이용하는 다른 금융보안 솔루션에서도 액티브엑스 이용을 자제하는 방안도 함께 검토중인 것으로 알려졌다.

특히 인증서 비밀번호 입력 값 축출을 힘들게 하는 기술도 공인인증서에 포함할 계획이기 때문에 공인인증서의 보안기능이 더욱 강화될 것으로 예상된다.

물론 공인인증서의 보안문제는 이뿐이 아니다. 액티브엑스를 이용한 공인인증서 사용에 대한 부분 외에도  공인인증서 재발급 관리에 대한 이슈가 남아있기 때문.

이 문제에 대해서는 향후 재발급과 같은 관리에서도 단지 온라인 인증을 이용했던 기존의 방법과 추가로 휴대폰이나 전화, OTP 등 다중 채널 인증 방식으로 보안을 강화할 계획이다. 더불어 현재 행정안전부의 승인을 얻어 공인인증서의 부정 발급을 막기 위해 ‘공인인증서 부정사용방지체계’를 구축할 방침으로 17일부터 1차 사업자 공고를 진행한다. 결제원 측은 3월말까지 사업자 선정을 완료하고 7월부터는 시범적으로 이 시스템을 가동할 계획이다.

금융결제원 한 관계자는 “공인인증서(전자서명)는 공인인증체계(Public Key Infrastructure)를 기반으로 하여 전자서명을 생성하고 검증함으로써 무결성, 부인방지, 사용자 인증 등 종합적인 보안기능을 제공하고 있는 인터넷뱅킹의 핵심적인 종합 보안대책”이라며 “전자서명만이 오직 사용자의 거래내역에 대해 해당 사용자만이 생성할 수 있고, 그 내역이 변경되지 않았음을 ‘증명’할 수 있는 부인방지 기능을 제공하고 있어, 이는 전자금융사고 등 사용자와의 분쟁 발생시 해당 사용자의 책임을 입증하는 등의 용도로 활용할 수 있다”고 덧붙였다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>