[ET단상]공인인증서, 과연 보안에 도움이 되었는가?

　지난 10여년간 한국의 전자금융거래 보안은 공인인증서에 의존해 왔다. 인증서는 본인확인과 부인방지 수단이 된다는 ‘초보적’ 설명에 근거하여 규제 기관이 공인인증서 사용을 강제했고, 다른 인증 기술이 도입될 가능성은 봉쇄되어 왔다.

　그러나 최근 금융보안연구원이 발표한 조사보고서에서 드러나듯이, 외국의 금융기관들은 일회용 비밀번호(OTP)로 보안을 확보하는 것이 일반적이다. OTP는 매번 다른 비밀번호를 사용하여 본인 확인(인증)을 하는 기술이다. 이 기술은 비밀번호 입력 값을 가로채는 행위를 아예 소용없게 만드는 것이므로 키보드보안 프로그램을 설치할 필요도 없게 된다. 또한 OTP는 고객 컴퓨터에 저장된 어떤 파일이나 정보에 의존하는 것도 아니므로 고객 컴퓨터에 대한 침입공격이 극성을 부리는 사태도 비교적 덜하게 된다. 그리고, OTP는 고객 컴퓨터에 어떤 부가 프로그램을 설치할 필요도 없다. OTP는 스마트폰이건 PC건 상관없고 운영체제나 웹브라우저의 종류에도 무관하게 모두 사용가능한 인증 기술이므로, 스마트폰에서도 별도로 무슨 조치를 할 필요없이 당연히 서비스가 가능하다.

　그러나 공인인증서 옹호론자는 OTP가 부인방지 수단이 될 수는 없다고 주장한다. 즉, OTP는 당사자 본인 확인(인증) 수단으로 훌륭하게 기능할 수는 있지만 거래 내역을 나중에 일방이 부인할 때 그것을 방지할 수단은 되지 못한다는 것이다. 그럼, 공인인증서는 부인방지 효과가 있을까.

　원론적 설명에 따르면 인증서 개인키로 거래 내역을 전자서명하게 하면 고객이 나중에 그 거래 내역을 부인할 수 없다는 것이다. 그러나 인증서 개인키가 유출되지 않았다면 애초에 거래사고가 발생할 수도 없다. 인증서 개인키와 인증서 암호까지 이미 유출되어 공격자가 나의 개인키로 마음껏 전자서명을 해치울 수 있는 상황이기 때문에 사고가 발생한다. 이런 상황에서도 전자서명만 있으면, 그 거래는 절대로 사고거래일 수 없다는 극단적인 주장은 설득력이 없다.

　키보드보안 프로그램을 설치하라는 이유가 무엇인가. 인증서 개인키 파일은 이미 유출되었다고 아예 전제하기 때문이다. 이용자의 개인키 파일은 이미 공격자 손에 있으니, 인증서 암호라도 지켜보자는 것이다. 하지만, 이용자들이 여러 웹사이트 로그인에 흔히 사용하는 비밀번호와 인증서 암호가 동일한 경우가 대부분이므로, 은행사이트가 키보드보안 프로그램을 아무리 강제 실행해도 인증서 암호와 동일한 비밀번호가 다른 웹사이트에서 유출되는 사태를 막을 방법은 없다. 이 사실은 공격자도 알고 보안전문가들도 알고 있다.

　공인인증서 개인키와 인증서 암호는 고객의 컴퓨터가 뚫린 상황이라면 무슨 수를 써도 그 유출을 막을 수는 없다. 이른바 ‘보안프로그램’이라는 것을 아무리 덕지덕지 설치해본들 이 사실이 바뀌지는 않는다. 이런 상황에서 전자서명을 아무리 받아본들 그것 자체로는 아무것도 입증할 수 없는 무의미한 데이터에 불과하다.

　반면에 OTP는 고객의 컴퓨터와는 무관하게 기능하는 별도의 인증 채널이다. 별도의 인증체널인 OTP가 부인방지 효과를 거둘 수 없다면, 복제 가능한 공인인증서로는 부인방지는 커녕 본인확인 기능조차 기대하기 어렵다. 미국, 영국, 호주, 네델란드, 싱가포르, 중국 등 여러 나라의 보안전문가들이 인증서 기술을 몰라서 OTP를 사용하는 것은 결코 아닐 것이다.

김기창 고려대 법학과 교수 keechang.kim@googlemail.com