공인인증서

최근 수정 시각:

公認認證書

1. 개요2. 역사3. 현황
3.1. 공인인증서 의무사용 폐지
4. 문제점
4.1. 저장 방식과 배포 방식으로 인한 보안상의 문제점4.2. 국내 인터넷 환경의 보안공학적 취약화4.3. 소액결제의 불편함4.4. ActiveX
5. 장점
5.1. 오랫동안 검증된 보안 성능
5.1.1. 문제점 항목의 비판에 대한 반박
5.2. 온라인 금융 서비스 및 관공서 이용의 편의성
6. 공인인증서 해외 유출 사고7. 공인인증서에 관련된 오해
7.1. 공인인증서와 SSL은 서로 대체 가능하다?
8. 관련 문서

1. 개요[편집]

대한민국에서 인터넷을 이용하여 금전거래를 할 때 인증을 위해 필요한 전자서명으로, X.509 v3 기반으로 인증서를 생성한다. 전자상거래시 본인만 해당 인증서를 갖고 있고, 본인만 인증서 비밀번호를 알기 때문에 본인임을 인증할 수 있는 전자서명으로 이용 가능하다.[1] 이는 자체로 보안을 한 계층 추가시켜주는 역할을 하며, 은행업무, 전자상거래, 전자민원 등에서 본인임을 증명하는 법적인 장치 역할을 한다.

반면 이 때문에 한국에서 윈도우가 아닌 다른 운영체제로는 인터넷 거래가 불가능하게 되었다는 비판 역시 끊이지 않는다.

TrueCrypt 등으로 암호화시킨 볼륨에 공인인증서를 넣어놓으면 컴퓨터 해킹이나 USB 메모리 분실 등으로 타인에게 유출되는 것을 예방할 수 있다.

2. 역사[편집]

1999년 전자서명법이 발효되면서 전자정부의 초석을 다지기 위해 11명의 암호학 교수들이 모여서 연구를 시작했다. 그러나 연구 도중 두 파벌로 나뉘면서 상공회의소+행정부를 중심으로 한 축과 금융결제원, 은행, 보험등 금융업계로 나뉘게 된다. 110명도 아니고 11명이 왜 파벌이 나뉘는건데

이에 따라 전자는 모든 국민의 개인정보를 행정부가 보증하게 되었고, 입찰을 통해 사인 발급자로서 한국정보인증(KICA, Signgate)이 담당하게 되었다. 즉, 사인의 보증을 공적 주체가 맡게 된다. 반면 후자는 금융결제원(yessign)이 발급 주체가 되었고, 은행, 보험회사들이 보증 주체가 되었다. 결국 보증을 사적 주체가 하게 되는 셈이다. 이 경우 금융 거래만 하는 사람만 금융결제원에 기록이 있으므로 대상이 제한되게 되었다.

이는 전자인감이 필요한 공적 증명을 행정부가 맡고, 일반 은행 거래 정도는 금융결제원이 한다는 초기 목표가 있었기 때문에 이뤄진 것인데... 문제는 99년 당시엔 전자서명법은 발효되었어도 전자정부법은 아직 없었다. 그래서 '전자인감'이라는 개념은 효력이 없었고, 따라서 전자인감으로 인증서를 발급받을 만한 근거도 없었다. 이는 2001년까지 기다리게 된다.

이 과정에서 먼저 범용 인증서가 상공회의소, 전자정부, 학교를 중심으로 사용하게 되었지만 일반 개인 인증서는 커버할 수 있는 부분이 매우 적어졌다. 즉, 개인이 결제하는데 인증서를 발급받고자 하면, 사인시 사적 보증을 서주는 은행의 커버 범위로만 한정되는데다, 은행간 연동이 안되었던 것이다. 이후 타행 인증서를 만듦으로서 서로 연대보증하는 개념으로 이 문제를 해결하긴 했다. 이 와중에 은행권에서도 금융결제원(yessign) 자체가 보증을 서는 범용 인증서를 만들었다. 2001년 전자정부법이 나오기 전 불과 2년 사이에 아수라장이 되어버린 것이다.

2001년이 되어서 전자 정부법이 발효되고, 사람들이 대거 공인인증서를 쓰게 되자 불평을 한 건 당연한 일. 결국 전자서명법이 개정되었다.[2] 오직 정부만 보증 주체가 될 수 있고 보안을 강화시켰다. 다만 발급을 대행하는 곳을 한국정보인증(KICA), 한국전자인증(crosscert) 등등 여러 회사로 두게 하였다. 개정된 법에 따라 금융결제원(yessign), 은행 및 보험사는 범용인증서를 신규발급할 수 없게 되었다. 이 과정에서 기존의 인증서들은 범용인증서로 이관이 되었다.[3]

2012년 1월부터 알고리즘이 강화되어 인증서를 발급/갱신하게 되면 기존의 인증서보다 알고리즘이 강화된 인증서로 교체된다.

3. 현황[편집]

한국에서 윈도 외의 다른 환경은 홀대받는 이유

현재 공인인증서는 개인용으로는 범용 공인인증서와 금융거래용 공인인증서를 받을 수 있다. 이 중 범용 공인인증서는 연간 4,400원을 내야 하며 몇몇 웹사이트에서 신원 확인에 이용하거나, 일반적인 온라인 쇼핑몰 등에서도 사용할 수 있는 광범위한 용도를 가지고 있다. 금융거래용 공인인증서는 무료인 대신 인터넷 뱅킹과 소액 금융거래 등에서만 쓸 수 있다. 이 외에 법인 및 단체용 공인인증서나 특수목적용 공인인증서도 있는데, 이들은 연간 110,000원을 지불해야 한다.

