공인인증서를 유심에 저장하는 서비스를 두고 보안성 논란이 뜨겁다. 유심에 공인인증서를 저장하는 것 자체는 PC 하드디스크보다 훨씬 안전하다. 공인인증서 탈취를 막는 목적만 봤을 때 스마트인증 서비스는 높은 보안성을 자랑한다.
이번에 거론된 문제는 유심 저장 자체의 문제가 아니라 스마트인증 서비스가 진행되는 전반의 보안이다. 사용자는 적어도 한 번은 PC나 스마트폰에서 유심으로 공인인증서를 옮겨야 한다. 이동통신사는 유심 내 공인인증서의 안전한 보관과 구현에만 관심을 기울였다. PC에서 유심으로 공인인증서가 이동하는 구간의 안전성을 철저히 점검하지 않았다.
통신사는 관련 취약점이 있음을 인정했지만 대수롭지 않다는 반응이다. LG유플러스와 SK텔레콤은 관련 취약점을 인지하고 주말에 패치를 실시했다. KT는 관련 취약점이 매우 특수한 상황에 적용되는 것으로 스마트인증 서비스 안전성에 큰 문제가 되지 않는다는 입장이다.
KAIST 정보보호대학원에 따르면 LG유플러스나 SK텔레콤과 달리 KT 서비스는 스마트폰 펌웨어에서 공인인증서 비밀키와 비밀번호를 암호화하지 않고 로그로 남긴다고 설명했다. 해커가 스마트폰에 악성코드를 감염시킨 후 공인인증서가 유심으로 이동할 때 비밀키와 비밀번호를 모두 탈취할 수 있다.
김용대 KAIST 정보보호대학원 교수는 “KT용 스마트폰은 하드웨어 자체적으로 이 같은 문제에 노출됐다”며 “스마트인증 애플리케이션 패치로 문제를 해결할 수 있는 SK텔레콤이나 LG유플러스와 다르다”고 분석했다. KT의 스마트인증 서비스를 이용할 수 있는 고객을 안드로이드4.1 이상 운용체계를 쓰는 사람으로 한정하거나 스마트폰 펌웨어 업데이트 등의 방안을 강구해야 한다고 조언했다. 김 교수는 “신규 서비스가 이런 문제가 노출되는 일은 흔하다”며 “문제를 숨기는데 급급하지 말고 빠르게 해결책을 찾아 패치하는 것이 현명한 대응”이라고 덧붙였다.
LG유플러스와 SK텔레콤용 스마트인증 서비스를 개발한 이순형 라온시큐어 대표는 “시범서비스 기간 동안 문제를 파악하고 고객이 보다 안전하게 서비스를 이용하도록 빠르게 보안 업데이트를 마쳤다”고 설명했다.
KT와 SK텔레콤 서비스를 개발한 범진규 드림시큐리티 대표는 “스마트인증 애플리케이션과 시스템 중 어느 부분에 문제가 있는지 파악하고 있다”며 “원인이 발견되면 빠르게 대처할 것”이라고 말했다.
조규민 한국인터넷진흥원(KISA) 정보보호산업단장은 “KISA는 스마트인증 서비스에서 유심에 저장된 공인인증서 안전성을 검증해 인증을 한 것”이라며 “새로운 서비스가 시작될 때 전체 시스템과 전 과정을 안전하게 만들도록 노력할 것”이라고 말했다.
한편, KT와 드림시큐리티는 22일 문제가 됐던 보안 취약점을 모두 보완해 패치를 완료해 관련 서비스를 안정적으로 이용할 수 있다고 밝혔다.
김인순기자 insoon@etnews.com