- 한국식 공인인증체계의 허술함, 3.20 사이버 대란이 증명- 선진국들, 왜 우리와 다른 보안체계 사용할까?- 우리 공인인증체계, 기업들에게 변명의 빌미 주고 있어- 결국 책임지게 되는 건 이용자, 기업은 보안관련 투자 안하게 된다
■ 방 송 : FM 98.1 (18:00~20:00)
■ 방송일 : 2013년 4월 12일 (금) 오후 7시
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 김기창 고려대 법학전문대학원 교수
◇ 정관용 > 인터넷뱅킹이나 인터넷쇼핑 하게 되면 공인인증서 발급 받아야 되고 또 보안 프로그램도 매번 이것저것 깔고요. 그리고 본인인증 절차 거치고 이렇게 했었죠. 좀 번거롭긴 하지만 이게 철저한 보안을 위해서 필요한 건가보다. 우리는 그렇게 알고 있었는데요. 그런데 우리나라의 인터넷 공인인증시스템이 번거로울 뿐만 아니라 보안상 더 위험하다라는 주장이 나오고 있습니다. 공인인증제도 철폐를 위해 금융위원회에 감사청구운동까지 벌이고 계신 분이 있어요. 고려대학교 법학전문대학원 김기창 교수 연결합니다. 김 교수님 안녕하세요?
◆ 김기창 > 안녕하세요?◇ 정관용 > 이게 좀 전문적인 얘기들이 나올 것 같아서 제발 좀 쉽게 설명해 주십시오. 미리 부탁드리고요.◆ 김기창 > (웃음) 네.◇ 정관용 > 우리나라의 현재 공인인증방식이 어떤 방식입니까? 좀 설명해 주세요.◆ 김기창 > 간단히 말씀드리면 유저들에게 파일을 나눠주는 겁니다.◇ 정관용 > 파일?◆ 김기창 > 네. 파일을 나눠주고 그 파일을 NPKI라는 이름의 폴더 안에 이렇게 저장하는 그런 방식으로 운영되는 게 우리나라 공인인증제도입니다.◇ 정관용 > 이렇게 설명 들어도 모르겠는데요.◆ 김기창 > (웃음) 간단해요.◇ 정관용 > 저도 인터넷뱅킹 할 때 보면 금융기관에 공인인증서 발급 신청해서 본인인증절차를 밟고 그다음에 공인인증서를 발급받아서. 유효기간이 또 있지 않습니까?◆ 김기창 > 그렇죠. 1년 정도.◇ 정관용 > 그리고 이건 하드디스크에 저장하는 것보다 USB에 갖고 다니는 게 더 낫다.◆ 김기창 > 그게 흔히 자꾸 그렇게 말씀들이 도는데. 실은 USB에 저장하나 하드디스크에 저장하나 공격자 입장에서는 큰 차이는 없어요. 왜냐하면 공격자가 유저 컴퓨터를 이렇게 장악하고 악성코드를 심어둔다면 당장의 하드디스크에 NPKI폴더가 없더라도 즉시로 철수할 이유는 없거든요. 관심을 두고 있으면 유저가 USB를 꽂으면 하는 게 즉시로 파악이 되거든요. 그러면 그때 그냥 복사해 가면 되니까. 어느 쪽이나 복제는 아주 쉽게 된다. 이게 공인인증서라는 게 암호를 입력하고 이럴 필요 없이 copy paste만 하면 NPKI 폴더 그리고 그 안에 든 나의 공인인증서 이게 통째로 다 복제가 되는 겁니다.◇ 정관용 > 그런데 그 공인인증서를 발급받았지만 거기 자기 개인 암호를 넣어야 이게 들어갈 수 있잖아요?◆ 김기창 > 그렇죠. 그래서 인증서 암호가 유출되면 모든 게 다 유출된다. 파일 자체는 아주 유출이 쉬우니까 그 안에 개인키라는 파일이 있는데 그 파일이 바로 암호로 보호되고 있는 것입니다. 그런데 암호라는 게 문제는 유저들이 자기가 사용하는 다른 여러 계정의 암호하고 공인인증서 암호하고.◇ 정관용 > 비슷한 경우도 많고.◆ 김기창 > 같게 정해두거나 비슷하게 정해두는 경우가 대부분입니다. 그래서 유저들이 다른 계정에서 입력하는 암호 그것도 아주 쉽게 유출이 됩니다.◇ 정관용 > 그래요?