정보통신망 정보보호 컨퍼런스(NETSEC-KR) 패널토의
공인인증서를 둘러싼 논의가 극단적으로 치닫는 이유가 '불분명한 기준과 개념' 탓이라는 분석이 제기됐다. 관련 용어 대한 공통된 개념, 기준부터 세워야한다는 설명이다. 또 인증서 사용 목적에 따라 분리해서 대안을 찾아야한다는 제안도 나왔다.
지난 25일 서울 삼성동 코엑스에서 열린 '정보통신망 정보보호 컨퍼런스(NETSEC-KR)'에서 진행된 '공인인증서, 대안은 무엇인가?' 토의에 참석한 토의자들은 이같은 내용에 의견을 모았다.
김성주 고려대학교 정보보호대학원 교수는 최근 공인인증서를 둘러싼 논란을 보면 "용어에 대한 개념 불일치와 오해가 있다"고 말했다. 시민단체가 실제 사용중인 SW(소프트웨어) 기반 공인인증서에 문제를 제기하는 한편 정부는 전자서명법상 완벽한 형태의 공인인증서를 기반으로 두고 반박하는 상황이 대표적인 사례다.
정부는 공인인증서의 부인방지기능 중요성을 들어, 다른 인증방식이 이 조건을 충족하지 못하면 완전한 대체기술로 선정하기 어렵다는 입장이다. 부인방지기능은 본인이 서명한 이후 그 서명이 본인이 하지 않았다고 부인하는 상황을 막는 장치다.
김 교수는 "전자서명법상 공인인증서는 부인방지기능을 보장 하지만, 현재 사용되는 SW 기반 공인인증서는 해킹 기술의 발전으로 그 기능을 충족시키지 못하고 있다"고 설명했다.
이날 토의에서는 사용자인증과 부인방지기능 등 공인인증서의 두 기능을 나눠서 각각 대안을 찾아야한다는데 의견이 모였다. 공인인증서가 워낙 광범위한 역할을 수행해 단번에 공인인증서 대체 수단을 만들기 어렵기 때문이다. 또 일부 문제점을 개선한다면 충분히 수준 높은 기술이라는 분석도 설득력을 얻었다.
이동산 페이게이트 이사는 "현재 공인인증서가 사용되는 인터넷뱅킹 거래 규모만 하루 약 34조원"이라며 "이를 모두 처리할 수 있는 대안 기술이 갑자기 나올 수는 없다"고 말했다. 이어 "인증기술 개발업체들이 경쟁을 통해 작은 부분부터 확대하는 쪽으로 정책·제도가 운영돼야 공인인증서 문제를 개선하는 기술들이 나올 것"이라고 설명했다.
이정현 개인정보 분쟁조정위원회 사무국장은 "막도장과 인감도장을 나누듯이 인감도장격인 공인인증서는 제한적으로 사용하는 대안도 있다"며 "물론 공인인증서 탈취 문제는 하드디스크 외에 다른 기기에 저장하는 방식 등으로 예방해야할 것"이라고 말했다.
독자들의 PICK!
진승헌 한국전자통신연구원(ETRI) 박사도 스마트폰이나 마이크로SD에 공인인증서를 탑재하는 등 방안을 제시했다. 특히 실시간 거래가 활발한 국내 서비스 환경상 사용자 인증없이 FDS(이상거래탐지시스템) 등으로만 보안성을 담보할 수 없다는 설명이다.
이날 토의에서는 이번 공인인증서 논란을 통해 금융 보안의 전반적인 수준을 끌어올리는 노력이 필요하다는 점도 강조됐다. 김 교수는 "공인인증서에만 초점을 맞추는데 인터넷뱅킹 등에서는 비밀 통신도 중요한 영역"이라며 "현재 사용되는 국내 표준암호는 보안 취약점이 드러난만큼 개선이 시급하다"고 말했다.
이에 대해 이동산 이사도 "현재 정보보호를 감독하는 금융감독원만으로는 인력이 부족하다"며 "민간 감독기관 등을 통해 실제 개인정보보호가 제대로 되는지를 감시하고 유도할 수 있는 생태계가 조성돼야한다"고 주장했다.