검색 본문 바로가기 회사정보 바로가기

> IT/과학 > 보안/해킹

[기자의눈]공인인증서의 '유언'

(서울=뉴스1) 강은성 기자 | 2020-05-22 07:10 송고 | 2020-05-22 11:48 최종수정
© News1 이은현 디자이너

나, 공인인증서는 이제 21살의 나이로 세상을 떠나려 하오.

1년이 멀다하고 빠른 속도로 탄생하고, 변하고, 소멸해가는 각종 정보통신기술(ICT) 중에 나의 수명은 결코 짧지 않았던 듯하오. 

이제 떠나며 꼭 해두고 싶은 말이 있소. 내 평생 내 잘못이 아닌 것으로 '적폐'취급을 받았으니 마지막으로 속 시원히 할 말 좀 하려 하오. 

제일 억울했던 일 중 첫번째. 나 공인인증서는 보안이 결코 취약하지 않다오. 

나를 처음 개발할 때 사용한 암호체계인 SEED 알고리즘은 PKI에 기반한 공개키 인증방식으로 보안업계에선 오랜 시간 널리 이용된 암호 기술이오.

오래됐다는 이유만으로 구닥다리라 취급 마시오. 블록체인이니, 양자암호니 어린 후배들이 강력한 보안 성능을 자랑하지만, 나를 구성한 암호 기술은 그 오랜 시간 보안 전문가들로부터 인정받고 해커에게 공략당하지 않았다는 방증이라오. 

그동안 '공인인증서가 해킹됐다'는 소식을 꽤 자주 접했을 것이오. 억울하오. 적어도 내 안으로는 해커가 들어온 적이 없소. 나를 해킹했다는 소식은 정확히 말하자면 '컴퓨터나 휴대폰을 해킹해 공인인증서를 (복사해)탈취했다'는 소식이 와전된 것이란 점을 꼭 알아주시오.

내가 보안에 취약하다는 말은 바로 이 '복사 가능'이라는 점 때문에 나왔소. 이는 나를 온 국민들에게 최대한 빨리, 널리 사용하도록 하기 위해 '편의성'을 강화하려다보니 나온 '정책적 실기'라 볼 수 있소. 

나를 발급받는다면 그대의 PC나 휴대폰에 'NPKI 폴더'라는 것이 생성되는 것을 볼 수 있을 것이오. 그 폴더는 그냥 '새폴더 만들기'로 아무나, 언제나 만들 수 있는 폴더일 뿐이오. 그 어떤 보안 장치도 없다오. 

해커가 PC나 휴대폰을 뚫고 들어오기만 하면 나를 넣어둔 NPKI 폴더를 통째로 복사해 나가 암호를 끼워맞춰 사기 행각을 벌이는 것이오. 

20일 오후 서울 여의도 국회 본회의장에서 열린 제378회 국회(임시회) 본회의에서 전자서명법 개정안이 가결되고 있다. 2020.5.20/뉴스1 © News1 신웅수 기자

한가지 더 나의 억울함을 호소하고자 하오. 내가 '너무 불편하다'는 인식이 그것이오. 나 때문에 '천송이 코트'를 살 수 없다며 나를 '규제 암덩어리'라고 부른 대통령까지 있었소.

그런데 한번 곰곰이 들여다보시오. 내가 불편하게 한 것이 아니라오.

나를 꼭 '인터넷 익스플로러(IE)' 환경에서만 이용하도록 강제하고(대체 왜 그랬는지 이 부분은 내가 숨을 거두는 이 순간까지 의문이라오), 이를 위해 각종 액티브엑스(Active-X)를 설치하면서 이용자들을 짜증나고 귀찮게 했기 때문에 불편해진 것임을 알아주시오.

실제로 한참 나를 널리 사용할 때는 키보드보안, 백신, 파밍방지, 악성코드 방지, 화면캡처 금지 등 10개가 넘는 액티브엑스가 설치됐다고 하더이다. 

더구나 이 모든 프로그램들은 나를 '보호'하기 위한 것이 아니라 만약 전자금융거래 과정에서 보안 사고가 발생했을 때 은행이나 보험, 카드, 쇼핑몰 등이 '책임'을 지지 않고 이용자인 그대들에게 책임을 전가하기 위해 만든 액티브엑스 프로그램이었소. 이런 프로그램을 설치하도록 하면 '중과실'에 해당하지 않도록 법원들이 판결을 내려줬기 때문이라오. 

심지어 인터넷익스플로러를 만든 마이크로소프트조차 지난 2010년부터 액티브엑스의 심각한 보안 취약점 및 표준 저해 등을 인정하고 폐지했는데 우리나라는 2016년까지 액티브X를 여전히 사용해 왔지 않소. 

내 핑계를 대고 그렇게 액티브엑스를 깔아 대더니 이때는 나 때문에 액티브엑스를 없애지 못한다고 오히려 덤터기를 씌우더이다. 아직도 이때를 생각하면 억울해서 눈을 감지 못하겠소. 

마지막으로 이제 떠나는 내 대신 활발하게 사용될 수많은 '민간 인증' 후배들을 위해 내 당부하나 하리다. 이 후배들은 나와는 달리 액티브엑스에 종속돼 있지도 않고 보안 구멍 투성이인 멍청한 플러그인을 덕지덕지 깔아야 할 필요도 없으며 1년마다 갱신하지도 않는다오. 

이 은행, 저 보험사, 이 사이트 저 사이트 전부 다른 인증서를 사용한다고, 불편하다고 너무 타박하지 말아주시길 바라오. 보안은 '단 한가지', '유일한 키 값'이라고 불리는 순간 다 무너진다오. 

국민의 대다수가 나를 이용하고, 전자금융거래의 80% 이상이 나를 이용해 이뤄지던 순간, 대한민국은 전세계 해커들의 먹잇감이 되고 나를 탈취하기 위해 북한, 중국, 러시아 등 세계 각국의 해커들이 우리나라 인터넷을 '놀이터'처럼 들락거렸다는 사실을 잊지 말아주시오. 내 친구 주민등록번호도 온라인에서 '키 값'으로 이용되는 동안 몇번이나 털렸는지 모른다오. 

이제 후배 인증서들이 다양해지고 여러가지 보안 인증, 전자서명 플랫폼이 많아질수록 해커의 공격은 분산되고 위험성도 그만큼 낮아진다는 사실을 알아주시고 우리 후배 인증서들을 활발히 이용해 준다면 내 편히 눈을 감으리다. 

이제 나는 가오. 

세계 1위 전자정부의 영광과 IT 강국의 공신으로 인정받을 때도 있어 행복했다오. 

그런데 말이요. 내가 지금 바로 죽는 것은 아니라오. 앞으로 6개월은 더 사용할 수 있소. 그리고 정부가 인정한다는 '공인'이라는 위치는 이제 잠들지만, 공인을 뗀 기존 인증서도 쓸 수 있으니 말이오.

카카오페이 인증, 서비스 이용자 500만명 돌파 (카카오페이 제공) © 뉴스1



esther@news1.kr