HOOC
액티브X 설치하겠습니까? 무심코 ‘예 ’ 클릭…해커에 인감 주는 꼴
2013.04.19.
온 국민이 메시지에 둔감해져
끊임없이 외부 프로그램 설치
가짜 액티브X로 좀비PC 만들어
악성코드 감염률 세계최고




#예전에 금융감독원 근무경력이 있는 부인을 둔 한 금융사 간부는 ‘공인인증서’로 일상을 감시당하고 있다고 농담을 던졌다. 금융정보에 정통한 와이프가 요구하는 것은 공인인증서 비밀번호 뿐. 남편의 사생활을 캐물을 필요도 없이 공인인증서 하나면 모든 금융거래 내역을 조회할 수 있기 때문에 그는 “도망칠 구석이 없다”며 투덜댔다.



온라인 거래에서 ‘인감도장’ 역할을 하는 공인인증서는 온라인 쇼핑, 인터넷뱅킹, 증권, 보험, 서류 발급, 세금 납부 등 다양한 분야에서 필수적으로 쓰인다. 공인인증서와 비밀번호만 있으면 한 개인의 다양한 금융거래 정보가 명명백백하게 드러난다. 해커 입장에서 공인인증서는 고급정보가 가득한 보물상자를 여는 열쇠가 된다.

3ㆍ20 사이버대란을 계기로 허술한 금융보안 체계에 이목이 쏠리며 공인인증서가 다시 도마에 올랐다. 1990년대 보안을 위해 도입된 공인인증서가 이제 해커에게 탈취되는 등 보안에 독으로 작용하다는 비난이 날을 세운다.

공인인증서가 문제가 되는 지점은 크게 두 가지다. 해킹을 당하면 그야말로 도둑에게 인감증명서를 넘겨주는 꼴이 되는 보안성 문제가 첫 번째요, 온 국민을 ‘액티브X를 설치하시겠습니까?’같은 메시지에 둔감하게 만들어 악성코드 감염에 스스로 뛰어들게 하는 부작용이 두 번째다.

우선 공인인증서가 국가보안까지 위협하는 골칫덩이가 된 데는 후자가 대표적 문제점으로 지적된다.

우리나라에서 인터넷뱅킹이나 온라인 결제를 하려면 공인인증서 발급이나 각종 보안프로그램을 깔기 위해 ‘Active X컨트롤 설치’를 수 차례 눌러야 한다. 금융거래를 위해서는 공인인증서가 필요하고, 공인인증서를 사용하려면 액티브X가 깔려야 하기 때문이다.

문제는 개인PC에 별도 프로그램을 설치하는 데 익숙해지다보니 각종 다운로드를 습관적으로 하게 되는 데 있다. 무심코 ‘예(Yes)’를 누른 프로그램이 해커의 침투경로가 된다. 해커는 가짜 액티브X를 이용해 악성코드를 심어 PC에 저장된 각종 정보를 빼내고 PC를 숙주로 만든다.

러시아의 보안업체 카스퍼스키랩이 지난 2일 발간한 ‘2월 스팸 리포트’에 따르면 전세계에 스팸메일을 뿌린 발신지 중 미국(16.9%)과 중국(14.4%)에 이어 한국이 3위(13.7%)를 차지했다. 미국이나 중국보다 월등히 적은 인구를 고려하면 국내 유포자가 많다기보다는 ‘좀비PC’가 많다는 해석이 유력하다. 



김기창 고려대 법학전문대학원 교수는 “개인PC에 끊임없이 외부 프로그램을 설치하다보니 우리나라의 악성코드 감염률은 세계 최고 수준”이라며 “악의적인 세력이 의도적으로 악성코드를 심는다면 국가보안을 해칠 수 있는 심각한 문제”라고 우려했다.

그렇다면 외국의 경우는 어떨까. 미국 온라인 쇼핑몰인 아마존이나 이베이, 아이튠즈에서는 액티브X 추가 설치나 공인인증서 없이도 비밀번호와 카드번호, CVC코드 등으로 결제가 된다. 공인인증서보다 안전하다고 단언할 수는 없지만 개인PC에 추가 프로그램을 설치할 필요가 없고 절차가 간편하다. 

IT전문가들은 공인인증서만을 고집하는 현행 체계를 다양한 표준이 가능하도록 열어달라고 주장한다. 다양한 공인인증 서비스가 허용되면 여러 플레이어가 들어올 것이고, 시장의 경쟁에 의해 소비자와 사업자가 자연스럽게 우수한 서비스를 선택할 것이라는 의견이다.

개인의 ‘전자 인감증명서’를 중심으로 보안체제가 운영되는 것이 안전하지 못하고 개인에게 책임을 미룬다는 지적도 제기된다.

김 교수는 “아마존이나 페이팔은 거래의 패턴을 분석해 거래내용 자체가 이상 징후를 포착한다”며 “사고가 나면 사업자가 유저에게 돈을 물어주라고 법제도가 되어 있기 때문에 어떻게 해서든 사고가 안 나는 온갖 기술을 열심히 개발해 적용하고 있다”고 말했다.

반면 우리나라의 경우 개인의 인감증명서로 거래가 이뤄지다보니 부정결제가 발생했을 때 책임소재가 개인을 향하게 될 수밖에 없다는 지적이다.

정부도 공인인증서의 폐해를 모르는 것은 아니다. 총리실 주재로 관계기관이 모여 공인인증서 외 인증방법의 활용을 모색한 일도 있다. 오랜기간 공론화하기도 했거니와 지난 대선에서 안철수 후보가 액티브X와 공인인증서 폐지를 공약으로 내걸었을 만큼 국민의 관심과 문제의식도 높다. 그러나 10년 이상 지속돼온 체계를 폐지할 때 오는 부작용과 불안감, 혼란은 조심스레 접근할 문제다.

한 카드사 관계자는 “공인인증서의 단점도 있겠지만 다른 보안방법을 도입했을 때 얻는 효용이 모든 부작용을 감수할 만큼 클지는 고려해봐야 할 것”이라며 “익숙한 체계를 바꿀 때 소비자가 보이는 저항감은 생각보다 크다”고 우려했다.

한편에서는 금융당국의 규제 욕심과 공인인증서를 발급하는 업체, 일부 보안업체의 기득권을 지적하기도 한다.

아직까지 국내 금융보안은 공인인증서를 중심으로 돌아가는 추세다. 금융당국은 다음달부터 30만원 이상을 온라인 결제할 때 공인인증서와 휴대폰 문자인증을 반드시 거치고, 모바일 결제의 경우도 신용카드 등록 시 기기에 저장된 공인인증서나 문자인증을 반드시 거치기로 했다. 당국이 이 같은 가이드라인을 발표한 지난 9일 공인인증서 사업체인 한국전자인증의 주가가 8% 이상 오르기도 했다.

이자영 기자/nointerest@heraldcorp.com