한국 인터넷 잔혹 약사(略史) 2 – 공인인증서 “쇼를 하라!”

2009.12.27 글쓴이 youknowit

앞에서 계속

공인인증서 저장/복사

국내의 공인인증서(개인 인증서)는 흔히 하드디스크나 USB저장장치에 그냥 저장됩니다. 그 위치는 C:\Program Files\NPKI 폴더이거나(윈도우 OS의 경우), USB 드라이브 내의 NPKI 폴더 입니다.
[추가: 이글이 게시된 후인 2010년3월부터는, 윈도우 비스타 이상 운영체제의 경우, %UserProfile%\AppData\LocalLow\NPKI 에 저장되도록 바뀌었습니다. XP등에서는 여전히 C:\Program Files\NPKI]

하드디스크에 공인인증서를 저장하신 분은 “내 컴퓨터” –> “Program Files” –> “NPKI” –> “yessign” –> “User” 폴더를 가보시면 확인하실 수 있습니다(은행을 통하여 발급받은 경우).

이런 방식으로 저장된 인증서는 아무나 그냥 복사해 갈 수 있습니다. 물론, 비밀번호를 모르면 사용할 수는 없습니다. 키보드보안 프로그램 설치를 강제하는 이유는 바로 공인인증서가 이렇게 쉽게 유출될 수 있기 때문에 믿을 건 암호밖에 없기 때문입니다. 하지만, 인증서 비밀번호를 다른 여러 계정의 비밀번호와는 다르게 특별하게 정하여 사용하는 분은 많지 않고, 다른 여러 사이트에서 입력하는 비밀번호는 무방비 상태로 노출될 위험이 큰데, 이 비밀번호와 인증서 비밀번호가 같은 경우가 대부분이므로 공인인증서 비밀번호는 키보드보안 플러그인을 아무리 강제해도 쉽게 유출됩니다.

제가 이렇게 말씀드리자, 보안업체에 근무하는 어느 분께서는 “패스워드를 그 따위로 쓰는 사람을 허용하라고요? 패스워드는 제가 아는 몇가지의 조합을 바꿔 가면서 3~4가지 씁니다. 잊어 버려도 2~3번 해보면 됩니다. 그리고 가능하면 9자 이상으로 길게 쓰시기 바랍니다”라는 “해법”을 주셨습니다. 하지만 모든 이용자가 보안전문가처럼 패스워드를 이렇게 서너가지씩 다르게 써야 비로소 효과가 있는 국내의 보안솔루션은 이용자 수준을 너무 과대 평가하는 것입니다.

국내 보안업계는 한편으로는 컴맹 어르신을 전제해야 하기 때문에 무조건 액티브액스로 “편하게” 해야 한다고 주장하다가, 다른 한편으로는 이렇게 복잡하게 비밀번호를 3-4 가지 쓰라고 주문하는 모순에 빠져있습니다.

더 우스운 것은 “공인인증서 복사” 기능입니다. 하드디스크에 있는 공인인증서를 USB로 복사하거나, USB에 저장된 인증서를 하드디스크에 복사할 때 사용하라는 인증서 관리 기능입니다. 이 기능을 사용하면 인증서 암호를 입력하라는 창이 뜹니다.

인증서 암호를 모르면 공인인증서를 복사해 갈 수 없으니 안전하겠구나 하고 생각할 이용자가 많을 것입니다. 그러나 국내의 공인인증서는 암호가 필요 없이 그냥 파일을 긁어서 copy+paste 하면 복사되는 방식으로 발급되어 있기 때문에, 암호를 입력하라는 것은 순전히 “쇼”에 불과합니다.

인증서를 이런식으로 아무데나 마구 저장하는 사례도 세계에 유례가 없을 뿐 아니라, 이용자들에게 사기도 아니고 농담도 아닌 “암호입력 쇼”를 하는 것은 상식을 벗어난 처사입니다. 인증서는 웹브라우저 내부에 소프트웨어적으로 구현되어 있는 인증서 저장장치에 저장하거나(builtin object token 등), 하드웨어적으로 구현된 보안 토큰에 특수한 방법(PKCS#11)으로 저장하는 것입니다.

“인증서 복사”라는 개념은 한국에만 있는 황당한 개념입니다. 실제로는 그냥 copy+paste 하면 복사되도록 인증서를 발급해 준 다음, 이 사실을 모르는 이용자들에게 인증서를 복사하려면 인증서 암호를 입력하라고 요구하는 것은 자기 컴퓨터의 하드디스크 폴더가 무엇인지도 모르는 모르는 컴맹 이용자들을 상대로 공인인증서가 마치 함부로 복사 안되도록 안전하게 설치되어 있는 것처럼 뻥을 치거나 이용자에게 타자 연습을 시켜보겠다는 것 외에 도대체 무슨 “생각”이 있어서 그런 것인지 이해할 수가 없습니다.

해커들이 공인인증서를 우습게 보는 이유는 여기에 있습니다. 한국 전자금융 보안은 공인인증서에 목을 메고 있고, 공인인증서는 한마디로 코메디 수준으로 운용되고 있습니다.

국내 보안업체들은 한편으로는 이용자 PC가 모두 뚫린 것으로 전제해야 한다고 주장하다가, 다른 한편으로는 공인인증서는 이용자 PC가 뚫리지 않으면 유출되지 않으니 믿을 수 있다고 주장하는 자기 모순으로 일관하고 있습니다.

