• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[공인인증서]공인인증서 논란 “왜?” 2010.03.25

1. 공인인증서 논란 “왜?”

2. ┖공인인증서┖ VS ┖SSL+OTP┖

3. 인터넷뱅킹과 스마트폰뱅킹 관점 공인인증서 

4. 공인인증서, 사용자는 어떻게 바라볼까?

5. 전자금융거래 어떤 변화를 맞이할까?


최근 전자금융거래에서 공인인증서 이용에 대한 이슈가 뜨겁게 제기되고 있다. 공인인증서는 10년간 우리나라 인터넷뱅킹이나 전자거래 및 본인확인 인증 수단으로 중요하게 이용돼 왔다. 그런데 최근 들어 공인인증서의 여러 문제가 제기되면서 존폐 여부까지 거론되는 등 뜨거운 감자로 부상했다. 공인인증서 논란 어디서부터 시작됐을까?


사실 공인인증서에 대한 논란은 공인인증서를 이용한 10년간 끊임없이 진행돼왔다. 그 논란의 중심에는 공인인증서에서 이용하고 있는 액티브엑스(Active X)라는 기술이 있었다. 액티브엑스는 웹상에서의 한정된 기능을 확장하기 위해 마이크로소프트에서 개발한 기술이다. 국내에서는 MS의 OS인 윈도우와 웹브라우저인 인터넷 익스플로러가 주로 이용됐기 때문에 웹서비스에서 이 기술의 이용 빈도도 매우 높았다. 따라서 초기 공인인증서 개발당시에 이 기술을 이용하는 것은 큰 문제가 아닌 듯 했다.


그러나 이 기술은 웹상에서 구현하기 힘든 다양한 기능을 구현하게 해주는 반면, 응용프로그램을 사용자 PC에 설치하기 때문에 보안상 문제를 야기한다는 주장이 제기돼, 액티브엑스의 이용은 공인인증서의 큰 문제점으로 두각을 나타내기 시작했다. 더 큰 문제는 시간이 지날수록 인터넷뱅킹의 보안 이슈가 하나둘 늘어나기 시작했으며, 그럴 때마다 액티브엑스를 이용한 보안 솔루션이 늘어났다는 사실이다.


결국 액티브엑스의 이용은 단지 보안 문제를 넘어서 사용자에게 있어서 불편함에 이르기 시작했다. 인터넷뱅킹에 접속하면 보안을 위한 액티브엑스 설치가 하나둘 늘어, 심한 경우 4~5개의 액티브엑스를 설치하는 사례도 심심찮게 볼 수 있었기 때문이다. 게다가 우리나라에서도 인터넷 익스플로러 외에 다른 웹브라우저의 이용이 늘어나면서, 다른 웹브라우저에서 이용할 수 없는 액티브엑스에 대한 논란은 점전 거세져갔다.


그럼에도 불구하고 액티브엑스는 2000년 공인인증서 도입당시부터 지금까지, 무려 10년간이나 유지돼 이용자들의 불만은 점점 쌓여왔다. 이렇게 액티브엑스가 고집됐던 이유는, 특별한 계기가 없으면 기존 인프라를 뒤엎는 위험은 감수하지 않으려는 인식이 크게 작용했으며, 국가에서 지정한 기술에 대해 반기를 들기에는 은행이나 보안업계가 소극적인 탓도 있었다.


스마트폰뱅킹 이슈로, 공인인증서 문제 폭발

최근 스마트폰의 활성화, 엄밀히 말하면 아이폰의 국내 도입은 휴대폰 영역 뿐 아니라 인터넷 영역까지 큰 영향을 미쳤다. 결국 이런 영향은 스마트폰에 뱅킹 프로그램을 어떻게 적용할지에 대한 논란을 이끌어 액티브엑스를 이용하고 있는 공인인증서까지 불똥이 튀게 되는 상황을 연출했다. 초기의 쟁점은, 어떻게 스마트폰에 공인인증서를 탑재할 것인지에 대한 논란이었지만 스마트폰 보안문제가 제기되면서 공인인증서의 보안 문제로까지 이어지게 됐다.


그 이면에는 오픈웹의 주장이 크게 작용했다. 그동안 웹 표준을 주장했던 오픈웹 진영은, 국내 인터넷이 웹 표준을 따르지 않는 이유가 액티브엑스를 이용하고 익스플로러에만 최적화된 국내 전자금융 체계에 있다고 보고, 금융결제원을 대상으로 소송을 여러 차례 벌인바 있다. 그리고 스마트폰 뱅킹 논란이 제기되자 공인인증서 문제를 제기하기 시작했다. 그리고 공인인증서의 대안으로 기존 SSL+OTP 기술을 적용해야 한다는 주장을 펴기 시작했다.


SSL(Secure Sockets Layer)은 글로벌 표준 통신보안접속 수단으로 방통위의 보안서버 활성화 정책으로 이미 우리나라에서도 많이 이용하고 있는 기술이다. 그리고 이용할 때 마다 패스워드를 자동을 생성해주는 OTP(One Time Password) 역시 이미 국내 인터넷 뱅킹에 도입돼 이용되고 있다.


상황이 이렇게 되자 행정안전부는 스마트폰으로 전자결제를 할 수 있는 공인인증서 이용 표준을 마련한다고 지난 3월 5일 밝혔다. 그리고 3월 22일에는 스마트폰 공인인증서가 전자결제에는 문제가 없다는 입장을 밝혀 기존 공인인증서 제도를 유지할 것을 재확인했다. 아울러 금융결제원은 액티브엑스를 대처할 수 있는 기술에 대한 언급을 시작했다. 금융결제원 측은, 자바 기술을 이용한 공인인증서는 이미 테스트를 완료하고 적용단계에 이르렀지만, 신규 인프라에 대한 사회적인 합의 진행된 현 상황에 이르러서야 기술의 적용이 가능하게 된 것이라는 설명이다.


결국 전자금융거래에서 공인인증서와 SSL+OTP 중 어느 기술이 더 적합한지에 대한 논의가 시작되기 시작했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>