◆ 김기창 > 금융기관에서는 그거 유출을 막아보려고 키보드 보안 플러그인 이런 거 막 설치하게 하는데. 금융기관에 접속 안 하고 다른 사이트에서 자기 메일 체크하거나 이럴 때 암호 타자 치잖아요. 그러면 그건 쉽게 빠져나가거든요. 그러니까 암호도 막기 어렵고 파일 빠져나가는 것도 막기 어렵고. 그런 상황입니다.◇ 정관용 > 공격자, 공격을 마음먹은 사람들 입장에서는 공인인증시스템이라는 것 자체가 공인인증서 빼가기도 쉽고 암호 캐치할 방법도 있고.◆ 김기창 > 그렇죠.◇ 정관용 > 그러다 보면 인터넷뱅킹하는 사람은 자기 재산 다 날릴 수 있겠네요.◆ 김기창 > 또 한 가지 아주 큰 허점이 있습니다.◇ 정관용 > 뭡니까?◆ 김기창 > 재발급을 아주 쉽게 받을 수 있습니다.◇ 정관용 > 맞아요. 쉽더라고요.◆ 김기창 > 계좌번호 알고 계좌비밀번호 알고 몇 가지만 알면 공격자도 그냥 유저 행세를 하면서 재발급을 또 받을 수 있고. 이렇게 크게 세 가지 허점이 있는 겁니다.◇ 정관용 > 다른 나라는 이렇게 안 해요?◆ 김기창 > 안 하죠.◇ 정관용 > 어떻게 합니까? 다른 나라는?◆ 김기창 > 다른 나라, 아마존도 있고 이베이도 있고 아이튠즈도 있고 구글 플레이도 있고. 전 세계적으로 온라인 거래는 엄청나게 활발하게 이루어지고 있습니다.◇ 정관용 > 네.◆ 김기창 > 한국만 온라인쇼핑 온라인뱅킹하는 게 아니고.◇ 정관용 > 물론이죠.◆ 김기창 > 이게 엄청난 규모로 벌어지고 있는데. 한국 같은 방식을 채용하지는 않고요. 첫 번째로 유저 입장에서는 아주 간편하고 그다음에 유저가 어떤 프로그램도 자기 컴퓨터에 추가로 설치 안 하고 거래하는 그런 방식을 취하고 있고요.◇ 정관용 > 그럼 어떻게 보안을 지켜요?◆ 김기창 > 네. 보안은 결국은 백그라운드에서 체크를 하는 게 아주 중요한 겁니다. 아마존이 됐건 페이팔이 됐건 거래의 패턴을 뒤에서 이렇게 분석을 해서 거래내용 자체가 이상 징후가 포착되면 그것을 사전에 차단하고 그런 기술이 아주 고도로 발전되어 있고. 그다음에 유저 입장에서는 비밀번호는 간단하게 치고 아주 쉽게 거래하고 그래서 비밀번호도 유출될 수 있잖아요. 그런 경우에 사고가 나면 유저에게 물어줘라. 철저하게 물어줘라라고 법제도가 되어 있기 때문에 사업을 하는 자 입장에서는 어떻게 해서든 사고가 안 나는 온갖 기술을 다 열심히 개발해서 적용하고 있는 거죠. 그렇게 해서 유저의 입장에서는 아무런 프로그램 설치 안 하고 간편하게 이루어지고 혹시라도 사고가 나면 철저히 보상받을 수 있고. 그다음에 서비스 제공자 입장에서는 최첨단의 여러 백그라운드에서 뒤에서 이렇게 돌아가는 그런 기술을 동원해서 사고를 막는 거죠. 그러니까 보안기술의 진전이 우리나라보다는 월등 앞서 있다. 저는 이렇게 판단합니다.◇ 정관용 > 외국의 인터넷뱅킹이나 인터넷쇼핑을 영위하는 사업자가 발전된 보안 프로그램을 이미 다 갖고 있는 거로군요.◆ 김기창 > 그렇죠.◇ 정관용 > 그런데 우리나라는 개인 소비자들한테 다 프로그램 다운받아서 깔아라 깔아라 자꾸 이렇게 시키는 거고.◆ 김기창 > 그렇죠.◇ 정관용 > 그게 결정적 차이군요.◆ 김기창 > 더 큰 차이는 정부가 공인인증서 이것 안전하다, 안전하다 자꾸 이렇게 정부가 말을 해 버리니까.◇ 정관용 > 저도 그게 제일 안전한 건줄 알았어요.◆ 김기창 > 그렇죠. 그러니까 문제는 판사님들도 이게 안전하다, 라고 판사님들이 자꾸 생각을 하시니까 사고가 났을 때 은행이나 카드사는 야, 이거 공인인증서 썼다. 공인인증서는 안전하다. 이렇게 그 말을 믿어버리면 판사님들이 그럼, 고객 잘못이다. 