그리고 금융감독원은 “뭐가 뭔지는 모르지만 어쨋건 강제해두면 안전하지 않을까”라는 입장 인듯. 좀 안습.

국내의 공인인증서가 황당한 이유는 더 있습니다.
[계속됩니다]

[think.pe.kr 운영자분은 이제라도 해당 파일을 내리시기 바랍니다. 많은 공격자들은 이미 조용히 내려받아 갔겠지만...]

Categories: 공인인증서, 보안, 인터넷 뱅킹 | Tags: , , , , , , | 13 comments  오픈웹 구독 메일로 받기

4 Pingbacks/Trackbacks

  • http://diveintodata.org Hyunsik Choi

    말씀처럼 USB의 경우 \NPKI 하드 디스크의 경우 C:\Program Files\NPKI 를 복사하는 것 만으로 쉽게 인증서가 복사 됩니다. 그런데도 인증서 전용 프로그램으로 인증서를 복사할 때 암호를 물어보는건 정말 사용자들을 우롱하는 것 같습니다.

    복사가 쉽게 되는 이유로 저는 공인인증서가 들어있는 USB는 아무 PC(특히 PC방 PC들)에나 꼽지 않으려고 시도합니다. 상당히 불편합니다. 그리고 가끔 불가피한 경우가 있는데 이럴 때는 정말 난처하고 불안하기 짝이 없습니다.

    말씀처럼 보안토큰 같은 대안이 반드시 필요한 것 같습니다.

  • http://abnormalweb.blogspot.com/ 불편한웹

    재미있게 잘 보고 있습니다. ㅋㅋㅋ

    USB에 달라붙는 바이러스들도 있고 USB에 있는 공인인증서를 유출시키는 바이러스도 있습니다. 자동실행 기능 때문에 USB는 바이러스를 퍼뜨리기 위한 좋은 장치가 됩니다.

    USB에 공인인증서를 저장하라는 보안 관계자, 신문기사들이 많던데 USB에 저장하는 것은 안전하지 못한 것 같습니다. USB에 저장하다라도 공공 PC에 꼽으면 안 되고 반드시 자신이 신뢰하는 컴퓨터에만 꼽아야 됩니다.

    안티 바이러스(백신) 프로그램이 설치되어 있다고 해서 안심할 수는 없습니다. 바이러스가 보고된 후에야 패치가 나오기 때문입니다.
    보안 프로그램에 대한 과대광고가 심한데 건강보조식품의 과대광고 정도로 여시기면 될 것 같습니다.

  • 앨리스

    “NPKI.zip” 으로 구글에서 검색하니 많이 나오네요. 어떤 경우는 그와 함께 주민등록 등본 사본, 계약서, 통장 사본 등등 재미있는 게 많더군요. 어떤 경우는 서버 root 패스워드까지…

  • http://openweb.or.kr youknowit
  • http://kaos119.egloos.com 서영종

    쇼한다에 한 표 드립니다. 항상 OS를 새로 셋팅하려면 제일 먼저 하는 짓이 NPKI를 USB에 복하는 거였는데… 암호 넣고 복사하는건 처음 보네요. 저렇게는 복사해보질 않아서. 좋은 정보 보고 가네요.ㅋㅋㅋ

  • http://850219.com 트루

    푸하하..
    진짜 저거 쇼인것 같아요.. 그냥 암호 없이 복사만 해도 인증서 복사가 되는데
    인증서관리자에서는 암호를 입력하라고 하고..-_-;
    참 쓸모 없는 짓을…

  • Pingback: “국내용” 보안 기술/정책의 실상 « Open Web

  • 황하준

    ‘쇼’라는 글자에 ^ 넣고 ∞나 달라고 하고 싶군요… ㅋㅋㅋ

    도대체 뭔 생각으로 인증서 ‘수출입’에 암호 넣으라고 했는지 모르겠습니다.

    C:\Program~1\Npki에 ‘락’이라도 걸었습니까? 사용자명만 알면 복제야 시간 문제더군요… 단지 폴더 찾기가 귀찮아서 그렇지…

    C:\System Volume Information마냥 폴더 자체가 아예 접근금지 설정이 되어 있다면야 인정하겠는데(숨김폴더 보기 옵션으로 보이게 한 다음 들어가도 못 들어가고, 심지어 명령 프롬프트로도 접근 불가합니다) 이것도 아니고…

    이 때문에 보안업체 엿먹으라고 매번 갱신할때마다 일부러 메일에 올려놓고 사용중이죠… ㅋㅋㅋ

    • http://dlfldhahxp.tistory.com/ 夢の島

      System Volume Information폴더도 우분투로 부팅하면 접근이 가능하기 때문에 안전한 보관 방법이라고 할 수만은 없습니다만…그래도 윈도우만 쓰는 대부분의 사람들을 생각하면 그 편이 조금이라도 더 안전하긴 하겠군요

  • mountie

    http://choiceup.com/certif/faq.asp?num=&searchID=&searchWord=&page=2&custGubun=33&mJong=#faq
    이런곳도 있군요.
    공인인증서를 메일로 전송하여 처리하는 방법을 자세하게 안내하고 있습니다.

  • Pingback: 스마트폰 보안정책 – 해설2 (“전자서명 등”의 사용) « Open Web

  • Pingback: 공인인증 제도 개선을 위한 제언 « Open Web

  • Pingback: 공인인증서의 허술함을 이제는 인정할 때 | Open Web

«

»