공인인증서 유출 위험, 보안토큰 의무화가 대안될까?
최근 정부가 보이스피싱이나 피싱·해킹 등으로 인한 공인인증서 유출사고를 막기 위해 전자서명법 시행규칙 개정안을 입법예고했다. 이에 따라 은행 공인인증서의 ‘보안토큰(HSM: Hardware Security Module)’ 저장방식이 의무화되고 재발급 절차도 강화될 것으로 보여 ‘보안토큰’에 대한 관심이 높아지고 있다.
여러분 한가지 상식이 있습니다.
각 OS별로 인증서를 저장하는 저장소를 제공합니다.
여기서 신뢰된 인증서와 인증서 기관을 OS별로 엄격하고 안전하게 관리하죠.
물론 이 인증서 저장소에 신뢰되지 않은 기관이 들어간다면 컴퓨터의 해킹 위험이 아주 높겠지만.
요즘 OS들이 보안이 엄격해져서 사용자가 주의만 잘 하면 이런 일도 없죠.
근데, 이 안전한 보관소를 냅두고 독자적 저장소를 사용자 컴퓨터에 심는다고 합니다.
유명했던 가상 디스크 암호화 프로그램 TrueCrypt가 왜 뚫렸는지 아시면
이 보안토큰의 삽질을 이해하실 겁니다.
그리고 백도어를 반드시 만들게 되어 있는 개발자의 귀차니즘도.