발급은 전자서명법 제4조의 규정에 의하여 지정된 몇몇 공인인증기관[4][5] 가능하며, 은행, 증권사, 우체국 등 등록대행기관에서도 발급 가능하다. 발급 절차가 다소 귀찮은데, 신청서를 작성하고 공인기관을 직접 방문하여 번호를 발급받아야 한다. 한번 신청한 이후엔 해당 기관 홈페이지 등에서 인증서를 다운받아 저장할 수 있다.[6] 유효기간이 있어 1년마다 갱신해야 한다.[7]

만약에 해외에 거주한다고 하면 대사관이나 영사관등의 재외공관에서 범용공인인증서를 발급할 수 있다. 단 국가 및 재외공관마다 다를 수 있으므로 방문하려는 재외공관의 홈페이지를 확인할 것.
주일본 한국대사관 공지

주로 사용되는 분야는 은행의 인터넷뱅킹, 인터넷 쇼핑몰 실시간 결제 등이다. 인터넷 뱅킹시 보통은 은행에서 발급해주는 무료 인증서를 쓰지만, 인터넷 쇼핑몰의 경우 꽤나 많은 곳이 범용 인증서를 요구하므로 왠지 돈이 아깝다. 상술했듯이 은행에서 발급받은 무료 인증서는 증권사 거래에서 안되고 반대로 증권사에서 발급받은 무료 인증서는 은행에서의 거래가 안된다. 몇몇 정부 사이트에 접속할 때에도 필요한데, 자격증 시험에 응시할 때라든가, 국가 장학금을 신청할 때라든가, 특히 병무청 접속, 예비군 홈페이지 접속 등에도 필수적으로 요구되어 군 입대자들과 예비군들을 귀찮게 하고 있다.

전자정부 시스템에서도 공인인증서를 사용한다. 이쪽은 행정자치부에서 발급하며, 공무원들이 사용한다. 예전에는 공문에 직접 날인을 했다면, 지금은 공인인증서로 전자서명을 하는 방식.

2014년 박근혜 정권이 "경제 민주화"에서 "규제 완화"로 방향키를 돌리며 첫번째로 지목되었다. 박근혜 전 대통령은 국무회의에서 당시 중국에서 인기를 끌었던 별에서 온 그대에 나온 천송이가 입고나온 코트를 인터넷으로 구매하려는 중국인들이 공인인증서 때문에 옷을 구매하지 못하고 있다고 말하며[8] 공인인증서 제도를 개편할 것을 촉구했다.

3.1. 공인인증서 의무사용 폐지[편집]

결국 2014년 10월 1일 전자금융거래법 개정안이 통과되면서 공인인증서 의무사용 조항이 삭제됐다. 이에 따라 금융사는 자율적으로 보안 수단을 선택할 수 있다.

하지만 주의할 점은 공인인증서를 의무로 사용할 필요가 없어졌다는 것 뿐이지 공인인증서를 써선 안된다고 강제하는건 아닌지라 이것은 순수히 기업들의 자율에만 맡기겠다는 의도이고 말인즉슨 기업이 원하면 그냥 계속 공인인증서를 써도 된다는 뜻이기도 하다. 그리고 새로운 보안 기술은 당연히 만들고 적용시키고 적응하는데 시간과 비용이 많이 들기 마련이고, 그렇게 구축해봐야 보안 책임을 전면 기업이 떠안게 될 테니 기업 입장에선 굳이 공인인증서를 포기할 이유가 없으므로 계속 사용될 가능성이 높다.

그나마 다행인 점은 ActiveX 퇴출 압력이 거세지고 있기 때문에 ActiveX가 필수인 공인인증서는 이것의 영향을 받아 같이 퇴출될 가능성이 높다는 사실이다(당장은 아니겠지만).

그리고 2015년 3월 18일 의무사용이 폐지됐다. 앞으로 얼마나 병크같은게 다시 등장할지 아니면 이대로 유지될지는 미지수.

2015년 8월 19일, 정부에서 한가지 발표를 했는데... 기사
공인인증서를 발급하는데 ActiveX를 없애고, 대신 EXE를 이용하기로 하였다.[9]
이르면 오는 12월부터 시행할 것이라고 한다. EXE플러그인이 아니라 차라리 클라이언트 프로그램을..

그런데 2015년 7월, 마이크로소프트에서 카운터를 먹였다. Windows 10을 출시하면서 기본 웹 브라우저를 마이크로소프트 엣지로 바꿨는데, ActiveX를 비롯한 모든 플러그인 기능을 없앤 것이다. 이 경우 웹 브라우저와 외부 플러그인과의 통신 자체가 안 되기 때문에 exe도 사용이 불가능해진다. 그나마 인터넷 익스플로러 11이 보조 프로그램으로 남아 있어서 부랴부랴 업체들은 윈도우 10 + IE11에 맞춰서 플러그인 업데이트를 하는 걸로 대응했다. 2016년 5월 7일 기준 Edge로 금융거래가 가능한 것으로 파악된다. 옥션에서 결제 성공(URI Scheme 사용으로 추정된다.)

그러나 두 달 후인 2015년 9월, 구글 크롬이 추가 카운터를 먹였다. 버전 45에서 NPAPI 지원을 깔끔하게 삭제해 버렸다. 마이크로소프트 엣지와 마찬가지로 exe 실행이 불가능한 두 번째 브라우저가 되었다.

