법무부, 지난해 6월부터 ‘화상공증’ 제도 운영... 화상통화로 공증 업무 진행
‘영상 재전송’, ‘화상인증 시 개인정보 유출’ 위협 지적도
법무부 “공증 과정 3자 개입 불가능하고, 암호화 통신 통해 영상 녹화”

[보안뉴스 양원모 기자] 법무부가 지난해 6월부터 시행 중인 ‘화상공증’ 제도는 공증신청자(촉탁인)가 공증사무소에 가지 않고, 화상통화로 공증 업무를 진행하는 게 핵심이다. 그간 공증은 촉탁인이 사무소를 찾아 공증인에게 신원을 확인해주고, 업무를 진행하는 방식으로 이뤄졌다. 2010년 PDF 등 전자 문서파일의 공증을 합법화한 전자공증 제도가 시행된 뒤에도 이런 ‘대면 신원확인’ 원칙은 변하지 않았다.


법무부에 따르면, 지난해 6월 20일부터 올해 5월 26일까지의 화상공증 이용자 수는 370명이다. 하루 1번꼴이다. 편리한 절차로 이용자 수가 더 늘어날 것으로 예상되는 화상공증 제도에 보안상 허점은 없을까. 이를 살펴보려면 먼저 화상공증 과정을 알아야 한다.

화상공증은 법무부 ‘전자공증시스템’ 홈페이지를 통해 진행된다. 홈페이지에 공증문서 PDF 파일을 등록하고 ‘촉탁신청’ 버튼을 누르면 화상공증과 방문공증을 선택할 수 있는 화면이 뜬다. 화상공증을 고른 뒤 공증인과 공증 날짜를 지정하면 모바일 앱(‘편리한 공증제도’)으로 신분 확인(화상인증)을 거쳐 공증인과의 화상전화 대화방이 개설된다. 화상전화는 웹캠과 모바일 둘 다 가능하다. 공증인은 화상 속 인물과 신분증을 대조한 뒤 공증 내용을 확인하고 PDF 파일에 전자서명을 한다. 이 모든 과정은 녹화돼 법무부 전자공증시스템에 암호화 상태로 등록된다.

이 중 해커의 공격 가능성이 가장 높은 건 ‘공증인과의 화상통화’ 단계다. 화상통화 영상은 녹화가 원칙인데, 이를 빼돌린 해커가 추후 촉탁인을 사칭한 화상공증 과정에서 영상을 재활용하는 ‘재전송 공격(Replay attack)’을 시도할 수 있다는 것이다. 이상진 고려대 정보보대학원 원장은 2015년 ‘전자공증시스템을 이용한 화상공증 도입’ 연구 보고서에서 이 같은 점을 지적하며 “정당하지 않은 사용자가 인증을 통과해 전자공증을 수행할 수 있다”고 경고했다.


화상인증 과정에서 개인정보 유출도 위협 요소다. 이 교수는 “화상대면 인증을 수행하는 동안 촉탁인은 단 한 번 자신의 신분증을 화면에 스캔해 공증인에게 신원 확인을 받는다”며 “이를 악의적인 사용자가 가로챈다면 신분증에 대한 개인정보가 유출될 수 있다”고 했다.

이에 대해 법무부 관계자는 29일 “화상공증은 촉탁인이 사전에 참여자 정보를 등록하고, 공증인이 확인·접수 처리한 이후에 (화상공증) 대화방이 개설되기 때문에 제3자가 참여할 수 없다”며 “대화방은 반드시 1단계 본인인증(공인인증서 또는 휴대폰), 2단계 신분증(주민등록증 또는 운전면허증) 진위확인 과정을 거쳐야 한다”고 말했다.

이어 “화상공증이 진행되면 암호화 통신을 통해 (영상의) 녹음·녹화가 진행되고, 실시간으로 저장돼 영상파일을 편집하거나 조작할 수 없다”며 “화상공증 촉탁문서 및 영상파일이 저장되는 하드웨어 장비들은 행정안전부 국가정보자원관리원에서 24시간 365일 관제를 하고 있다”고 덧붙였다.
[양원모 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>