지난 며칠 국내 여러 언론은 공인인증서 약 700여 개가 대량으로 유출된 사실을 금융결제원(공인인증기관 중 하나임)이 발견하고 이들 중 461개를 일괄 폐기했다는 사실을 뉴스로 보도했다. 일부 언론은 “역대 최대“라느니, “비상“이라느니 하는 자극적 제목을 달고 있지만, 실은 공인인증서의 대량 유출은 하나도 새로운 것이 아니다.
새로울 것 없는 공인인증서 ‘대량 유출’
2007년 1월에도 벌써 5,000여 개의 공인인증서가 유출된 사실이 발견된 바 있다. 이 사실은 KISA의 “인터넷침해사고대응지원센터 대응지원팀” 공재순 주임연구원(당시)이 월간 정보보호21c 라는 잡지에 실명으로 기고한 글에서 밝힌 내용이다. 그러니 고작 700여 개의 공인인증서가 유출되었다는 이번 사태는 실은 명함도 못 내밀 수준이라고 봐야 한다. “역대 최대”니 하는 제목을 다는 언론사는 국내 보안 환경의 실상에 대하여 자신이 얼마나 무지한지를 스스로 보도하고 있을 뿐이다.
발각된 것만도 5,000장이니, 700장이니 하는 수준이므로, 발각되지 않은 유출 규모는 이보다 훨씬 더 많다고 보는 것이 상식적이다. 공격자일수록 자신의 ‘보안’에는 철저히 더 신경을 쓰게 마련이기 때문이다. 공격자 자신이 수집해서 거래하는 공인인증서(개인키) 파일 뭉치가 함부로 노출되도록 방치하지는 않을 것이다.
유출 경로? 탈취 방법? 원인은 한 가지, 한국의 공인인증서 제도
유출의 경로나 탈취 방법은 여러 가지가 있겠지만, 결국에는 한가지 원인으로 귀결한다. 한국의 공인인증서(개인키)는 무단복제가 무한정 가능한 파일형태로 저장될 뿐 아니라, 그 저장 위치나 폴더 명칭도 이미 훤히 노출되어 있으므로 공격자가 복사해 가는 것을 막을 방법이 없기 때문이다. 한마디로 공인인증서(개인키) 파일은 이미 내 혼자만의 것이 아니라고 보는 것이 실상에 더 근접할 것이라는 엄연한 사실을 이제는 인정해야 할 때가 되었다고 생각한다.
전국민의 주민등록번호가 사실은 이미 다 노출/유출되어 있다는 점도 아직 받아들이지 않으려는 사람이 간혹 있지만, 공인인증서(개인키)도 조만간 주민등록번호만큼은 아닐지라도 사실상 사용 불가능할 수준으로까지 노출되는 것은 시간문제라고 본다. 이미 지금도 공인인증서로는 공격을 막을 수 없어서, 보안카드를 사용하고 있다는 사실도 기억할 필요가 있다.
무단 복제가 가능한 파일을 유저들에게 하나씩 나눠주고는 “잘 보관하시라” 부탁해 놓고는, 이 파일(이 유출되지 않았을 것)에 모든 것을 걸고 있는 맹목적 자세가 현재 국내의 전자금융거래 보안 기술의 전제를 이룬다고 해도 과언은 아니다. 인증서 개인키가 이렇게 유출되는 판에, 부인방지 운운하는 감독 당국의 기술적 무지는 더더욱 난감하다. “유저에게 파일을 나눠주고 잘 보관하라고 부탁하면 그만”이라는 안이한 전제 자체에 대한 근본적인 반성과 재평가가 없이는 사태가 개선될 가능성은 없다. 이미 무수히 설치하고 있는 플러그인에 몇 개 “더” 추가하여 플러그인을 설치하게 한다고 해결될 문제가 아니다.
이제는 공인인증서 ‘이후 체제’를 고민할 때
국내의 모든 금융기관에게 공인인증서 사용을 강요해 온 금융위원회/금융감독원은 공인인증서 “이후”체제에 대하여 진지한 고민과 준비를 해야 할 때가 왔다고 생각한다. 하지만 이번 사고에 대하여 금감원은 “현재까지 유출된 공인인증서를 활용한 현금인출 등 금융사고는 보고된 바 없다”는 반응을 보였다고 한다. 불을 보듯 뻔한 가까운 장래에 다가올 공인인증 대재앙의 파장을 애써 축소하고, 외면하기에 급급한 금융감독원의 행태는 자못 절망적이다.
은행, 카드사들이 금감원에 “보고”하지만 않으면 그만인가? 하긴 금감원은 국회에 제출한 자료(비공개라고 극구 주장하지만)에서 최근 어느 한해의 전자금융사고가 “2건”이라고 주장한 적도 있다. “보고” 받은 건이 2건이라는 것이 금감원의 궁색한 해명이다. 제대로 조사해서, 떳떳이 실명을 공개하고 발표할 수 있는 전자금융사고거래 현황 통계라도 마련하는 것이 금융감독 기구의 본연의 임무가 아닐까? 금융기관이 사고거래를 쉬쉬 덮고 보고 하지 않는 것이 문제라면, 제도를 개선하여 사고거래 보고하지 않을 수 없도록 하는 것도 금감원의 임무일 것이다.
사고거래는 “금융기관”만이 알고 있는 것이 아니라, “피해자”도 아는 것이므로 금융기관이 일방적으로 숨기지 못하도록 하는 제도를 마련하는 방안은 여러 가지가 있을 수 있다.
금융위와 금감원의 결단을 기다린다
공인인증서 사용을 강요하는 규제 전략을 이제는 폐기할 때가 되었다. 보안전문가로 알려진 안철수 전 후보도 현재와 같은 공인인증제도는 폐지하기로 공약한 바 있다. 공인인증제도가 보안에 실제로 도움이 되는 제도라면 국내에서 가장 명성이 높은 보안전문가인 안철수 후보가 그런 공약을 할 수는 없었을 것이라는 점을 곰곰히 생각해 봤으면 좋겠다. (편집자 주: 물론 현재 안 후보의 ‘공인인증서 폐기’ 공약을 승계한 문재인 후보가 대통령 선거에서 박근혜 후보에게 패배함으로써 공인인증서 폐기 공약은 ‘물 건너’ 갔다.)
업계는 이미 다양한, 더욱 선진적인 보안 기술을 준비해 놓고 있다. 모두 금융위/금감원의 결단을 지루하게 기다리고 있을 뿐이다.
이놈의 공인인증서는 도대체 언제쯤이나 사라질지… 안쳤어가 대통령됐으면 없어졌을텐데…