이런 식으로 판결이 지금 조금 조금씩 나오기 시작하는 거예요. 이건 대단히 우려스러운 상황입니다. 왜냐하면 고객에게 자꾸 책임을 지우기 시작하면 은행이나 카드사 같은 금융회사가 보안에 투자할 동기가 없어져요.◇ 정관용 > 그렇죠.◆ 김기창 > 사고 나도 자기들이 책임 안 져도 되면 뭐하려고 거기에 투자를 하겠어요? 이건 대단히 위험한 거고. 이런 트렌드를 정부가 앞장서서 조장한다는 건 대단히 바람직하지 않다 이렇게 생각합니다.◇ 정관용 > 그런데 유독 우리나라만 왜 이런 공인인증시스템을 채택하게 됐습니까? 그 배경이 있을 것 아니에요?◆ 김기창 > 그거는 참 배경은 있는데요. 배경은 1990년대 말에 정부가 열심히 IT에 투자하고 그때 이제 IT강국 이거를 모토로 세워서 주장했고. 90년대 말 기준으로 국제수준의 암호화 기술 개발의 성과를 이뤘었습니다. 99년에 그래서 당시 정부가 이거를 정책적으로 밀어야 되겠다. 이렇게 해서 그거를 한국 안에서 강제하기 시작한 거죠.◇ 정관용 > 그런데 그거는 그 당시 시점에서 첨단이었군요.◆ 김기창 > 그렇죠. 그게 안타깝게 그 시점에는 유저 컴퓨터를 상대로 한 해킹공격이 요즘 같이 극심할 줄은 상상을 못하고 유저 컴퓨터에 추가 프로그램을 설치하는 식으로 그렇게 개발을 해 버렸던 거죠.◇ 정관용 > 그런데 시대가 바뀌었는데 빨리 변화를 못하고 있는 거군요.◆ 김기창 > 그게 참 안타까운 건데요.◇ 정관용 > 왜 변화를 못합니까?◆ 김기창 > 정부가 지금의 지난 13년 동안의 상황은 정부가 한 가지 보안기술을 콕 집어서 이거를 다 써라. 이렇게 강요를 하는 상황이 13년 동안 지속됐는데.◇ 정관용 > 그렇죠.◆ 김기창 > 그 결과는 더 진전된 보안기술이 국내시장에 못 들어오는, 경쟁이 완전히 없어져버리고. 그다음에 공인인증 솔루션을 가지고 사업하는 다섯, 여섯 개 그 업체가 아주 편하게 과점적인 시장 환경을 누릴 수 있도록 이렇게 해 주는 그런 상황이었어요. 그러니까 그거를 바꾸자 하는 데 대한 저항이 대단하고요.◇ 정관용 > 이미 기득권들이 있군요.◆ 김기창 > 기득권. 그 기득권은 두 가지인데 업체들도 기득권자이고 그다음에 규제권한을 가지고 있는 금융위원회니 이 안에도 기득권자들이 있죠.◇ 정관용 > 금융위원회에 이거 공인인증제도 철폐하자라는 감사청구운동 벌이고 계시죠?◆ 김기창 > 네, 그렇습니다. opennet.or.kr이라는 웹사이트에서 진행하고 있고요.◇ 정관용 > opennet.or.kr.◆ 김기창 > 네. 인터넷에서도 오픈넷이라고 이렇게 검색해 보시면 나올 겁니다.◇ 정관용 > 거기를 일단 들어가면 이게 무슨 내용인지 무슨 문제가 있는지 오늘 저하고 인터뷰 한 것보다 훨씬 상세하게 자료도 들어 있겠죠?◆ 김기창 > 그렇습니다. 보안기술이 자유롭게 경쟁해서 더욱 안전하고 편리하게 되도록 이렇게 하기 위한 것입니다.◇ 정관용 > 내 컴퓨터에 자꾸 이것저것 프로그램 깔아라라고 은행이 요구하는 것. 그게 사실은 위험하다는 거죠.◆ 김기창 > 그렇죠. 그게 가장 큰 위험의 문을 활짝 열어주는 것입니다. 3.20 보안대란 이런 것도 다 유저 컴퓨터에 이상한 프로그램이 깔려서 그런 건데.◇ 정관용 > 그렇죠. 알겠습니다.◆ 김기창 > 네.◇ 정관용 > opennet.or.kr. 기억해 두어야 되겠고. 우리 국민들이 우선 알아야 될 것 같습니다. 무슨 문제가 있는지. 오늘 말씀 잘 들었습니다.◆ 김기창 > 네. 감사합니다.◇ 정관용 > 고려대학교 법학전문대학원 김기창 교수였습니다.