3월 21일 서울 송파구 가락동 한국인터넷진흥원(KISA) 인터넷침해대응센터에서 관계자들이 전날 벌어진 대규모 전산망 마비 사태 모니터링 및 원인 분석 작업을 벌이고 있다.
이찬진(@chanjin) : 조용필의 헬로 앨범을 샀습니다. ActiveX와 공인인증서 없이도 결제가 잘되는 ‘알라딘’에서요. 지난번 책 주문할 때 현대카드가 안 되서 외환카드로 주문했었는데 이번에도 외환카드로 더 편하게. 현대카드는 언제나 지원될까요.
이에 대해 정 사장이 남긴 트위트는 다음과 같다.
정태영(@diegobluff) : 말씀하신 결제방법은 규제상 허용되는 안전한 방법이 아닙니다.
하지만 정 사장의 주장은 사실이 아니었다. 인터넷 서점 알라딘에서 사용하는 페이게이트의 ‘신용카드 간편결제(Non ActiveX)’는 이미 지난해 9월 금융감독원이 승인한 방식이기 때문이다. 페이게이트는 국내 전자결제대행업체(Payment Gateway·PG) 중 하나로 일찍이 액티브X(ActiveX) 없는 결제방식을 구현해 주목받은 업체다.
이후 이 대표는 현대카드 실무자가 거짓말로 보고했거나 착각해서 잘못 보고했을 수도 있으니 다시 정확히 확인해보라고 트위트를 남겼다. 하지만 정 사장은 현대카드는 안전이나 법규 등에서 매우 보수적이고 싶어 하는 회사라고 응수했다.
먼저 액티브X와 공인인증서의 개념 및 그 실체에 대해 정리해볼 필요가 있다. 아마도 인터넷에서 쇼핑, 뱅킹, 세금 납부 등을 해본 사람이라면 예외 없이 액티브X와 공인인증서를 접해봤을 것이다. 국내에선 인터넷 상거래 시 액티브X와 공인인증서를 피해갈 방법이 사실상 없기 때문이다.
이찬진과 정태영의 트위트 설전
액티브X(정확히 말하면 액티브X 컨트롤)는 윈도 운영체계에서만 사용하는 기술로 ‘인터넷 익스플로러(IE)’에서 동작하는 작은 프로그램을 의미한다. 그리고 공인인증서와 연관 프로그램이 바로 액티브X로 구현돼 있다. 본인 확인과 서명 등에 사용하는 공인인증서는 한국 정부가 지정한 표준이다. 하지만 우리의 공인인증서는 전 세계적으로 통용되는 웹 표준이 아니라 단지 국내용이다. 모든 문제는 여기서 비롯한다.
1999년 공인인증서를 도입할 당시에는 인터넷 상거래를 위한 웹 표준이 부족했기 때문에 우리나라는 독자적으로 관련 법규와 기술을 마련해 사용하기 시작했다. 당시에는 윈도 천하여서 국내 보안업체들은 별다른 고민 없이 윈도에 종속된 액티브X 기술로 공인인증서를 구현했다. 게다가 액티브X 외에는 마땅한 대안도 없었다.
하지만 이후 정보기술(IT) 시장이 확대됨에 따라 좀 더 다양한 운영체제와 웹브라우저를 사용하기 시작했고 스마트폰, 태블릿PC 등 사용자 기기의 종류도 늘어나면서 수년 전부터 액티브X 기반의 공인인증서의 실효성과 한계에 대한 논란이 끊임없이 있어왔다. 이번 트위트 설전은 그러한 해묵은 논쟁의 연장선에 있다고 볼 수 있다.
그렇다면 액티브X 기반의 공인인증서는 과연 안전할까. 앞서 말한 것처럼, 한국 공인인증서는 웹 표준이 아니다. 그리고 이는 보안과 관련한 모든 책임을 사용자에게 강제하는 방식으로 작동된다.
즉, 공인인증서를 사용하는 웹사이트들은 사용자의 개인용 컴퓨터(PC)가 해킹을 당한 좀비PC라는 가정 하에 인증서 관리, 방화벽, 백신, 키보드해킹 방지, 피싱 방지 같은 각종 보안 프로그램 설치를 필수적으로 요구한다. 설치가 안 돼 있을 경우에는 아예 서비스를 이용하지 못하게 한다. 그런데 웹사이트마다 액티브X 컨트롤을 만든 업체와 버전이 다 다르기 때문에 각 서비스에 따라 매번 설치와 업데이트가 필요하다. 더군다나 액티브X의 오류로 아예 서비스를 이용하지 못하는 경우도 허다하게 발생한다. 이로 인한 불편함과 문제점은 경험해본 사람이라면 누구나 공감할 것이다.
