"안철수 서울대 융합과학기술대학원장이 보안전문가로 명망을 쌓은 만큼, 한국의 금융보안 규제에 대한 입장을 분명히 밝혔으면 좋겠다. 두 가지를 묻고 싶다. 전자금융거래할 때 공인인증서만 써야하므로 추가 프로그램을 반드시 설치해야 했다는 점은 인정한다. 하지만 이 프로그램을 나누는 방식이 꼭 추가프로그램 설치여부를 물으면 '예'를 누르는 것이어야 했는가? 국내 보안업계 종사자들이 국민들이 악성 코드나 바이러스가 얼마든지 침입할 수 있는 위험한 이용행태에 익숙해지도록 만든 것 아니냐? 또 금융감독원이 공인인증서만 쓰라는 게 과연 타당한 규제인가? 이것이 과연 기술 발달과 안전성 확보에 도움이 되나? 꼭 물어보고 싶다."
6일 오전 서울 중구 계동의 한 카페에서 만난 김기창 고려대 법학전문대학원 교수는 인터넷뱅킹, 스마트폰 모바일뱅킹 등 전자금융거래의 보안장치로 널리 쓰이는 공인인증서의 문제점을 지적하며 이같이 말했다.
공인인증서는 1999년 처음 시행된 때부터 지금껏 우리나라 전자금융거래의 유일한 인증수단이다. 정부는 금융·기업조달·전자정부 업무 등을 위해 전자서명법을 제정, '공인인증서 사용 기준'을 금융위원회에서 만들 수 있게 했다. 이에 따라 금융위 소속기관인 금감원은 '전자금융감독규정'을 만들어 '모든 전자금융거래에 공인인증서를 사용해야 한다(제37조)'고 정했다.
따라서 ㄱ쇼핑몰에서 물건 등을 구입하기로 마음 먹었거나 ㄴ은행의 인터넷 뱅킹을 사용해야 한다면, 누구나 공인인증서가 필요하다. 이때 거의 모든 소비자들은 '키보드 보안·방화벽 프로그램 등을 추가로 설치해야 한다'고 알리는 메시지 창과 만난다. 대부분 망설임 없이 '예'를 누른다. '아니오'를 택할 경우 아예 거래가 불가능하다.
공인인증서만 쓰는 한국... "국민들 컴퓨터는 위험, 보안기술 발전은 없어"김 교수는 이 때문에 우리나라 국민이 컴퓨터가 해킹 프로그램 등 위험에 매우 쉽게 노출되어 있다고 지적한다. 누군가 마음만 먹으면 추가 프로그램 설치 과정을 이용해 개인 컴퓨터를 해킹하거나 바이러스를 심을 수 있다는 것이다.
그는 또 '공인인증서 강제'라는 벽이 국내 보안기술업계의 발전을 가로막았다고 본다. 한 가지 인증방법만 사용하니 국내외 업체들이 경쟁하며 새로운 보안기술을 개발할 이유가 사실상 없어졌다. 신규 기술을 개발해도 팔 곳이 없기 때문이다. 전자거래 보안시스템이 공인인증서 하나뿐이어서 보안프로그램을 검증하는 보안감사 서비스 시장 역시 제대로 형성되지 않았다.
김 교수는 그래서 지난 7~8년여 동안 '공인인증서 외 다른 전자금융거래 인증수단을 도입해야 한다'고 주장해왔다. 2010년 5월, 마침내 국무총리실과 행정안전부, 금융위원회, 방송통신위원회와 중소기업청은 "e-뱅킹과 30만원 이상의 전자결제에도 공인인증서 이외의 인증방법이 사용될 수 있도록 한다"는 '전자금융거래 인증방법의 안전성 가이드라인'에 합의했다. 이후 금감원에 인증방법평가위원회(아래 평가위)가 설치됐고, 김 교수는 위원 10명 중 하나로 활동했다. 하지만 지난 5월 29일, 그는 위원직을 버렸다.
합의안 시행은 지지부진했다. 평가위는 2년이 흐르는 동안 네차례 회의를 열었을 뿐이었다. 평가 기준을 마련하고 금융결제원, 금융보안연구원, 한국정보통신기술협회, 한국시스템보증 등 평가기관을 선정하는 작업은 올해 4월에야 끝났다. 김 교수는 "금감원이 꾸물댄 탓에 새로 도입된 인증수단이 한 건도 없다"고 말했다.
게다가 '보안성이 상대적으로 약한 인증수단은 30만 원 미만 금융거래에만 쓸 수 있다'는 내용이 5월 29일 회의 안건으로 등장했다. 김 교수는 "거래 한도 등을 자유롭게 정하도록 한 합의 내용을 정면으로 깼다"며 금감원에 근거규정을 요구했다. 금감원은 "지난해 10월 회의 때 논의했고, 의사록에 담겨있다"고 답했다. 김 교수는 "위원 중 한 명이 말하면 의결사항이냐?"고 항의하며 평가위원직을 사퇴했다. 평가위는 이날 회의에서 '공인인증서 외 인증수단 도입 보류'를 공식 의결했다.
