공인인증 제도 개선을 위한 제언

2010.02.06 글쓴이 youknowit

한국 인터넷 환경이 왜곡되고, 한국의 인터넷 거래/보안 기술 트렌드가 철저히 고립의 길을 걷게된 결정적 원인은 공인인증 제도의 기술 규격이 “독특하게” 정해져 있기 때문입니다. 지금처럼 하드디스크 또는 이동식 저장장치의 일반 폴더(NPKI)에 개인키와 인증서를 제각각 파일 형태로 저장해 두고 개인인증서를 사용하도록 강요하는 “기술 규격”은 상식적으로 납득이 가지 않습니다. 윈도우 사용자를 전제로 말씀드리겠습니다.

첫째, 지금처럼 시스템 폴더(C:\Program Files\NPKI)에 개인인증서를 저장하게 할 경우, 관리자 권한으로 컴퓨터를 사용하도록 강요하게 됩니다. 관리자 권한으로 컴퓨터를 사용할 경우, 의도하지 않은 프로그램을 자신도 모르게 자기 컴퓨터에 설치하게 될 위험이 수반됩니다. 일상적인 뱅킹, 쇼핑 등의 거래에 필요한 개인인증서를 발급받는 일에 관리자 권한으로 자신의 컴퓨터를 작동하도록 요구하는 것은 보안 기술 상식에 어긋납니다.

둘째, 개인인증서를 지금처럼 저장할 경우, 지구상의 어떤 웹브라우저로도 그 인증서를 이용할 수 없으므로 인터넷 거래에서 한국의 공인인증서를 이용하려면 별도의 플러그인(plugin)을 이용자가 자신의 컴퓨터에 내려받아 설치해야 합니다. 그동안 끊임없이 제기되어 왔던 ActiveX 관련 논란은 공인인증서를 웹브라우저가 알아먹을 수 없는 “괴상한” 위치에 저장하도록 기술 규격을 정하는 순간 피할 수 없었던 것입니다. 별도의 플러그인을 사용하지 않을 수 없도록 공인인증서 기술 규격을 정해 두시면, 국내 보안 업체는 플러그인 영업을 안정적으로 할 수 있겠지만 은행, 카드사, 쇼핑몰 등 거래서비스 제공자들은 고객들에게 플러그인을 배포하고, 계속해서 업그레이드하고 재배포해야 하는 엄청난 비용과 부담을 떠 안게되고, 온 국민은 자기 컴퓨터에 영문도 모르는 프로그램을 끊임없이 설치해야 하는 사태가 발생합니다(보안경고창이 나타나면 무조건 “예”를 누르는 사태).

셋째, 개인인증서를 지금처럼 시스템 폴더에 저장할 경우, 하나의 컴퓨터를 여러사람이 사용하는 상황에서는 그 컴퓨터에 저장된 모든 인증서가 모든 이용자들에게 당장에 노출됩니다. 그래도 비밀번호를 모르면 사용할 수 없다고 하시겠지만, 그말은 곧 비밀번호만 알면, 국내의 공인인증서는 아무 소용이 없다는 말입니다. 인증서의 존재이유는 비밀번호만 알면 통과할 수 있는 single-factor 인증기법과는 달리, 자신만 가지고 있는 소지 수단까지 있어야 통과할 수 있는 two-factor 인증기법을 제공한다는 것인데, 지금처럼 공인인증서를 저장하면 비밀번호에만 의존하는 single-factor 인증으로 될 뿐입니다. 90년대 후반 수준의 윈도우 운영체제는 계정 권한에 대한 개념 조차 없이 보안에 허술하였으므로, 개인인증서 저장 위치를 시스템 폴더로 하건 말건 별 상관이 없었겠지만, 지금은 2010년입니다.

넷째, 현재와 같은 위치에 공인인증서를 저장할 경우, 그냥 copy + paste 만 하면 공인인증서가 복사됩니다. 그 내막을 모르는 이용자들에게는 “공인인증서 복사”를 하려면 인증서 암호를 입력하라고 요구하고 있지만, 이것은 컴퓨터 하드디스크나 USB 폴더가 어딘지도 모르는 일반 이용자를 우롱하는 처사입니다. 그냥 copy+paste 만 하면 공인인증서가 복사된다는 사실을 공격자가 모르지는 않습니다.

현행 기술규격을 제정할 때, 과연 어떤 “전문가”께서 자문에 응하셨는지를 밝혀주십시오. 그분의 공개적 해명을 듣고 싶습니다. 웹브라우저에 고강도 보안접속/인증서 로그인 기능이 없었으므로, 별도의 플러그인으로 인증서를 사용하는 방법이 필요했다는 주장은 설득력이 없습니다. 2000년 초반부터 전세계에 배포되는 웹브라우저는 128bit 보안접속/인증서 로그인 기능을 기본으로 구비하고 있었습니다. 거래내역 전자서명을 위해서 별도의 플러그인이 필요하더라도, 인증서 저장위치를 그렇게 괴상하게 정해 둘 보안 기술적 이유는 전혀 없습니다. 그 전문가라는 분께서는 아직도 현재 위치에 현재와 같은 방법으로 공인인증서를 저장해야 한다는 견해이신지 궁금합니다.

저처럼 외부에서 이 사태를 바라보는 사람의 시각에서는 지난 10년간 고집해온 공인인증서 저장 규격은 국내 보안업체들에게 별도 플러그인 판매 시장을 확보해 주고, 범용적 거래/보안 솔루션을 구사하는 외국 경쟁 업체가 국내에 진입하는 것을 막아보려는 시도로 밖에는 달리 이해할 길이 없습니다. 그런 “의도”가 과연 있었는지 알수는 없으나, 이 두가지 “결과”가 모두 발생하였다는 사실은 명백합니다.

