저장은 하드웨어 디바이스 형식으로 바꾸고, 인증수단은 다양화해야 \r\n

\r\n

\r\n

자체 보안성과 제도적인 문제가 대두되면서 폐지논란까지 일고 있는 공인인증서. 과연 무엇이 문제이고 해결할 수 있는 대안은 무엇일까?

이와 관련 순천향대학교 염흥열 교수는 현재 논란이 되고 있는 공인인증서 문제에 대해 △공인인증서 PC 저장 시의 보안 위험성 △공인인증에 PKI기술만 이용하는 문제 △액티브X 기술의 운영관리 △공인인증기관의 독과점 이슈 △루트 인증기관의 투명성 △인증수단의 다양성 부족 등을 이슈로 제시했다.

먼저 공인인증서를 PC에 저장할 때의 문제점은 사용자 PC가 악성코드에 감염되면서부터 발생된다. 악성코드에 감염되면 사용자 PC는 물론 이동식 드라이브 저장장치인 USB도 바로 감염되고, 이로 인해 공인인증서가 탈취될 수 있어 문제가 커지는 것이다.

이에 대한 기술적인 개선방안으로 염흥열 교수는 “신용카드나 스마트폰에 들어있는 USIM(Universal Subscriber Identity Module)칩을 이용한 모듈과 보안 모듈 등 기존 소프트웨어 중심의 디바이스에서 벗어나 하드웨어 디바이스로 활용하면 된다”며 “공인인증서를 발급받고 저장해 금융거래 시 본인확인을 할 때 사용한다면 문제점을 개선할 수 있다”고 밝혔다.

또한, 현재 공인인증체계가 PKI(Public Key Infrastructure: 공인전자서명인증) 기술만 이용하고 있는 문제점에 대해 염흥열 교수는 “앞으로는 다양한 전자서명 인증기술이 도입될 수 있도록 공인인증정책 심의위원회를 신설하는 등 도입을 확대하는 제도적 방안을 강구해야 한다”고 제시했다.

액티브엑스 기술의 운영관리 문제는 MS의 운영체제인 인터넷 익스플로러에서만 사용되는 한계성과 보안성이 그동안 지적되어 왔다. 이에 대해 염흥열 교수는 “액티브엑스는 공인인증서와는 별개의 문제로 나눠서 생각하고, 기술적으로 하나씩 풀어서 해결해야 한다”며 “하드웨어 디바이스 방식으로 대체될 수 있는 기술을 도입하는 일이 필요하다”고 밝혔다.

공인인증기관의 독점 문제와 관련해서는 미래부에서 밝힌 것처럼 허가제에서 등록제로 바꿔 진입장벽을 낮추되, 심사는 매우 엄격하게 이뤄져야 한다고 강조했다.

또한, 루트인증기관의 투명성과 인증정책에 대해 염흥열 교수는 “루트인증기관인 KISA 내에 자체적으로 공인인증정책위원회라는 기관을 두고, 인증체계 정책수립과 세부 운영에 대해 외부에서 참여할 수 있도록 투명성을 높이는 등의 제도적인 보완이 필요하다”고 설명했다.

인증수단의 다양성 부족 지적과 관련해서는 “공인인증서만 이용하는 상황에서 판단을 한다는 것이 문제가 될 수 있다”며 “이는 전자서명법의 문제는 아니고, 민간이나 공공기관에서 필요이상으로 공인인증서를 배포하고, 사용함으로써 여러 가지 문제가 발생할 수 있는 것으로 다양한 인증수단을 도입해야 한다”고 염 교수는 강조했다.

이를 위한 기술적 대안으로 염흥열 교수는 “인증수단을 도입하는 기업 및 기관 환경에 따라 ID 및 패스워드만 사용하도록 하거나 엄격한 본인인증체계가 필요하다면 두 가지 이상의 멀티인증체계, 바이오인식 등 다양한 인증수단을 도입하면 된다”며 “따라서 인증수단을 도입해야 하는 기업 및 기관은 리스크 요인을 충분히 검토한 후 그에 맞는 인증수단을 채택해 자체적으로 보안을 책임지도록 해야 한다”고 덧붙였다.

[김경애 기자(boan3@boannews.com)]