김 교수는 "금감원은 2년 동안 부처 간 합의를 완전히 파기했다"고 말했다. "관료들의 규제권력욕, (공인인증서 인증기관인 한국정보인증, 코스콤, 금융결제원, 한국전자인증, 한국무역정보통신 등) 사업자들의 독점욕 앞에 기술 진보고 뭐고 아무 소용이 없어졌다"고 비판했다.
금감원 평가위 '다른 인증수단 도입 보류' 결정... 인터넷 보안은 흔들흔들그가 공인인증서 제도를 비판하는 또 다른 까닭은 안전성마저 믿을 수 없기 때문이다. 김 교수는 "공인인증서 형태가 파일이어서 얼마든지 유출될 수 있는데다가 이 과정에 어떠한 비밀번호도 필요 없다"며 "공인인증서 유출을 막을 길이 없다는 건 보안업체들도 인정하고 있다"고 얘기했다. 공인인증서 사용을 위해 여러 보안프로그램을 추가로 설치하는 것 역시 "(보안업체들이) 공인인증서 파일이 유출된다고 전제해버렸기 때문"이라고 설명했다.
공인인증서는 크게 인증서 파일과 개인 키, 즉 암호로 이뤄지는데 파일은 이미 위험에 노출되어 있다. 결국 암호가 유일한 방어벽이다. 금융거래를 하는 웹 사이트들이 키보드 보안 프로그램을 설치하라고 하는 이유가 여기 있다.
하지만 키보드 보안 프로그램이 암호 유출을 완벽하게 막을 수 없다. 김 교수는 "사용자 대부분은 여러 사이트에서 같은 암호를 사용한다"며 "키보드 보안 프로그램은 (설치를 명령한) 금융기관 홈페이지에서만 작동한다. 만약 공격자가 다른 사이트에서 암호 정보를 빼낸다면 막을 수 없다"고 설명했다. 방화벽 프로그램 또한 금융기관 홈페이지에 접속했을 때에만 쓸모 있다.
"(해커 등 공격자에게 공인인증서 유출은) 식은 죽 먹기다. 이외에도 무수히 많은 방법으로 쉽게 공인인증서를 획득할 수 있다. 국내 보안시스템의 설계 수준이 너무 낮다. 공인인증서만으로 도저히 감당 안 되니까 온갖 플러그인 설치하라고 했고, 그것도 소용없으니 일회용 비밀번호(OTP)를 사용하는 보안카드까지 쓰라는 것이다. OTP는 그나마 경우의 수가 한 10만개 된다. 이 상황에서 은행들에 공인인증서와 OTP 중 하나를 걷어내라고 하면 뭘 걷어내겠는가?" '공인인증서'란 짜장면으로 통일해 금융사고도 쉬쉬... "짬뽕 선택권 주자"금감원은 7일 <오마이뉴스>에 "온라인 카드결제, 불법 자금이체 등 인터넷뱅킹에서 사고가 발생한 경우는 2010년과 2011년 각각 7~8건"이라고 밝혔다. 2010년 약 3억 원 정도였던 사고 금액은 지난해 7천만 원대로 떨어졌다.
하지만 김 교수는 "인터넷뱅킹 사고 건수가 몇 개뿐이라는 금감원 주장도 말이 안 된다"며 "사고가 계속 터지고 있는데도 은행들이 다 숨기고 있다"고 지적했다. 소비자들에게 피해가 돌아가지 않도록 전자금융거래 사고 현황을 제대로 파악해야 할 금감원이 제 역할을 못한다는 뜻이다.
이 또한 "(금감원이) 보안의 신인 것처럼 한 가지 기술만 쓰도록 정해놨기 때문에 금융기관이 문제가 있어도 숨긴다"고 김 교수는 분석했다. "금융거래 사고 현황만 제대로 파악하면 부실한 부분만 제대로 감독하면 되므로 사전에 한 기술만 쓰라고 강제할 수 없다"며 "외국은 반드시 고려해야 할 기준만 공표하고 사고가 나면 이 부분을 잘 지켰는지 아닌지 확인한다"고 덧붙였다.
김 교수는 공인인증서 폐지론자다. 그러나 '반드시 공인인증서를 없애야 한다'고 주장하고 있진 않다. 그는 "공인인증서만 쓰도록 하는 것은 모두 짜장면으로 통일하라는 격"이라며 "짬뽕 먹을 사람은 짬뽕을 먹게 하듯, 다른 인증수단을 원하는 사람은 그걸 쓸 수 있도록 해야 한다"고 말한다. 무조건 OTP나 컴퓨터 하드디스크에 공인인증서 등 비밀정보를 안전하게 저장, 보관하는 장치인 '보안토큰(HSM)' 등을 도입하자는 게 아니라 "강제로 공인인증서를 써야한다는 규제 하나만 빼면 된다"는 것이다.
10년 남짓 영국에서 전공 공부를 한 뒤 2003년 귀국한 법학자가 공인인증서뿐 아니라 망 중립성, 웹 표준 등 정보통신기술(IT) 분야의 민간 전문가가 된 배경은 무엇일까. 1997년부터 리눅스를 써온 김 교수는 "제가 귀국했을 당시만 해도, 국내 웹 환경은 리눅스 사용자에겐 불편했다"고 말했다.
