Q: 1편과 2편에 이어 벌써 3편인데 아직 공인인증서 이야기도 안했다.
A: 나름 쉽게 이야기하려고 풀었는데도 벌써 어렵다는 사람들이 있더라. 그래도 최대한 쉽게 해보겠다. 지난 시간 알려준 거 읊어봐라.
Q: 국내 정부 사이트는 맥이나 리눅스를 제대로 지원하지 않는 곳이 많다. 이건 국민들의 정보접근권 차별이다. 그리고, 브라우저에 자물쇠 표시가 없는 곳은 기본적으로 의심하고, 내 컴퓨터가 아니면 더욱 조심해야 한다.
A: 오- 기억력이 좋은데?
Q: 내가 너다.
A: 그……그렇지.
Q: 그런데, 솔직히 일반 사용자가 자물쇠 표시가 있는지, 또 그걸 눌러봐서 인증이 제대로 된 건지 아닌지 어떻게 매번 확인하나.
A: 솔직히 어려운 면이 있다. 웹 브라우저들끼리 자물쇠 표시도 다 다르고, 위치도 조금씩 다 다르니까. 그리고, 귀찮은 면이 있는 것도 사실이다. 하지만, 그렇다고 누군가 자기 대신 보안을 100% 책임져 준다는 생각은 더욱 위험하다.
공인인증제도는 일종의 디지털 인감 제도
Q: 이번엔 진짜 공인인증이 뭔지 쉽게 설명해줘봐라.
A: 기술적으로는 PKI인증이라는 거다. 역시 기술적인 내용을 최대한 빼고 설명하자면, 암호화 키를 두 개 만들어서 하나는 누구에게나 공개하고 하나는 자기만 갖고 사용을 하는 건데, 이걸 적절하게 이용하면 내가 진짜 나인지 확인할 수 있다. 쉽게 말해 공인인증서는 전자서명을 하기 위해 필요한 디지털 인감과 비슷하다고 할 수 있다.
Q: 지난 시간에 알려줬던 웹툰을 보니 SSL도 그런 이야기가 있더라. 대칭키니 개인키니.
A: 맞다. SSL과 공인인증 기술은 PKI라는 같은 기술적인 베이스를 사용하는데 구현에 있어서 목적이 다르다. 아주 쉽게 말하면 SSL은 ‘웹 사이트가 진짜인가’를 위한 기술이라면, 공인인증은 ‘사용자가 본인이 맞는가’에 초점을 맞춘 거다.
Q: 같은 것 같으면서 좀 다르다?
A: 목적이 다르다는 거고, 그 과정에서 안전한 연결이 확보된다던가 하는 효과들은 비슷한 점들이 있다.
Q: 그런데, 왜 공인인증제도를 문제 삼는 사람이 많은 건가?
A: 우리가 평상시에는 인감을 사용할 일이 많지 않다. 그런데, 이렇게 대규모로, 시도 때도 없이, 인터넷 여기저기서 인감을 요구하는 사태에 대해 오히려 이상하게 여겨야 하는 것 아닌가?
Q: 그러게. 우리가 현금지급기에 가서 입금하거나 출금할 때 그냥 카드만 넣으면 되고, 물건 사러 가서 돈만 내면 되지.
A: 개인적으로는 공인인증이라는 시스템이 이렇게 너무나 당연하고 광범위하게 사용되는 것이 좋은 건지 가장 우선적으로 고민해야 할 지점이라 생각되지만 우리가 지금 일제 강점기에 일본에 의해 도입된 인감 제도에 대한 것을 다루는 것은 아니니 일단 넘어가자. 대신 공인인증체계 때문에 생기는 문제점들을 하나씩 살펴보자.
일반 사용자에게 관리 책임을 지게 만드는 공인인증제도
A: 우선 공인인증제도의 가장 큰 문제점 중 하나는 일반 사용자들이 공인인증서를 안전하게 지키기 매우 어렵다는데 있다.
Q: 인감 도장은 집안 벽장에라도 숨겨놓고 다닐 수 있는데 컴퓨터 안의 파일은 그럴 수 없으니까?
A: 그렇다. 평균적인 인터넷 사용자들이 자기 컴퓨터가 어떻게 작동하는지도 잘 모른다. 그런데, 정말 중요한 정보(파일)를 직접 보관하라고 제도로 강제하는 것이다.
Q: 생각해 보면 기업들이 보안담당자를 두고 전산담당자를 두는 것도, 모든 개인이 컴퓨터를 잘 다루는 것이 아니라는 전제가 있기 때문인데……
A: 인감 도장이든 플라스틱으로 된 신용카드든 그런 실물이 있는 경우는 특별한 보관 이슈라는 게 없다. 자신이 아는 안전한 곳에 보관하면 되고 평상시에는 들고 다니면 된다.