결국 공인인증서 환경은 exe를 탈피하여 HTML5로 넘어가기 시작했다. 2015년 9월 국민은행이 "브라우저인증서"라는 이름으로 아무런 플러그인을 설치하지 않고 HTML5로 동작하는 인터넷 뱅킹 환경을 만들었다. 뒤이어 신한은행이 12월부터 국민은행이 적용한 것과 동일한 솔루션을 적용, HTML5 환경의 인터넷 뱅킹을 지원하면서 조금씩 플러그인에서 탈피하려는 노력이 보이고 있다.

그러나 현 단계에서 이 HTML5 기반 공인인증서에는 한계가 있다. 암호화 및 전자서명 관련기술의 표준화가 지체되고 있기 때문인데, 표준화된 전자서명 API가 없다보니 브라우저나 운영체제가 지원하는 안전한 인증서 저장소를 이용할 수 없었고, 대신 개발사는 도메인 단위로 관리되는 일반적인 저장소를 이용했다. 그런데 이 저장소는 보안성이 보장되지 않는다. NPKI 폴더와 그리 다른 점이 없다는 말. 악성코드가 컴퓨터에 침입해왔다간 끝장이다. 따라서 이 솔루션 도입은 따로 프로그램 설치를 요구하지 않는다는 것에 의의를 둬야 할 것 같다. 게다가 외국에서는 웹 기반 전자서명의 니즈가 거의 없기 때문에, 표준화 논의 역시 큰 호응을 받지 못하고 있다.

이미 모바일에서는 각 금융권들이 홍채나 지문 등 생체인증으로 공인인증서를 대신하는 기술을 개발해 상용화 중이고, 이를 곧 인터넷 뱅킹에도 적용한다고 한다. 즉 액티브엑스든 공인인증서든 그동안 국내 인터넷 환경을 좀먹고 있던 요인들이 올해 내로 사라질 확률이 매우 높다는 것.[10]근미래에는 절대 없을 것이다. 생체 인증을 위한 보안 프로그램 설치를 반드시 요구할테니

2017년 출범한 문재인 정부에서 공인인증서가 없는 인터넷 환경을 만드는 방안을 추진한다 한다 - 기사

4. 문제점[편집]

국내 공인인증서의 문제는 공인 인증서를 개인이 하드나 USB, 핸드폰 등에 저장한다는 점과 공인 인증서를 가동하기 위해 별도의 프로그램이 필요하다는 점이다. 이로 인한 문제점은 다음과 같다.

4.1. 저장 방식과 배포 방식으로 인한 보안상의 문제점[편집]

공인인증서는 사용자의 저장장치에, 그것도 일반 폴더인 NPKI 폴더에 저장하며, 그냥 이 폴더를 복사해가면 공인인증서를 복사할 수 있는 것이다.# 일단 NPKI 폴더 내의 파일을 입수하기만 하면, 공격대상자가 8자리(최소) 비밀번호를 쓰는 경우 브루트포스로 암호를 쉽게 알아낼 수 있다. NSA나 국정원이 아니라 스크립트 키디도 할 수 있는 수준. 널리 퍼진 오해로 '공인인증서는 5회 암호를 틀리면 자동 폐기된다'는 것이 있는데, 이는 공인인증서 시스템 자체에서 구현된 것이 아니라 공인인증서를 쓰는 해당 은행/증권 프로그램에서 '눈 가리고 아웅'하기 위해 구현한 것이라서 암호를 풀기 위한 별도 프로그램을 쓰면 무한대로 입력할 수 있다. 즉, 실제 현실에서 공인인증서 암호 검증 과정에는 서버와의 네트워크 통신이 필요 없다.

특히나 최근의 스마트폰 사용량 급증과 더불어서 이런 공인인증서 폴더의 해킹사례는 더욱 증가했는데, 개인 핸드폰이 PC보다 보안이 취약하다는 점과 APK 파일을 비롯한 외부 프로그램을 쉽게 설치할 수 있다는 점 때문에[11] 공인인증서 폴더 탈취가 더욱 증가하고 있는 실정이다. 한국인터넷진흥원(KISA)에서도 이와 같은 문제를 인식하여, 보안토큰에 공인인증서를 저장할 것을 권고하고 있다. 이럴 경우 NPKI폴더의 탈취를 막을 수 있으므로 1번에서 제기된 문제를 해결할 수도 있을 것이다.

복제가 불가능한 IC카드나 USIM에 인증서를 탑재시 이 문제는 간단히 해결되었을 것이다. 사실 이렇게 하면 편의성 때문에 OTP와의 경쟁에서 밀려 사라지긴 했지만, 동급의 보안성을 인정받았던 HSM과 구조적으로 별 차이가 없다. 다만 이 경우도 지원을 위해 추가 플러그인 설치가 필요하단 문제는 피할 수 없다.그냥 내장api이용하면 안될까

4.2. 국내 인터넷 환경의 보안공학적 취약화[편집]

이에 대하여는 통계적으로 따져볼때 맞다고 보기 어렵다고 주장하기도 한다. 2013년 경찰청에서 발표한 신종금융범죄[12] 피해에 따르면 총 발생건수는 33763건인데, 거기서 실제적으로 단말기가 털린 메모리 해킹의 경우에는 463건에 불과하기 때문이다. 이는 1%가 약간 넘는 수치인데, 페이팔의 경우 한달 부정결제액의 추산을 3~5%로 하는 것을 고려해볼때 이 주장은 설득력이 떨어지는것으로 보인다.

