새로운 인증방법 평가에 있어 기술적 장벽만 너무 높아... 

[보안뉴스 오병민] 오늘 3월이면 인터넷뱅킹 거래에서 공인인증서 외에 다른 인증수단이 허용된 지 2년이 되지만 공인인증서를 대체할 인증방법은 아직도 나타나지 않고 있다. 공인인증서를 대체하려면 전자금융거래 인증방법 평가를 받아야 하지만 지금까지 평가를 받은 사례가 한건도 없는 것으로 파악됐기 때문이다.

금융업계에 따르면, 전자금융거래 인증방법을 평가하는 4개 기관에서 공인인증서를 대체하는 인증방법 심사를 진행한 사례는 한건도 없는 것으로 파악됐다. 이에 따라 업계에서는 대체 인증수단을 허용하는 공인인증서 의무사용 규제완화 조치가 발표된 이후 도입이 너무 지연되고 있다는 의견이 제기되고 있다.

공인인증서 대체 인증수단은 그동안 인터넷뱅킹 거래에서 의무적으로 이용해야 하는 공인인증서가 웹표준 호환성과 보안성 문제가 지적되자 그 필요성이 제기된 바 있다.

이에 따라 정부는 2010년 3월 31일 전자금융감독규정 제7조를 개정하는 것을 골자로 한 ‘전자금융거래시 공인인증서 의무 사용규제 완화’ 조치를 발표했으며, 같은 해 5월 31일 국무총리실을 비롯한 관계부처가 공동으로 전자금융거래시 공인인증서와 병행하여 사용할 수 있도록 하는 보안 가이드라인(전자금융거래 인증방법의 안전성 가이드라인)을 발표했다.

그러나 이후 대체 인증수단 도입은 조금씩 지연돼 왔다. 인증방식평가위원회 구성과 기준 제정이 지연돼 ‘전자금융거래 인증방법의 안전성 기술평가기준’은 지난 2011년 1월 31일이 되어서야 발표됐다. 그리고 평가기관도 5월이 되어서야 금융보안연구원이 처음으로 지정됐다.

 

전자금융거래 인증방법 평가기관   △금융보안연구원(2011년 5월 6일 지정, 2014년 5월 5일 만료)   △한국정보통신기술협회(2011년 6월 29일 지정, 2014년 6월 28일 만료)   △한국시스템보증(2011년 7월 15일 지정, 2014년 7월 14일 만료)   △금융결제원(2011년 11월 14일 지정, 2014년 11월 13일 만료) 총 4곳.

평가를 신청해 받는 것도 쉬운 일이 아니다. 평가를 신청한 이후 평가에 대한 세부기준을 확정해야 평가 계약을 진행할 수 있기 때문이다. 평가 계약이 완료돼야 비로소 평가가 진행된다.

평가기관의 한 관계자는 “대체 인증수단은 새로운 방식으로 진행되는 것이기 때문에 각 제품마다 인증평가 항목에 대한 세부기준이 다르며, 이 같은 세부기준은 4개 평가기관이 협의해 구성한다”며, “평가기관이 협의하는 이유는 평가기준이 각 기관마다 다르지 않고 일관성이 유지되어야 하기 때문”이라고 밝혔다.

이처럼 대체 인증수단 도입이 까다롭고 느리게 진행되는 이유는 금융권에서 보안이 중요한 만큼 인증수단의 도입도 신중해야 한다는 신중론 때문이다. 그러나 전문가들은  신중한 것도 좋지만 너무 기술적인 부분에 치우쳐 있어 도입의 진입장벽만 높인 것이 아니냐는 우려를 나타내고 있다.

보안업계의 한 전문가는 “기술적으로 완벽하게 보안을 지킬 수 있으면 좋겠지만 어떤 보안기술도 완벽할 수 없고, 완벽하더라도 기술적 측면이 아닌 다른 부분에서 허술하다면 쉽게 무력화 될 수 있다”며, “기술적인 장벽만 높일 것이 아니라 금융업계의 투명성 제고나 책임성 강화 등 관리적인 수단을 포함해 포괄적인 금융보안 체계가 정립되도록 하는 혜안이 요구된다”고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>