페이게이트의 신용카드 간편결제(Non ActiveX) 화면. 액티브X 기반의 공인인증서를 이용하지 않고 신용카드 결제를 할 수 있다.
정리해보면, 공인인증서는 너무 오래된 데다 웹 표준이 아니며, 제대로 보안을 제공하는지도 의심스러운 상황에서 사용자를 불편하게 하고, 사용자 PC에 여러 문제를 야기한다고 볼 수 있다. 더구나 사용자 처지에서는 필수적으로 설치해야 하는 액티브X 때문에 각 액티브X가 어떤 기능을 수행하는지 제대로 알지 못한 채 무작정 설치하는 습관을 갖게 됐고, 결국 악성 액티브X 설치에 동의하는 등의 취약한 보안 문화를 구축하게 됐다는 점도 큰 문제 가운데 하나다. 액티브X는 본질적으로 보안에 매우 취약하며, 이를 만든 마이크로소프트조차 권장하지 않는 기술이다.
공인인증서 어떤 식으로든 변화
그렇다면 공인인증서를 전혀 사용하지 않는 외국에서는 어떻게 인터넷 상거래를 할까. 대부분의 국가에서는 보안 방식을 민간업체가 자유롭게 선택한다. 업체들은 사용자 운영체제, 웹브라우저 선택의 자유를 침해하지 않으면서 웹 표준에 맞춰 웹브라우저에 기본 내장된 데이터 암호화 기술인 SSL(Secure Socket Layer)을 이용하거나 일회용 비밀번호를 입력하는 기법인 OTP(One Time Password) 등 각종 보안 기법을 적용해 전자금융거래를 제공한다.
참고로 OTP는 현존하는 보안 기법 중 가장 안전한 방식으로 SMS OTP, 토큰 OTP, 카드 OTP, 스마트카드 리더기 OTP 등 다양한 형태로 존재한다. 앞서 살펴본 페이게이트의 간편결제도 OTP 일종이다. 이러한 OTP 방식으로 채널을 이원화하면 해킹 위험이 크게 줄어든다.
그렇다고 OTP가 완벽한 보안 기법은 아니다. 완벽한 보안 기법이란 결코 존재하지 않는다. 업체들이 지속적으로 보안에 투자하면서 취약점을 발견하는 데 노력하고 최신 보안 기술을 적용하는 보안 문화를 구축하는 것이 중요하다.
금융감독원은 공인인증서의 확고한 지지자로 얼마 전까지만 해도 공인인증서 방식 외에는 허용하지 않았으나 최근에는 좀 더 유연한 태도를 취한다. 페이게이트의 간편결제를 일부 사이트에서 사용하기 시작한 것도 그러한 태도 변화의 일환이다. 하지만 아직까지도 업체 대부분이 기존 공인인증서 방식을 고수하는데, 이는 오랫동안 액티브X 기반의 공인인증서에 의지해 살아온 탓에 새로운 보안 기술에 대한 도입 의지가 미흡하기 때문인 것으로 보인다.
이제 앞서 살펴본 트위트 설전이 어떻게 마무리됐는지 살펴보자. 정 사장의 트위트 이후 사건의 이해관계자 중 하나인 페이게이트, 그리고 액티브X 폐지 운동을 하는 오픈넷까지 논쟁에 가세했다. 일반 사용자도 이와 관련해 많은 의견을 개진했으며, 결국 현대카드가 페이게이트를 만나 협의하는 쪽으로 일단락됐다. 현대카드가 어떤 결론을 내릴지는 좀 더 지켜봐야 할 것 같다.
공인인증서는 조만간 어떤 식으로든 변화를 맞이하게 될 것으로 보인다. 그간 공인인증서의 개선, 내지는 폐지에 소극적이던 정부와 국회도 최근에는 국가 보안 기술의 발전과 사용자의 다양성 보장이라는 관점에서 ‘공인인증서 사용 의무화’ 폐지를 적극 고려하고 있다. 이제 우리도 좀 더 안전하고 다양성을 보장하는 보안 기술을 적극 발굴하고, 업체들이 자율적으로 사용자의 편의성과 거래의 중요성을 따져 적절한 수위의 보안 기술을 조합해 적용하는 선진적인 보안 문화를 확립할 때가 됐다.