그러나 위와 같은 솔루션에 대한 관점은 잘못되었다고 볼 수 있을 여지가 있다. 그 이유는 공인인증서를 사용하기 위해 깔리는 공인인증서 보안솔루션이 보안공학적[13]으로 두가지의 큰 문제를 낳기 때문이다.

첫번째 문제는 보안에 대한 전문지식이 부족한 사용자에게 보안을 일정부분 책임질 것을 강요한다는 점이다.[14][15] 결국 사회적으로 중요한 것은 금융범죄를 얼마나 줄일 수 있는가이다. 당연히 더 많은 인력과 전문성을 확보할 수 있는 기업들이 보안을 책임지는 것이 맞다. 메모리가 해킹당하던 스미싱을 당하던 금융범죄가 일어났다는 사실에는 변함이 없으며, 단말기가 털리지 않았다고 문제 없다고 하는 것은 보안을 책임져야 할 사람들이 주워담는 면피성 발언에 지나지 않는다. 하지만 사용자의 PC에 보안 솔루션을 깔았다는 이유로 법적 싸움에서 은행 및 오픈마켓 등은 '할 일을 다 했으니 책임이 없다'라는 판결이 나오기 쉽고, 그만큼 기업들은 보안에 자체적으로 투자하지 않고 단순 외주로 돌려버리게 된다.[16][17]

두번째 문제는 보안솔루션을 제공하는 기업들의 신뢰성이 부족하다는 점이다. 많은 사용자들이 치를 떠는 엔프로텍트같은 경우를 보면 쉽게 알 수 있을 것이다. 이놈을 깔면 프로그램 설정이 이상하게 바뀌고, 키보드 입력이 제대로 되지 않으며, 심지어 운영체제를 죽이기까지 한다. 기본적으로 한 컴퓨터에 같은 종류의 보안 프로그램을 두개 이상 설치하는 것은 권장하지 않는다.[18] 그런데 다른 신뢰성이 높은 백신이나 방화벽이 많이 있음에도 불구하고 특정 제품군을 깔도록 강제하는 것은 좋은 상품을 선택할 권리를 막는 것이고, 이는 실제로 우리나라의 전체적 보안 상황에 악영향을 미치는 것이다. 특히 이렇게 단일 프로그램을 깔도록 만들면 크래커 입장에서는 해당 제품 제조사만 해킹하면 되기 때문에[19] 해킹하는 것마저 쉬워진다.

온라인 거래에서 본인을 인증하는 수단을 마련한다는 기본 발상 자체는 그리 나쁘지 않았다고 볼 수도 있으나, 지나치게 세세한 부분까지 법으로 규제를 한 점. 특히나 해킹 이후의 사후 대처에 대한 고민을 충분히 하지 않고서 지나치게 친기업적인 정책제안을 그대로, 생각없이 받아들인 결과 현재와 같은 인터넷 환경이 조성되었다고 할 수 있다.


그리고, 공인인증서의 가장 큰 문제로 지적되는 부분은 낮은 보안의식을 가진 사용자가 공인인증서를 가지고 사용한다는 점이다. 외부 설치프로그램이 나타나면 무조건적으로 확인도 하지 않고 확인을 누른다. 국내 인터넷 환경은 지나친 ActiveX의 남용과 더불어 ActiveX를 설치하지 않으면 진행이 되지 않기 때문에 익스플로러를 오래 사용한 사람이라면 습관적으로 확인버튼을 눌러 버린다. 또한, 컴퓨터에 관심을 갖지 않는 일반 사용자가 ActiveX 컨트롤러 개발회사를 얼마나 알까? 기본적으로 ActiveX를 설치하겠냐는 물음에 아니오를 누르면 결제가 안 된다. 그러니 설치하겠냐는 물음이 뜨면 조건반사적으로 예를 누르게 되고, 결국 잘 알지도 못하는 프로그램을 무작정 설치 및 실행해버리는 것이다!

이런 문제에 더욱 불을 붙이는 건 법원과 정부의 대응이다. 사고가 터졌을때 법원에서 가장 먼저 확인하는 것은 기업에서 보안솔루션을 완벽하게 갖추었는지이다. 특히나 개인이 해킹과 같은 문제를 당했다면, 기업에서 지정한 절차를 지켰음에도 개인의 부주의로 해킹을 당했음을 완벽히 증명해야 한다.판례 1판례 2 위에도 나오지만 정말 IT에 무지해서 그렇다는 생각은 순수한사람인증이라고 본다.

따라서, 기업에서는 이런 책임을 면피하기 위해 공인인증서 외에도 안전하게 사용할 수 있도록 외부프로그램들의 설치를 강요하고 있는게 현실이다. 당연히 이런 보안프로그램의 설치는 어느정도의 안전성을 보장해주나 문제는 기업에서 면피용으로 대충 설치해놓고 업데이트를 안할 때이다. 쉽게 설명하자면 백신을 사놓고 1년간 업데이트를 안하는 것이다!!! 그야말로 끔찍한 상황.[20]
특히 회사마다 이런 보안솔루션 ActiveX의 적용방식이 다른 만큼, 자기들끼리 버전이 달라 서로가 서로를 공격하는 막장도 높은 상황까지 보이기도 한다. 그럼에도 이 문제를 해결해야 할 기업은 예산이 없다는 변명하에 투자를 하지 않고있고[21] 이를 철저히 감시해야 할 정부 역시 예산문제와 인력문제를 이유로 들며 제대로 감시하지 않고 있다. 이현령비현령의 뫼비우스의 띠와도 같은 상황. 이렇기 때문에 오픈넷을 비롯한 다수의 유저는 이런 현상들이 오히려 공인인증서의 보안을 좀먹을 수 있는 현상을 경계하고 있다.