이런식으로 손쉽게 장사할 수 있는 인위적 환경을 만들어 놓고 국내 업체들끼리 적당히 나눠먹는 구도를 보장해 준다고 해서 한국의 IT산업이 성장할 수 있는 것은 아닙니다. 오히려 철저한 고립과 퇴행만이 보장될 뿐입니다.

앞으로는 하드디스크에 공인인증서를 저장할 수 없도록 하고, USB 메모리 스틱에 저장하도록 할 계획이라는 보도를 접했습니다. 언발에 오줌누기 식의 미봉책이며, 별다른 실효성이 없는 시도라고 생각합니다. 전세계의 보안기술 트렌드를 이런식으로 끊임 없이 외면하고 현재의 구도를 유지하려는 의도가 궁금할 뿐입니다. 보안토큰에 PKCS#11 방식으로 표준적으로 저장하면 별도의 플러그인 없이 웹브라우저가 국내의 공인인증서를 인식하고 사용할 수 있습니다. 비용부담 때문에 하드웨어적 보안토큰을 일괄 채택하기 어려우시면, 웹브라우저가 이미 제공하는 소프트웨어적 토큰에 저장하도록 규격을 개정하면 되지 않겠습니까? 어째서 멀쩡히 있는 훌륭한 저장 장소를 비워두고 별도 플러그인을 반드시 설치하라고 강요하십니까?

최근 보도에 의하면 공인인증기관 두 곳(금융결제원/코스콤)은 스마트폰에서 공인인증서를 발급할 계획으로 KISA에 규격 승인을 신청해 두었다고 합니다. PC에서 지난 10년간 벌어진 엄청난 오류가 이제 스마트폰에서도 재현될까 우려됩니다. 아이폰, 윈도우모바일, 안드로이드 폰은 개인인증서를 단말기에 안전하게 저장하는 기능을 이미 제공하고 있습니다. 이점을 실제로 보여드리고자 오픈웹은 데모 사이트까지 마련해 두었습니다. https://openweb.or.kr/cert

USIM에 인증서를 심어야 한다는 등 외국에서는 아무도 하지 않는 “기발한” 제안이 난무하는 것을 알고 있습니다. 외국의 보안 전문기술자들이 무지해서 그런 “기발한”시도를 안하는 것이라고 섯불리 단정짓기 전에, 그런 시도가 초래할 엄청난 비용과 보안 위험을 생각해 보시기 바랍니다. 그런 괴상한 해법을 구현하려면 결국 모든 스마트폰 이용자들이 별도의 프로그램(앱)을 자신의 단말기에 설치해야 합니다. 별도 프로그램을 모든 이용자에게 배포하는 일이 우선은 “손쉬운” 듯 보일지 모르지만, 꼬리에 꼬리를 무는 끝없는 문제를 야기하는 헤어날 수 없는 “늪”으로 될 것입니다. PC에서 이미 경험한 일입니다. “플러그인 하나 내려주면 된다”는 식으로 경솔하게 생각하고 일을 벌인 결과, 한국은 이제 전세계에서 바이러스에 감염된 좀비 PC의 비율이 가장 높은 축에 속하게 되어버린 것입니다.

“별도 프로그램”을 필요로 하는 제안은 반드시 그것으로 사업을 펼칠 기회만을 최우선 순위에 두고 있는 업체의 이해관계와 맞물려 있습니다. 그 업체에게 중요한 것은 돈을 버는 것이지, 전국민의 PC/스마트폰이 안전하게 유지되는 것이 아닙니다.

공인인증제도를 총괄하는 행정안전부와 KISA에 다음과 같이 건의합니다:

  • 공인인증 제도 기술규격 제정, 검토 과정을 투명하게 공개하십시오. 보안 시스템의 기술 규격은 밀실에서 논의할 성질이 아닙니다. 외국의 보안 전문가들 사이에 한국 공인인증제도가 인정받지 못하는 이유는 관련 문서가 공개되어 있지 않기 때문입니다. KISA가 파이어폭스 웹브라우저에 “신뢰된 루트인증기관”으로 등재되기를 희망하여 신청절차를 개시한지가 4년이 가까와 오지만, 아직도 승인받지 못하고 있는 이유를 잘 살펴보십시오. 객관적이고 투명하게 제3자가 검증할 수 있는 관련 문서가 매우 빈약하기 때문입니다. 단순히 영어가 짧아서 그런 것이 아닙니다.
  • 국제적 보안 기술 트렌드를 존중하여, 이미 웹브라우저가 제공하는 인증서 저장 위치에 공인인증서를 저장하거나, 하드웨어적 보안토큰에 국제규격에 따라 공인인증서를 저장하십시오.
  • 국내에서만 통용되는 별도 플러그인을 채택하는 해법은 경계하십시오. 만일 그런 해법을 채택하시려는 경우, 그 기술적 논거와 잠재적 보안위험에 대한 철저하고 투명한 논의가 가능하도록 메일링 리스트나 프로젝트 홈페이지 등을 통하여 최대한 많은 사람들이 사전에 그 의견을 개진하고 논의할 수 있는 충분한 기회를 제공해 주십시오.

스마트폰에서도 인증서를 발급/사용한다고 해서 무슨 대단한 새로운 앱이나 새로운 프로그램이 필요한 것이 아닙니다. 오픈웹이 공개한 인증서 발급 데모 사이트를 보십시오. 어떤 프로그램이나 플러그인도 설치할 필요 없이 인증서를 발급/저장/사용할 수 있습니다. 스마트폰 광풍에 편승하여 한탕 주의적 사업기회만을 노리는 저열한 업체의 시도를 경계하시기 바랍니다.