주간동아 577

2007.03.20

공인인증서 너무 믿다 발등 찍힐라

피싱·파밍 등 첨단 해킹에 잇딴 피해 … 보안 만병통치약 홍보, 무비판 도입

  • 정호재 기자 demian@donga.com

    입력2007-03-14 15:25:00

  • 글자크기 설정 닫기
    공인인증서 너무 믿다 발등 찍힐라
    사례) 1 2월 중순, 회사원 A씨는 자신도 모르는 사이 자신의 인터넷뱅킹 계좌에서 거액의 결제가 이뤄졌다는 사실을 발견했다. 순식간에 빠져나간 액수만 무려 2000만원. 경찰조사 결과 A씨의 공인인증서가 유출됐다는 것이 확인됐다. 공인인증서를 포털사이트의 e메일에 저장해놓은 것이 화근이었다. 범인은 중국 지린(吉林)성에서 A씨의 e메일을 해킹해 공인인증서를 빼낸 뒤 이를 이용해 게임머니와 온라인 쇼핑몰 상품권을 구매했다. 금융감독원 조사 결과 이 같은 피해자는 A씨뿐만 아니라 5명이나 더 있었다.

    사례) 1월 말, 국민은행과 농협 홈페이지를 악용한 대규모 ‘피싱(phishing)’ 사건이 일어났다. 해커는 유명 포털사이트를 해킹해 이곳에 접속한 개인컴퓨터(PC)가 해킹 툴을 자동으로 내려받도록 조작했다. 인터넷 사용자가 올바른 주소를 입력해 은행 사이트에 접속했더라도 가짜 은행사이트로 접속을 유도하는 파밍(pharming) 기법이 국내 처음으로 확인된 것. 이 같은 첨단기법에 의해 약 5000명의 공인인증서 파일이 중국으로 유출됐다. 이는 우리나라에 공인인증서 제도가 도입된 이래 가장 심각한 사고였다. 특히 이 가운데 30여 명은 가짜 은행사이트에 속아 해커에게 비밀번호와 보안카드 번호까지 알려줘 피해가 컸다.


    최근 디지털 시대의 필수품으로 자리잡은 공인인증서 유출로 인한 피해자가 속출하고 있어 대책 마련이 시급한 실정이다. 일부 웹 전문가들은 공인인증서 무용론까지 제기할 정도다. 전 세계 공인인증서 보급률 1위를 자랑하는 대한민국 전자금융 시장에 도대체 무슨 일이 벌어지고 있는 것일까.

    온라인에서 공인인증서는 현실세계에서의 주민등록증과 흡사한 구실을 한다. 공인인증서가 온라인 금융거래에서 사용자의 신원을 확인하는 ID 기능을 하기 때문이다. 공개키 기반(PKI)의 암호화 기술을 채택한 공인인증서는 초기에는 주로 인터넷뱅킹에서 사용됐지만 이제는 온라인 쇼핑과 신용카드 결제, 전자정부의 민원서비스에까지 채택되며 보편적인 인증수단으로 자리잡았다.

    3월 현재 1500만명 발급



    공인인증서 너무 믿다 발등 찍힐라
    국내에서 공인인증서를 발급받은 사람은 3월 현재 약 1500만명. 이는 전체 경제인구의 65%에 해당할 정도로 높은 비율이다. 현재 추세대로라면 이동통신 서비스처럼 전 국민이 공인인증서를 활용하는 시대가 곧 오리라는 성급한 전망까지 나올 정도다. 공인인증서 제도는 사용이 번거롭다는 단점이 있음에도 높은 안전성을 장점으로 빠르게 정착했다.

    그런데 누구도 의심하지 않던 이 제도가 올해 들어 급증한 보안사고로 그 ‘신화’에 심각한 타격을 입기 시작한 것. 언론에 공개된 사건 외에도 은행 이미지 실추를 우려해 공개를 꺼리는 보안사고가 적지 않다는 것이 업계의 공공연한 비밀이다. 시중은행 내부에서는 피싱이나 파밍 등 최첨단 해킹에 대한 대응책 마련에 비상이 걸린 것으로 알려졌다.

    최근 급증하는 전자금융 보안사고의 공통된 특징은 크게 세 가지다. 첫째는 해커들의 공격 대상으로 공인인증서가 급격히 부상하고 있다는 점이다. 둘째는 이들 공인인증서와 비밀번호를 활용해 금융사이트가 아닌, 보안이 상대적으로 취약한 결제시스템 대행업체(PG)를 노린다는 사실. 마지막으로, 범행에 사용된 인터넷 IP 주소를 추적한 결과 대부분 중국 해커들의 소행이라는 점이다.

    알려진 대로 공인인증서 자체로는 해킹으로부터 안전하다고 할 수 있다. 또한 국내의 인터넷뱅킹은 PC방화벽, 키보드 보안, SEED 암호화, 공인인증서, 보안카드, 일회용 비밀번호(OTP) 등 최소 다섯 가지 이상의 보안단계를 거쳐야 하기 때문에 공인인증서를 빼내는 것만으로는 도용이 불가능한 상황이다.

