[보안칼럼]이번에는 천천히 가자

얼마 전에 종합소득세 신고를 했다. 인터넷에서 세무신고를 간편하게 하면서 전자정부 1위 국가의 고마움을 다시 한 번 느꼈다. 그런데 전자정부서비스가 커다란 변화를 앞두고 있다. 액티브X 방식에 개선을 요구하는 사회적 분위기가 형성됐다. 마이크로소프트는 차기 웹브라우저 액티브X 미지원 계획을 밝혔다. 액티브X 기반 대한민국 전자정부서비스 변화가 불가피한 상황이다.

액티브X 문제를 거론하면서 공인인증서를 언급하지 않을 수 없다. 전자정부서비스에서 사용자 신원확인과 거래내용 확인을 위해 채택한 공인인증 서비스는 액티브X 기반이다. 액티브X 방식 개선은 공인인증 서비스 개선을 의미하기도 한다.

1999년 전자서명법으로 공인인증서 제도가 도입됐다. 공인인증서는 약 3300만개가 발행돼 국내 인터넷 사용자 필수품이 됐다. 잘 갖춰진 공인인증 체계로 온라인 거래 신뢰성을 보장하는 나라는 우리나라뿐이다. 이 분야 기술력은 우리가 세계 최고다.

2000년대 초반 국내 인터넷 뱅킹은 강력한 사용자 신원확인과 거래내용 확인 기능을 제공하는 공인인증서 기반으로 구축됐다. 해외는 다르다. 간단한 비밀번호, 브라우저에 암호통신을 위해 기본으로 장착된 SSL(Secure Socket Layer)과 이상행위 탐지시스템을 중심으로 인터넷뱅킹을 구축했다.

우리는 사용자단 보안강화를, 해외는 서버단 보안강화를 선택한 셈이다. 국내에서는 사용자단 컴퓨팅 환경 변화에 따라 사용자 불편함이 문제가 됐다. 해외에서는 단순한 사용자 신원확인으로 인한 사고 발생이 문제다. 문제 해결을 위해 국내에서는 공인인증서 및 액티브X 대체수단 등 사용자 환경 개선과 이상행위 탐지시스템 구축에 초점을 맞추고 있다. 해외에서는 사용자 신원확인 강화에 초점을 맞췄다.

해외에서는 인터넷 사이트마다 서로 다른 신원확인 방식을 사용하면서 액티브X와 같은 플러그인 프로그램이 설치해야 하는 문제가 골칫거리다. 2013년 페이팔 주도 하에 FIDO(Fast Identity Online)협의체가 출범했다. FIDO 목표는 FIDO 클라이언트를 통한 모든 사용자 신원확인 방식 수용이다. 기존의 단순한 패스워드, 일회용패스워드(OTP), 지문 또는 홍채 같은 생체인식 그리고 공인인증서까지 포함하는 신원확인 방식을 클라이언트 프로그램 설치를 통해 사용자 불편 없이 사용할 수 있도록 하는 것이 FIDO 전략이다. 2015년 5월 현재 구글, 삼성SDS, 마이크로소프트, 알리바바 등 인터넷 관련 기업 195개가 FIDO 회원으로 가입돼 있고, 그 영향력은 매우 빠른 속도로 커지고 있다.

이처럼 세계적으로 사용자 신원확인과 관련된 새로운 환경이 조성되고 있다. 이런 변화의 순간에 우리나라는 전자정부서비스를 포함한 많은 분야에서 액티브X를 없애고 실행파일(.exe) 방식 혹은 HTML5라는 대체 수단으로 변경하려고 서두르고 있다. 이미 새로운 방식을 적용하는 사이트도 등장했다.

하지만 대체 수단의 조급한 적용에 매달릴 것이 아니라 기술 변화 추이를 지켜봐야 할 필요성이 있다. 이는 실행파일 방식에도 액티브X와 유사하게 악성코드가 몰래 삽입될 수 있는 보안 문제가 내재돼 있고 HTML5는 표준화가 늦어지고 있어 이를 수용하기에는 아직 이른감이 있기 때문이다. IT 분야 빠른 변화와 확대가 우리나라를 IT 선진국 반열에 오르도록 한 원동력이지만 부작용 또한 적지 않은 것이 사실이다.

전자정부서비스의 섣부른 수정은 국민 모두에게 또 다른 불편을 줄 수 있을 뿐만 아니라, 그 동안 공들여 쌓아온 전자정부 세계 1위라는 명성을 무너뜨릴 수도 있다. 세계 최고인 공인인증서 기술 퇴보를 가져올 수도 있다. FIDO와 같은 새로운 변화의 추이를 꼼꼼히 살펴보면서 국내 환경에 적합한 방식을 신중하게 결정해도 결코 늦지 않는다. 이번에는 천천히 가자.

류재철 충남대 컴퓨터공학과 교수 jcryou00@gmail.com