개인이 공인인증서의 문제점을 보완하기 위해 추가적으로 부담하는 비용 역시 부담으로 작용할 수 있다. 보안 토큰이 약 5천원정도의 돈을 내고 은행에서 사야하는 단점이 있는 것은 물론[22], nProtect라든지, XecureWeb 등의 프로그램이 거래 이후에도 컴퓨터의 자원을 차지하고 있는 것 역시 문제다. 이런 프로그램이 보안이 필요한 상황에서만 작동하고 종료되면 큰 문제가 없는데 그렇지가 않으니...

4.3. 소액결제의 불편함[편집]

또한 비교적 소액 결제에서도 공인인증서를 무분별하게 남용하는 것 또한 문제이다. 현행 제도법상으로 30만원 이하는 소액 결제로 취급되어 공인인증서 없이 결제가 가능하나(대표적으로 스마트폰 영화 예매나 기차, 버스 예매 등) 대부분의 회사에서는 결제금액이 얼마인지 예상되지 않는다는 이유로 결제과정에서 공인인증서 결제 관련 플러그인에 강제로 연결시킨다.각종 무용지물 악성코드에 가까운 보안 프로그램을 잔뜩 설치하고 공인인증서로 결제하는 것 보다 해외 사이트를 프록시로 우회 접속해서 결제하는것이 수십배 빠르다 당연히 기업 입장에서는 관리와 유지에서의 유용성 때문에 그렇지만, 이러한 보안조치는 얼마 되지도 않는 거래에서 역시 많은 절차를 요구하므로 몹시 피곤한 방식이다. 이 부분에 대해선 기업이 조속히 해결해줘야 하나 귀찮다는 이유로 나두고 있다. 아무리 소액결제 금액을 50만원으로 늘려도, 결국 금융사나 인터넷 쇼핑몰에서 해주지 않으면 그만인 것이다! 결국 기업이 소비자의 요구를 충족해서 개선해 줄 의지가 얼마나 있느냐에 달린 문제.

4.4. ActiveX[편집]

사실상 공인인증서의 가장 결정적인 문제점

공인인증서를 사용 가능하게 하는 모듈 상당수를 보안업체가 개발하는데 대부분이 ActiveX 기반이며, 사용자에게 관리를 맡긴다는 것. 공인인증서 기반기술 자체가 액티브X 기반이 아니기 때문에 해외에서 인증기술을 사용하는 국가에서는 플러그인 없는 인증 서비스를 제공하고 있으며, 우리나라에서도 공인인증기관을 중심으로 플러그인 없는 공인인증 서비스를 제공하고 있지만 금융기관 등에서는 방화벽, 가상 키보드 등과 패키지로 액티브X 기반 공인인증 서비스를 제공한다. 다시 말해 마이크로소프트 사에서 만든 윈도 운영체제에서 인터넷 익스플로러를 이용하지 않고서는 공인인증서를 사용할 수 없는 것처럼 인식되는 경우가 많다. 대한민국에서는 대부분의 사람들이 윈도우/IE로 인터넷을 사용하기 때문에 이 문제에 대해 지적하는 사람들은 극소수였으나, 스마트폰 도입 이후로는 언론사에서도 까기 시작했다. 결국 이러한 문제가 지속적으로 제기되어서 현재는 정부에서도 크로스 브라우징 지원 권고가 이루어지고 있으며, Java 애플릿이나 어도비 플래시를 이용하는 결제 시스템이 도입되고 있기는 하지만 아직 이용할 수 있는 곳도 많지 않고 이용 중 문제가 생기는 경우도 종종 발생한다.

하필 액티브X를 이용하는 이유는 여러가지가 있는데, 첫째는 공인인증서가 처음 나오기 시작할 때에는 SSL(Secure Sockets Layer)[23]56비트 암호키만 이용할 수 있었기 때문이다. 당시 미국에서 수출 제한을 두어 이용할 수 없었기 때문. 이 때문에 당시 최신 브라우저였던 IE 4.0은 40비트 암호화 버전과 128비트 암호화 버전이 있었는데, 해외 다운로드는 40비트 암호화 버전만 가능했다. 56비트는 너무 허술했기 때문에 좀 더 복잡하고 안전한 키를 이용하기 위해 독자적인 암호화 방식인 SEED를 이용하였다. 그리고 SEED를 웹 브라우저에서 직접 지원하질 않으니 플러그인을 통해서 이용하는 수밖에 없었는데 하필 선택한게 ActiveX(...)[24][25] 이후 미국의 암호화 수출제한은 풀렸으나, 이미 액티브X와 SEED를 이용하는 시스템이 너무 퍼져버렸고 그대로 고착화되었다. 또한 다른 브라우저들의 저조한 이용[26]과 기업들의 게으름으로 인해 익스플로러 이외에서 공인인증서를 이용할 수 있는 시스템은 오랫동안 제대로 개발되지 않았다.

결국 2010년에 와서야 방송통신위원회에서 액티브X를 퇴출시킬 것[27]이라 발표하면서, 공인인증서를 어떤 방식으로 뜯어고칠 것인가에 대해 관심이 집중되었다. 일단 임시방편으로 조금 사용자가 많은 일부 웹 브라우저에서 오픈뱅킹을 시작했고, 스마트폰 전용 뱅킹도 추가되었다.