Q: 반면에 디지털 파일은 복사를 해도, 몰래 빼가도 티가 안나지 않은가!
A: 맞다. 디지털 파일로 된 공인인증서는 훔쳐가도 기록에 남지 않고, 무제한 복사도 가능하다. 심지어 누가 빼가도 사용자는 그 사실을 모를 수 있다. 그런데, 이 공인인증서의 관리 책임이 컴퓨터 전문가도 아닌 각각의 개인에게 있다는 거다.
과거에도, 현재도 웹 브라우저만으로 공인인증서를 사용할 수 있는 방법은 없다
A: 그리고, 웹 브라우저만으로 할 수 없는 기능을 사용함으로써 생기는 피해가 너무 크다는 거다.
Q: 웹 브라우저만으로 할 수 없는 기능이라는 게 뭔가?
A: 전 세계 유통되는 모든 웹 브라우저는 한국의 공인인증서를 인식하지 못하고 사용할 수 없다.
불가능한 것을 가능하게 하느라 많은 사회적 비용이 들고 있다
Q: 결국 기본적인 사항부터 문제라는 거네? 그런데, 몇 년 전부터 액티브엑스 없이 금융거래가 가능한 기술이 곧 나온다 곧 나온다 하는 기사들이 계속 나오던데 그건 뭔가?
A: 결론부터 말하자면, 그 모든 기사들은 “액티브엑스는 사용하지 않지만 여전히 별도의 프로그램이 필요하다”는 내용이다. 현재의 공인인증서는 웹 브라우저만으로 안되니 별도의 플러그인, 프로그램, 스마트폰 앱 등등 아뭏튼 무조건 뭔가를 추가로 설치해야만 가능하다.
Q: 이 이야기를 듣고 한국인터넷진흥원(KISA)의 액티브엑스 대체기술 안내라고 소개된 페이지를 보니 거기도 결국 별도의 스마트폰 앱을 설치해야 하네?
A: 한국의 공인인증서는 현재 상용으로 이용되는 웹 브라우저들이 인식하지 못한다. 예전에도 그랬고, 지금도 그렇다.
Q: “드디어 금융거래에서 액티브엑스를 걷어내나?” 이런 식의 제목이 달린 기사를 봐도 큰 기대는 말라는 건가?
A: 예를 들어 동영상 같은 건 이제 액티브엑스 없이 HTML5로도 된다. 하지만 공인인증제도를 사용하는 한 웹 브라우저만으로 금융거래를 하거나 인증을 위해 로그인할 수 있는 방법은 없다.
Q: 그럼 아직은 그런 기사 제목보고 ‘곧 변화가 있겠거니’ 하면 안되겠네?
A: 공인인증제도를 폐지하거나 획기적으로 변화가 있기 전까지는 그렇다.
Q: 그러고 보니 이제 오프라인에서도 인감도장 대신 서명이 가능하다고 하던데 온라인은 왠지 반대로 가는 것 같다.
A: 개인적으로 현재 온라인에서 공인인증서를 요구하는 상당수의 사이트들은 별도의 액티브엑스나 플러그인, 앱을 필요로 하지 않는 다른 인증 방법으로도 충분하다고 본다.
공인인증서를 지키기 위해 보안을 해제시켜야 하는 한국의 보안 환경
Q: 공인인증서 때문에 보안이 위험해진다는 이야기는 무슨 뜻인가?
A: 웹 브라우저에서 지원하지 않는 기능을 구현하기 위해 웹 브라우저를 통해 이것저것 설치하게 만든 결과가 뭔가. 바로 많은 사람들이 보안 관련 질문에 습관적으로 “예”를 누르게 만들었다는 거다.
Q: 당연하지. 설치하지 않으면 내용을 볼 수 없는 수많은 관공서, 은행, 쇼핑몰 사이트를 이용하려면 방법이 없지 않나.
A: 언뜻 보면 “설치해주세요”, “설치하시겠습니까?” 식으로 선택지가 있는 것처럼 물어보는 것 같지만 솔직히 내용을 보려면 무조건 설치를 해야 한다. 심지어 설치하는 사이트가 자물쇠 표시가 보이는 SSL 적용 사이트가 아닌 경우도 많다.
Q: 덕지덕지 설치해서 내 컴퓨터가 느려지는 걸 책임질 것도 아니면서!
A: 이게 참 모순적인 게 있다. 은행 사이트는 공인인증서를 사용하지만 동시에 사이트에 SSL도 적용되어 있고, 보안카드나 OTP도 사용해야 한다. 보안토큰도 지원한다.
