임시처방 아닌 근본적 대안 마련 필요성 제기

국내 5개의 공인인증기관으로 구성된 한국인증산업발전협의회에 따르면 오는 22일부터 금융거래 등에 사용되는 공인인증서의 비밀번호 설정규칙이 바뀐다. 공인인증서 비밀번호 최소 자릿수를 8자리에서 10자리로 변경하고 영문의 대소문자도 구분도 된다. 또 비밀번호에 반드시 숫자, 영문, 4개의 특수문자(‘ “ ￦ |)를 제외한 특수문자를 포함하도록 했다.

그러나 일각에서는 공인인증서의 비밀번호를 복잡하게 바꾸는 것이 보안성 향상에 크게 도움되지 않는다는 주장이 제기됐다.

이와 관련 익명의 보안전문가는 “패스워드를 어렵게 변경하는 것은 공인인증서 이외의 정보가 유출되지 않았다는 가정 하에서만 효과적이다. 다시 말해 공인인증서는 탈취됐으나, 공인인증서 비밀번호 등이 유출되지 않았을 때에는 비밀번호를 어렵게 함으로써 보안성이 향상된다는 얘기다. 그러나 최근 금융정보탈취 공격유형을 살펴보면 공인인증서, 공인인증서 비밀번호 등의 금융정보를 모두 탈취해가기에 보안성 향상 효과를 기대하긴 힘들것”이라고 밝혔다.

또 다른 보안전문가 역시 비슷한 의견이다. 사용자 PC에 대한 제어권을 가지고 있으면서 금융기관에서 사용하는 키로깅 방지솔루션을 우회할 수 있을 때나 파밍을 통해 금융정보를 모두 탈취한 경우에는 무의미하다는 것.

심지어 일부는 비밀번호 복잡도를 높이면 금융정보 탈취 위협이 오히려 높아질 수도 있다고 우려했다. 비밀번호가 복잡해 진다면 이를 기억하기가 어렵기에 스마트폰이나 PC 등에 비밀번호를 저장해 두고 사용하는 이들이 증가한다는 것이다.

이에 대한 대책으로 KTB솔루션 김태봉 대표는 사용자들이 전자금융사기 예방 서비스에 가입해 계좌이체 등의 서비스를 이용할 때 특정 단말기에서만 서비스를 이용하도록 적극 유도하는 방법을 들었다. 인증서는 탈취됐지만 사용자가 특정 장비(휴대폰, PC)를 통해서만 거래하겠다고 지정해 두면 범죄자들에 의한 거래 성사를 일정 부분 막을 수 있기 때문이다.

그러나 김 대표는 전자금융 안정성 확보를 위해서는 추가 대책 마련이 시급하다는 입장이다. 예로 거래 연동 OTP를 도입하고 고객들에게 사용을 적극 권장하는 방법을 들었다.

그는 “계좌 이체 시 기존 OTP를 사용하더라도 메모리 상에서 수취인의 계좌번호를 바꿔치기 한다면 금융사고를 막기 어렵다. 이에 대한 최선의 대안으로 수취인 계좌번호나 거래금액 등의 거래정보와 연계해 해당 거래에만 유효한 인증정보로 인증하는 거래연동 OTP 방안이 제시됐다. 이미 금융보안연구원이 기존 OTP의 보안성을 한층 강화하고자 거래연동 OTP 기술을 개발했지만 금융권에서는 비용 등의 문제로 도입에 차질을 겪고 있다”고 설명했다.

따라서 금융권은 비밀번호를 늘리는 등의 임시방편적 방법보다는 근본적인 해결책 마련이 필요할 것으로 보인다. 먼저 기존에 나와 있는 대비책을 홍보하고 활성화시키는 것이 우선시 되어야 한다는 것. 또 금융보안을 비용이 아닌 투자로 생각해 추가 대비책 마련에 동참하고, 대비책이 마련되면 이를 꺼리는 미온적인 태도에서 벗어나 보다 적극적으로 참여하는 자세가 필요하다는 것이다.  

한편 거래연동 OTP는 30초에서 1분마다 새로운 비밀번호를 생성하는 기존의 일반 OTP와는 차이가 있다. 거래연동 OTP 이용을 위해서는 별도의 전용장치를 소지해야 한다. 이 전용장치는 숫자 키패드와 액정화면이 부착된 전용 보안토큰으로 구성됐다. 금융 거래 시 전용장치에 수취인 계좌번호와 송금액을 입력한 후 전용장치에서 관련 정보를 기반으로 인증정보를 받아 이 정보를 인터넷뱅킹 화면에 입력하는 방식으로 사용할 수 있다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>