    하지만 완벽해 보이는 공인인증서 시스템에도 약점은 존재한다. 바로 ID와 비밀번호를 사이트마다 유사하게 만들어 사용하는 우리나라 누리꾼들의 낮은 보안의식 때문이다.

    “해커들은 e메일이나 게임사이트 등 연관사이트 해킹을 통해 공인인증서와 동일한 비밀번호를 알아낼 수 있기 때문에 공인인증서의 대량유출은 심각한 사회문제로 볼 수 있습니다.”(경찰청 사이버테러대응센터 정석호 경감)

    해킹기술의 발달로 공인인증서의 유출 경로도 다양해지고 있다. 보안업체 FNBC 양정철 대표는 “공인인증서 발급 과정은 까다로운 반면, 사용자들은 이동의 편리성을 추구하기 때문에 유출 사고가 빈번해졌다”고 지적한다. ‘사례1’과 같이 e메일에 공인인증서를 보관하다 유출당하는 것은 가장 빈번하면서도 위험한 행위라고 할 수 있다. e메일이 해킹되는 순간 공인인증서까지 제삼자에게 유출되기 때문이다.

    “다양한 보안시스템 발전해야”

    그간 보안 관계자들은 “인터넷뱅킹에서 본인의 도장과도 같은 구실을 하는 공인인증서는 원칙적으로 PC의 하드디스크나 USB 등 개인이 직접 관리할 수 있는 장치에 보관해야 한다”고 강조해왔다. 그러나 최근에는 컴퓨터 하드드라이브 안의 특정 폴더에 저장된 공인인증서만 노리는 해킹 툴과 키보드 입력값만 빼내가는 ‘키로그(Key log)’ 기법이 유행하며 업계를 긴장시키고 있다.

    우리 금융계가 ‘안전한 공인인증서’라는 환상에 안주할 때 그 빈틈을 노린 이들이 바로 중국 해커다. 이들은 한국의 온라인 게임에서 사용되는 ‘게임머니’를 노리고 한국 게임사이트 서버를 공격 대상으로 삼았다. 이렇게 수집된 국내 게이머들의 주민등록번호와 ID, 비밀번호에 공인인증서 유출까지 더해지면서 피해가 커지는 구조가 만들어진 셈이다.

    중국 해커들이 수집한 공인인증서를 활용해 상대적으로 보안이 잘된 인터넷뱅킹이 아닌, 쇼핑몰 PG를 노린 것도 주목할 만하다. 이 온라인 계좌이체 PG들은 인터넷뱅킹과 달리 보안에 취약하다는 약점이 있다. 뿐만 아니라 공인인증서와 계좌비밀번호 확인만으로도 30만원 이하 게임머니와 온라인 상품권을 구매할 수 있다. 현금으로 교환할 수 있는 게임머니는 중국 해커들에게는 이상적인 먹잇감인 셈이다.

    고려대 법대 김기창 교수는 “공인인증서를 마치 보안의 만병통치약인 것처럼 홍보해온 당국에도 문제가 있다”며 “보안 측면에서 우월하다지만 공인인증서만이 유일한 해답이 아니기 때문에 원타임 패스워드(OTP) 등 다양한 보안시스템이 발전할 수 있도록 해야 한다”고 주장했다.

    보안업체 관계자들은 우리나라의 정보 보안의식을 세계 최저 수준으로 꼽는 데 주저하지 않는다. 낮은 보안의식의 배경에는 편협한 공인인증서 제도에 의존해왔기 때문이란 지적이 설득력을 얻는다. 1500만명이라는 엄청난 사용자 숫자가 자랑할 일만은 아니라는 설명이다. 게다가 공인인증서 발급 시스템이 지나치게 마이크로소프트 윈도에 기대고 있다는 점도 새로운 문제점으로 거론된다.

    최근 정보기술(IT) 평론가 김국현 씨는 “공인인증서에 의한 인증 의무화는 법의 기술 중립성을 잃게 만들 뿐만 아니라, 오히려 기술 발전을 저해하고 있다”며 공인인증서 무용론을 주장하고 나서 온라인에서 큰 화제를 모았다. 웹에서 쓸 수 있는 인증수단은 공인인증서만 있는 게 아니라는 주장이다. 현재의 공인인증서 제도는 공공기관들의 무비판적인 도입으로 오히려 장점을 잃어가는 셈이다. 올해가 공인인증서 독점체제가 깨지는 시기로 기록될 수 있을지 관심이 모아지고 있다.

    공인인증서 안전하게 사용하려면
    1. PC나 e메일에 공인인증서 저장 금지

    2. 이동성 저장장치(USB)에 공인인증서 저장

    3. 키보드해킹방지 프로그램 등 보안프로그램 설치

    4. 주기적인 비밀번호 변경 및 다른 비밀번호와 공용 금지

    5. 공인인증서 유출 시 즉시 폐지 신청




    댓글 0
    닫기