다만 웹 기반 시스템을 실제 금융권에서 찾아보기는 아직 어려운 실정이고, 저 오픈뱅킹이라는 것 상당수가 사실 액티브X와 상당히 유사한 NPAPI에 의존한다는 게 문제다. 파이어폭스, 크롬, 사파리 등 IE 제외한 상당수가 NPAPI를 지원했으나 2013년 12월 예정인 크롬을 시작으로 크롬과 파이어폭스에서 지원이 종료된다.[28]

2014년 9월 23일. 금감원에서 전자상거래 결제 간편화를 발표하였다. 이에 따라 빠르면 2015년부터 대형금융사를 우선으로 액티브X는 사라질 것으로 보인다.

또한 정부는 공인인증서를 HTML5 기반으로 바꾸기 위한 작업도 진행한다고 한다. 하지만 은행들이 웹 기반 공인인증서의 보안성을 의심하고 있고, IE7/IE8 등의 구형 웹브라우저까지 지원할 것을 요구하느라 난항을 겪는 상태라고 한다. [29] #

5. 장점[편집]

위와 같은 문제점에도 불구하고 한국에서 공인인증서가 계속 쓰이고 있는 이유로는 아래와 같은 장점이 존재하기 때문이다.

5.1. 오랫동안 검증된 보안 성능[편집]

공인인증서를 비판하면서 흔히 볼 수 있는 '공인인증서는 낡은 암호체계를 이용하는 구닥다리 기술이다' 라는 주장은 사실이 아니다. 한국의 공인인증서가 채용하고 있는 SEED 등의 암호화 알고리즘은 40년 넘게 사용된 PKI에 기반한 공개키 인증 방식인 것은 사실이지만, 40년동안 보안성을 인정받았기에 계속 사용해 온 것이다. 오히려 보안 업계는 검증되지 않은 새로운 알고리즘을 좋아하지 않는다.[30]

위 단점 부분에서 저장 방식으로 인해 보안이 허술하다고 서술되었으나, 스마트기기에 저장되었을 때 문제가 되는 것이다. 복제가 어려운 보안토큰을 사용한다면 보안 수준이 상당히 올라간다. 이렇게 관리만 잘 한다면 공인인증서 방식은 OTP + SSL 방식보다 더 안전하다고 여겨진다. 링크 1링크 2 요약하자면, MITM을 비롯한 각종 멀웨어와 자동화된 해킹위협에 어느 정도 대처가 가능하다는 의미이다.

참고로 최초 국내에 공인인증서를 도입하기 전, 공인인증서를 제안한 개발자가 이러한 취약성에 대한 문제를 우려하여 보안 토큰에 저장하는 것을 권장하였으나, 정부에서는 보급화를 우선시하여 보안 토큰이 아닌 HDD에 저장하는 것으로 결정하였다는 카더라도 있다.

5.1.1. 문제점 항목의 비판에 대한 반박[편집]

공인인증서와 액티브X가 사용자에게 보안 책임을 전가한다는 이야기가 반 ActiveX 진영에서부터 퍼지고 있는데, 이는 사실과 조금 다르다. 한국의 경우 금융에 보안 레이어가 짜증날 정도로 많고, 정부 기관이 도끼눈을 뜨고 보고 있기 때문에 오히려 이를 이용한 해킹 시도는 적은 편이다. 피싱 등 대인사기에 가까운 방법으로 금융사고가 터지는 경우가 절대 다수이며, 이는 사람을 통한 공격으로 외국에서도 딱히 금융회사가 책임지지는 않는다. 속아서 사기꾼에게 송금을 했는데, 수표로 돈을 보내는 것과 인터넷으로 보내는 것이 뭐가 다른가? 사기꾼에게 인터넷 뱅킹으로 송금을 해줬다고 해서 인터넷 뱅킹 사고가 되는 것은 아니다. 금융회사가 이런 사기 피해를 책임져 줄 이유도 없다. 한국에서 인터넷뱅킹의 사용자 정보를 전자적으로 완전히 털거나 (OTP 사용한 경우) 메모리 해킹을 통해 사고가 일어나는 경우, 이 사실이 확인되면 당연히 금융회사가 보상을 해 준다. 한국은 어차피 이런 사고 자체가 적기 때문에, 낡은 컨셉에 사용자 편의성이 떨어진다고 공격을 받을 수 있을지언정 실질적으로 보안성이 떨어지며 책임전가를 위해 제도를 만들었다고 주장한다면 어불성설. 한국의 경우 오히려 정보 취약 계층을 상대로 한 피싱 사기가 훨씬 더 큰 문제가 된다.

또한 한국도 전자상거래시 일어난 보안사고에 대해 은행이 1차적으로 책임을 지며, 법적으로 은행측에서 사용자의 중과실을 입증한 경우에만 사용자에게 책임을 지울 수 있다. 이는 사실상 인터넷 짤방으로 돌아다니는, zero liability로 표현되는 외국의 정책과 다를 바 없다. 외국이라고 모든 경우에 zero liability를 해주는게 아니다. 상품마다 범위가 다르며, 파밍과 같이 사용자가 능동적으로 정보를 넘긴 경우 돈 받으려고 서로 소송걸리는 것은 한국하고 똑같다. "사용자에게 책임을 미룬다"고 주장하는 본 문서 위의 섹션의 기사 링크만 봐도, 사용자가 피싱에 속아 사기단에 민감한 개인정보와 금융정보를 죄다 넘겼음에도 은행이 사용자의 과실을 입증하지 못해 돈을 물어준 사건이다. 이는 한국도 정말 웬만한 일 아니고서야 zero liability를 보장해준다는 이야기밖에 안 된다.