공인인증서만 안전하게 지키면 되고, 사용자들의 인터넷 환경은 알바 아니다?
Q: 맞다. 사이트 비밀번호, 공인인증서 비밀번호, OTP나 보안카드까지 동원해야 하지. 그게 왜 모순인가?
A: 정작 은행 사이트들은 공인인증서만으로 보안이 미흡하니 이중, 삼중 보안 절차를 가동해서 어찌됐든 그만큼 안전해졌다. 그런데, 공인인증서 사용 사이트에서 무조건 “예”를 강요한 나머지 사용자들은 그 습관을 다른 사이트에서도 적용하는 바람에 더욱 쉽게 악성코드에 감염되고 있다.
Q: 그게 무슨 뜻인가?
A: 앞서 말했듯이 중요한 정보를 넣기 전에는 자신이 맞는 사이트에 접속했는지 주소도 잘 확인하고 사이트에 자물쇠 (SSL)이 적용됐는지도 확인하는 등 체크할 것은 체크하기도 하고, 인터넷에서 아무 파일이나 함부로 다운로드 받지 말아야 하는데, 우리나라의 보안 환경은 이런 걸 깡그리 무시하는 거다.
Q: 회사에서 은행 사이트 같은 거 사용하려면 관리자 권한이 필요하다고 하면서 설치가 안되서 회사 보안 관리자를 불러야 한다.
A: 예를 들어 음악 플레이어 프로그램을 다운로드 받는다고 해보자. 그건 관리자 권한이 필요 없다. 하지만, 공인인증서 때문에 설치해야 하는 프로그램들은 대부분 컴퓨터를 좌지우지할 수 있는 관리자 권한이 필요하다. 즉, 이런 프로그램을 함부로 다운로드 받게 하는 건 위험한 독극물을 자꾸 사용자들에게 직접 옮기라고 요구하는 거나 다름 없다.
Q: 하지만, 은행이나 정부는 ‘그건 사용자 과실이다’, ‘사용자 책임이다’ 이런다는 거지?
A: 자신들은 액티브엑스든 플러그인이든 별도의 프로그램이든 ‘묻지마 다운로드’를 ‘강제’하지만, 그로 인해 발생하는 컬래트럴 데미지에는 아무런 책임은 없다는 거다.
Q: 오…… 생각해 보니 그렇네. 결국 사회에 독가스가 쉽게 터질 수 있는 환경을 유도해놓고, 자기들만 방독면을 쓴 것 같다.
A: 적절한 비유다.
Q: 지구가 멸망하고 있는데 지들만 살겠다고 우주선 띄워서 도망가는 영화 장면도 생각난다.
A: 어쩄든 이런 식의 부주의가 흔한 습관이 된 것은 사용자들의 잘못이 아니다. 금융결제원은 금융앱스토어 (fineapps.co.kr)라는 사이트를 만들어 두고 여기서 앱을 다운로드 받으라고 하고 있다. 최근 많은 보안 문제가 생겼는데도 여전히 이런 사이트가 만들어진 걸 보면 문제가 무엇인지 잘 알 수 있다.
Q: 이게 뭐가 문제인가? 요즘 하도 스마트폰 피싱, 스미싱 피해가 많으니 앱을 한 곳에 모아서 보여준다는 거 아닌가. 보니까 여기는 자물쇠, SSL도 적용되어 있는데?
A: 여기서 금융앱스토어에서 안드로이드 앱을 다운로드 받으려면 “알 수 없는 소스”로부터 설치가 가능하게 보안 설정을 반드시 낮춰야 한다. 그런데, 정작 웹 사이트에서는 이 사실을 전혀 안내하지 않고 있다.
Q: 스미싱 피해가 바로 “알 수 없는 소스”로부터 설치 옵션을 켠 사람들이 주로 당하는 거 아닌가?
A: 맞다. 이제까지 정부와 금융권이 앞장서서 안전을 도모한다며 웹 사이트에서는 “묻지마 설치”를 강요하더니, 이제는 스마트폰에서 “알 수 없는 소스” 설치를 강제한다.
Q: 아니, 구글 플레이 스토어에 올리면 되잖아! 거기는 “알 수 없는 소스” 설치 안 켜도 되잖아!
A: 금융앱스토어 만든 사람들에게 물어봐라. 무슨 생각으로 그러는 건지. 심지어 다 받았으면 ‘알 수 없는 소스’를 꺼달라는 이야기도 없다. 이게 과연 ‘액티브엑스만의’ 문제인 것 같나?
마지막 편으로 이어집니다. (편집자)