"다 바뀌었는데 공인인증서만 그대로"2007년 그는 미국 마이크로소프트사 운영체제 '윈도우'와 웹 브라우저 '인터넷 익스플로러'를 사용하지 않는 사람들의 선택권을 침해한다며 공인인증기관인 금융결제원을 대상으로 손해배상 소송을 제기했다.
2년 후 대법원 상고심에서 패했지만, 본인이 직접 변론을 맡았기에 IT 관련 지식은 남았다. 이를 바탕으로 그는 오페라, 크롬, 파이어폭스, 사파리 등 다른 웹 브라우저를 사용하는 사람들도 자유롭게 대한민국 전자정부와 온라인 뱅킹 서비스를 이용할 수 있게 서비스를 웹 표준에 맞춰야 한다는 '오픈웹(Open Web)' 운동을 주도하고 있다. 홈페이지(
http://openweb.or.kr)도 운영 중이다.
"지난 10년 동안 우리나라 웹 환경은 많이 개선됐다. 사람들이 웹 표준의 중요성, 브라우저의 다양성을 이해하게 됐다. 그런데 공인인증서 문제만 안 바뀌었다. 사실 보안 이슈는 사람들을 겁준다. '이거 못하면 큰일난다'고 하니까 냉정하게 생각하지 못하는데다 다른 대안을 경험해본 적 없고, 내용도 어려워 다들 잘 모른다.하지만 정부가 특정 기술만 반드시 사용하라고 하는 규정은 결코 있어선 안 된다. 그렇게 하면 기술 문제를 따졌을 때 말이 안 되도 공무원이 '규정 때문이다'라고 하면 끝이다. 결국 기술전문가들이 무조건 관료들을 따라야 하는데, 누가 그쪽 일을 하려고 하겠나? 기술로 경쟁해야 한다. 왜 행정가들이 좋은 걸 강제하는가."
금감원 "다른 인증수단 도입 일부러 늦추는 것 아니다" |
금융감독원은 "지난 3일 평가위 회의에서 공인인증서 외 다른 인증수단 도입을 보류한 것은 절차상 부족한 점이 있어서 미룬 것이지 '도입 무산'은 아니다"라며 "(2010년 e-뱅킹과 30만원 이상의 전자결제에도 공인인증서 외 인증방법 사용하도록 관계부처들이 합의한 가이드라인은) 이행되고 있다"고 밝혔다.
전자금융거래 관련 업무를 담당하는 금감원 IT감독국 관계자는 7일 <오마이뉴스>와 한 전화통화에서 "(보류 결정한 배경은) 자료가 불충분했기 때문"이라고 말했다. 금감원이 다른 인증수단 도입을 일부러 늦춘다거나 평가위가 소홀히 활동하는 게 아니며 그럴 이유가 없다"고 설명했으나 구체적으로 어떤 자료인지는 "밝히기 어렵다"고 답했다.
또 "평가위는 금감원에서 독립된 조직으로, 금감원은 의사 진행만 지원할 뿐이고 모든 내용은 평가위원들이 논의해 결정한다"며 '금감원이 평가위 운영에 개입한다'는 이야기를 반박했다.
보안성이 떨어지는 인증수단의 거래한도를 30만원으로 제한한 것은 합의내용에 어긋나지 않냐는 질문에는 "가이드라인을 보면 평가위에서 거래 한도, 유형 등을 정할 수 있게 했다"며 "(30만원이라는 기준은) 평가위에서 결정된 것"이라고 답했다.
공인인증서의 보안기능 역시 "충분하다"는 게 금감원의 의견이다. 금감원은 "만약 공인인증서가 안전하지 않다면, 왜 2010년 합의문에서 '금융기관과 전자금융업자가 자율적으로 인증방법을 선택할 수 있도록 공인인증서와 동등한 수준의 안전성 기준을 제시한다'고 표현했겠냐"고 반문했다.
한편 평가위가 2년 전 출범하며 1번, 작년에 2번, 올해 1번밖에 회의를 열지 않은 이유는 "개발업체의 (인증기술) 평가요청 자체가 없었기 때문"이라고 밝혔다. 금감원은 "작년 10월경부터 업체들이 평가를 요청하기 시작했고, 2월에 평가기관과 계약하는 등 관련 절차들이 지난 4월 하순경에 만들어졌다"며 "평가위가 그동안 놀았던 게 아니다"라고 말했다.
현재 평가기관에서 인증기술 평가를 받는 업체는 1곳이다. 금감원은 "몇몇 업체가 기술 승인 요청을 한 상태지만, 평가가 진행 중이어서 구체적으로 밝히긴 어렵다"고 했다.
29일 평가위가 보류한 '공인인증서 외 다른 인증수단 도입' 문제는 오는 8월 회의에서 다뤄진다. 금감원은 "업무 일정 등을 고려해 평가위원들이 결정한 사항"이라고 말했다.
|