이러한 왜곡된 정보는 인터넷 등지에서 만화나 짤방 등으로 퍼지고 있는데, 대개 해외에서 zero liability가 어떤 방식으로 적용되고 있는지, 해외와 한국의 보안 문제 사정이 어떻게 다른지[31] 사정을 전혀 이해하고 있지 못한 것에 가깝다. 위 섹션의 한국 인터넷 뱅킹이 이렇게 나빠요! 하고 들고온 예조차 사용자가 어떤 법적 보호를 받을 수 있는지를 보여주는 예에 가까운 것이 이를 잘 보여준다. 한국 인터넷뱅킹과 공인인증서의 문제는 구닥다리 법적 규제와 편의성 문제일 뿐이고 그게 다다.

금융사 입장에서는 자유로운 결제를 위한 수단을 마련하기 위해 애를 쓴다. 삼성페이, 카카오페이, 카카오뱅크, YES24의 새로운 결제 기능 시도 등, 업체 입장에서 공인인증서를 폐기하는 것을 마다할 이유가 전혀 없다. 모든 유통사와 카드사에서는 결제 과정을 조금이라도 줄이는 것이 매출 상승에 큰 도움이 되며 이득인 것을 알고 있으며, 어떻게든 귀찮은 인증 과정을 피해가려고 실제로 여러 시도를 해왔고 또 지금도 시도하고 있다. 이를 막는 것은 정부, 특히 금융감독원의 시대착오적인 중앙 통제식 규제이다. 한국 정부는 지금까지 좌우 막론하고 단 한번도 금융사들에게 제도적 자유를 준 적이 없으며, 오래된 규제를 밀어붙이고 있다. 딱히 보안이 크게 떨어지지도 않음에도 불구하고 보안성이 떨어진다고 욕 먹는 것도 그렇고, 금융사가 책임회피한다고 주장하는것도 이상하다는 것.

물론 이러한 보안 컨셉은 오래된 것이고, 공인인증서가 어떻게 할 수 있는 범위가 아니다. 때문에 실제 현장에서는 "실제 사용자가 이 사용자 본인인가"를 인증하도록 하는 새로운 컨셉에 따라 새로운 레이어가 추가되었으며 (휴대폰 본인인증, OTP 등) 이로 보안성을 새로이 강화시키고 있다. 본인임을 인증하기 위한 낡은 법적 장치를 고수하기 위해 사용자 편의성이 떨어지는건 비판받을만한 일이지만, 밑도 끝도 없이 보안성이 (없는 것보다 더) 떨어지네 금융사의 책임 넘기기네 돈 때문이네 어쩌네 하는 것은 억지라는 것.

5.2. 온라인 금융 서비스 및 관공서 이용의 편의성[편집]

전자서명 기능을 수행하는 공인인증서가 있으므로서, 집에서 편리하게 관공서의 문서를 열람할 수 있으며 금융결제도 간편하게 이용가능하다.[32] 유럽이나 미국과 같은 경우, 서류 몇 통을 떼기위해 몇주간 관공서를 왔다갔다해야한다라거나, 세무 신고를 위해 은행에서 끝없이 줄을 서 있는 점들을 고려해 본다면 구현 방식이 잘 적용된 공인인증서의 경우 사용자를 무척이나 편리하게 할 수 있는 점을 알 수 있다.

많은 사람들이 믿고 있는 것과는 다르게, 공인인증서는 SSL등의 장치처럼 보안만을 위해 추가된 장치가 아니며, 오히려 신분증명의 법적인 장치에 더 가깝다. 은행에 신분증과 본인 얼굴을 들고 가는 것을 공인인증서가 대체하는 것. 애초에 그럴 용도로 만들어졌다[33]. 외국도 본인인증이 반드시 필요한 경우 (관공서 업무, 법적 서명 등) 비슷한 법적인 장치가 있으며, 없는 경우 해당 기능을 제한해 놓은 경우가 많다. 은행 계좌를 열 때 이미 본인임을 확인했으므로, 인터넷뱅킹을 경유해서 로그인하고 "내가 정말 본인입니다" 라는 체크박스에 법적인 지위를 부여해 놓은 것 정도. 물론 공인인증서는 비밀번호를 개인이 가지고 있는다는 전제하에 넷상의 모든 전송이 알고리즘상으로 본인확인이 되며, 체크박스처럼 위변조가 불가능하며 법적 지위 또한 갖는다. 이러한 제도적 장치를 마련해놓지 않은 외국의 경우 인터넷상에서 공무를 보는 것에 큰 제한이 있다.

미국에선 카드 번호나 몇 가지 정보만 도용되면 카드가 그냥 도용된다. 그래서 한국의 카드사들은 자사 고객이 미국에서 체류하며 결제를 할 경우, 갑자기 이상한 지역에서 결제가 발생하면(분명히 계속 서부에서 체류하며 결제를 하는데 뜬금없이 동부에서 결제가 일어난다?) 전부 체크해서 카드를 즉시 정지시킨다. 미국은 한국과 반대로 오프라인 결제는 비밀번호를 입력해야 되지만 온라인 결제에는 카드에 나와있는 정보(12자리,만료일,카드 뒷면 3자리,이름)만 입력하면 아무 확인없이 결제가 가능하다. 오프라인도 일부는 위의 4개만 입력해도 결제가 가능한 곳이 많다. 당연히 결제의 편의성은 좋을지라도 보안성은 굉장히 떨어진다. 피해 보상처리가 엄청 느려터진 건 덤.

