공인인증서 대량 유출 사태: 관치 보안의 종착점

2013.02.13 글쓴이 youknowit

지난 며칠 국내 여러 언론은 공인인증서 약700여개가 대량으로 유출된 사실을 금융결제원(공인인증기관 중 하나임)이 발견하고 이들 중 461개를 일괄 폐기했다는 사실을 뉴스로 보도했다. 일부 언론은 “역대 최대“라느니, “비상“이라느니 하는 자극적 제목을 달고 있지만, 실은 공인인증서의 대량 유출은 하나도 새로운 것이 아니다. 2007년 1월에도 벌써 5000여개의 공인인증서가 유출된 사실이 발견된 바 있다. 이 사실은 KISA의 “인터넷침해사고대응지원센터 대응지원팀” 공재순 주임연구원(당시)이 월간 정보보호21c 라는 잡지에 실명으로 기고한 글에서 밝힌 내용이다. 그러니 고작 700여개의 공인인증서가 유출되었다는 이번 사태는 실은 명함도 못 내밀 수준이라고 봐야 한다. “역대 최대”니 하는 제목을 다는 언론사는 국내 보안 환경의 실상에 대하여 자신이 얼마나 무지한지를 스스로 보도하고 있을 뿐이다.

발각된 것만도 5000장이니, 700장이니 하는 수준이므로, 발각되지 않은 유출 규모는 이보다 훨씬 더 많다고 보는 것이 상식에 부합할 것이다. 공격자 일수록 자신의 ‘보안’에는 철저히 더 신경을 쓰게 마련이므로, 자신이 수집해서 거래하는 공인인증서(개인키) 파일 뭉치가 함부로 노출되도록 방치하지는 않을 것이다. 유출의 경로나 탈취 방법은 여러가지가 있겠지만, 결국에는 한가지 원인으로 귀결한다. 한국의 공인인증서(개인키)는 무단복제가 무한정 가능한 파일형태로 저장될 뿐 아니라, 그 저장 위치나 폴더 명칭도 이미 훤히 노출되어 있으므로 공격자가 복사해 가는 것을 막을 방법이 없기 때문이다. 한마디로 공인인증서(개인키) 파일은 이미 내 혼자만의 것이 아니라고 보는 것이 실상에 더 근접할 것이라는 엄연한 사실을 이제는 인정해야 할 때가 되었다고 생각한다. 전국민의 주민등록번호가 사실은 이미 다 노출/유출되어 있다는 점도 아직 받아들이지 않으려는 사람이 간혹있지만, 공인인증서(개인키)도 조만간 주민등록번호 만큼은 아닐지라도 사실상 사용불가능할 수준으로까지 노출되는 것은 시간 문제라고 본다. 이미 지금도 공인인증서로는 공격을 막을 수 없어서, 보안카드를 사용하고 있다는 사실도 기억할 필요가 있다.

무단 복제가 가능한 파일을 유저들에게 하나씩 나눠주고는 “잘 보관하시라” 부탁해 놓고는, 이 파일(이 유출되지 않았을 것)에 모든 것을 걸고 있는 맹목적 자세가 현재 국내의 전자금융거래 보안 기술의 전제를 이룬다고 해도 과언은 아니다. 인증서개인키가 이렇게 유출되는 판에, 부인방지 운운하는 감독당국의 기술적 무지는 더더욱 난감하다. “유저에게 파일을 나눠주고 잘 보관하라고 부탁하면 그만”이라는 안이한 전제 자체에 대한 근본적인 반성과 재평가가 없이는 사태가 개선될 가능성은 없다. 이미 무수히 설치하고 있는 플러그인에 몇개 “더” 추가하여 플러그인을 설치하게 한다고 해결될 문제가 아니다.

국내의 모든 금융기관에게 공인인증서 사용을 강요해 온 금융위원회/금융감독원은 공인인증서 “이후”체제에 대하여 진지한 고민과 준비를 해야 할 때가 왔다고 생각한다. 하지만, 이번 사고에 대하여 금감원은 “현재까지 유출된 공인인증서를 활용한 현금인출 등 금융사고는 보고된 바 없다”는 반응을 보였다고 한다. 불을 보듯 뻔한 가까운 장래에 다가올 공인인증 대재앙의 파장을 애써 축소하고, 외면하기에 급급한 금융감독원의 행태는 자못 절망적이다. 은행, 카드사들이 금감원에 “보고”하지만 않으면 그만인가? 하긴 금감원은 국회에 제출한 자료(비공개라고 극구 주장하지만)에서 최근 어느 한해의 전자금융사고가 “2건”이라고 주장한 적도 있다. “보고” 받은 건이 2건이라는 것이 금감원의 궁색한 해명이다. 제대로 조사해서, 작성 책임자의 실명을 떳떳히 공개하고 발표할 수 있는 전자금융사고거래 현황 통계라도 마련하는 것이 금융감독 기구의 본연의 임무가 아닐까? 금융기관이 사고거래를 쉬쉬 덮고 보고 안하는 것이 문제라면, 제도를 개선하여 사고거래 보고를 안하기 어렵도록 하는 것도 금감원의 임무일 것이다. 사고거래는 “금융기관”만이 알고 있는 것이 아니라, “피해자”도 아는 것이므로 금융기관이 일방적으로 숨기지 못하도록 하는 제도를 마련하는 방안은 여러가지가 있을 수 있다.

공인인증서 사용을 강요하는 규제 전략을 이제는 폐기할 때가 되었다. 보안전문가로 알려진 안철수 전 후보도 현재와 같은 공인인증제도는 폐지하기로 공약한 바 있다. 공인인증제도가 보안에 실제로 도움이 되는 제도라면 국내에서 가장 명성이 높은 보안전문가께서 그런 공약을 하실 수는 없었을 것이라는 점을 곰곰히 생각해 봤으면 좋겠다.

업계는 이미 다양한, 더욱 선진적인 보안 기술을 준비해 놓고 있다. 모두들 금융위/금감원의 결단을 지루하게 기다리고 있을 뿐이다.

Categories: 공인인증서, 보안 | 2 comments  오픈웹 구독 메일로 받기

One Pingback/Trackback

  • http://twitter.com/FearlessBear1 프리덤 곰돌이

    알면 알수록 허술하다고 할까요?
    개방접속(http:)하면서 공인인증서 관련 Active X를 미친듯이 깔고있는 윈도우를 보고 있으면 답답하기만 합니다.
    몇달 전에 이 문제를 알게되었는데 그 다음부터는 공인인증서 몇백개 도둑맞은 것 가지고는 웃음만 나오더군요…;;

    주위사람들에게 이 문제에 대해 이야기해주고는 있지만 모두 듣기싫어하더군요. ^^;;
    가뜩이나 복잡한 세상에 복잡한 논리 이야기 듣는것도 싫어하고, 더군다나 자신은 튼튼하다고 믿는 시스템이 얼마나 허술한지를 알려주니 거부감이 대단합니다.

    아무튼 올려주신 글 감사히 읽었습니다.

    p.s. 예전에는 트랙백이 되었는데 이제는 안되네요…;; 조금 당황했습니당.

  • Pingback: SSL 병신육갑 스토리 | 지구 저편 대나무숲

«

»