6. 공인인증서 해외 유출 사고[편집]

개인의 공인인증서 7천여개가 해외로 유출된 것으로 알려졌다. 관련기사

한국인터넷진흥원(KISA)의 보도자료에 따르면, 악성코드를 이용한 유출시도인 것으로 추정되며 공격서버 IP를 차단하고 피해자에게 유출 사실을 알리는 것으로 조치를 취했다고 한다. 현재 보도된 것과 관련한 피해사실은 없는 것으로 밝혀졌다. 보도자료

아예 공인인증서를 노리는 파밍 바이러스가 존재한다. 금용감독원 팝업창을 띄우고 보안카드와 비밀번호를 누르도록 유도하는데 이에 낚이지 말자. 모든 정보를 입력하는 순간... 더 이상의 자세한 설명은 생략한다.

7. 공인인증서에 관련된 오해[편집]

7.1. 공인인증서와 SSL은 서로 대체 가능하다?[편집]

한양대 김인성 교수가 그린 웹툰으로 인해 이런 인식이 퍼지게 되었으나, 혼동을 줄 수 있으니, 좀 더 주의해서 사용하는 것이 좋다. 해당 웹툰에서 말하는 건 단순 SSL이 아니라, 공신력을 가진 인증 기관에서 발급한 EV 인증서를 사용하는 EV-SSL이다. 공인인증서에 대응되는 것이 EV 인증서이고, 공인 인증이 개인 인증에 해당한다면, EV-SSL은 서버 인증에 해당한다. 공인인증서는 개인이 '자신'임을 입증하는 인감이라면, EV-SSL은 해당 서버의 안전도가 '공신력' 있는 기관으로부터 인증되었음을 확인해 준다. EV 인증서를 발급받으려면 베리사인 같은 인증 기관의 기준을 통과해야 하니, 분명 EV-SSL은 그 자체로서 통신 보안에 대한 신뢰성을 부여하는 셈이다. 따라서 기술적인 관점에서 공인인증서와 EV-SSL은 대칭적이다.

하지만 EV-SSL에서는 사용자 각각에 대한 인증이 이루어지지 않기 때문에, 공인인증서가 가진 본인확인과 부인방지 기능을 수행할 수 없다. 한국 정부가 공인인증서에 목을 매는 이유가 이것이다.

단, 클라이언트 인증서라는 기술이 있는데, 이 기술을 사용하면 가능할 수도 있다.

8. 관련 문서[편집]




[1] 이탓에 공인인증서를 만들때, 다른 사이트와 비밀번호를 절대 겹치게 만들지 말라고 강조하지만 현실은...[2] 법령과 관련된 정보는 국회-의안정보시스템 참조.[3] 단, 2006년 7월 1일 이전 금융결제원을 통해 발급된 범용공인인증서의 갱신사용은 가능하다.[4] 현재는 금융결제원, 코스콤, 한국정보인증, 한국전자인증, 한국무역정보통신 이렇게 5개의 기관이 있다.[5] 전자서명법 제12조의 규정에 의하여 지정 취소된 기관은 아직 없다. 자세한 내용은 최상위기관인 kisa전자서명인증관리센터 참조바람[6] 하드디스크나 USB 메모리, 스마트폰 등등.[7] 농협의 경우 2017년 기준 6개월로 줄어듬[8] 그런데 실제로는 해당 쇼핑몰이 해외배송을 지원하지 않아서 생긴 일이었다.(...)[9] 하지만 2018년 이내로, HTML5 표준화 기술에 근거하여 공인인증서가 구현될 것이기 때문에 이러한 문제는 과도기의 문제로 이해해야 한다. 물론 EXE는 아주 최악의 선택이지만..[10] 이처럼 최신 기술이 중간요인을 빼먹고 구세대 기술을 대체하는 것은 쉽게 볼 수 있다. 대표적으로 중국의 거래 시스템은 핀테크의 상용화로 신용카드 결제 시스템이라는 과정을 거치지 않고 바로 현금을 대체하였다.[11] 사실 이런 문제는 공인인증서 애플리케이션을 제대로 안만들어서 발생하는거다. 안드로이드고 ios고 샌드박스화되어 있는지라 내부저장소 앱 전용 공간에 잘 넣어두면 된다. PC에서 하듯 외부 저장소에 파일을 꺼내놓으니 문제지. 이 때문에 앱간 파일 접근이 원천적으로 차단된 ios가 조금이나마 보안상 나은편이다.[12] 스미싱, 파밍, 메모리 해킹, 메신저 피싱 4가지이다.[13] 보안공학이라는 개념은 보안과는 다르다. Security의 상위개념으로, risk management와 같은 실질적인 위협이 발생한 이후의 대처까지도 고려하는 것이기 때문이다.[14] 사용자는 보안솔루션만 설치하면 되니 문제 없냐고 볼 수도 있지만, 이를 노리고 보안솔루션과 비슷하게 보이는 프로그램을 설치하도록 유도할 수 있다. 사용자가 이 프로그램이 보안솔루션인지 해킹시도인지 파악해야 한다는 점에서 사용자에게 보안을 떠넘기는 것이다. 당장 네이버라도 가서 백신같은거 추천해달라는 글이 얼마나 많은지 찾아보라. 전 국민을 대상으로 찾아보면 보안에 대한 개념이 전무한 사람이 매우 많다.[15] 또한 강제적으로 깔리는 보안솔루션 자체의 신뢰성에도 문제를 제기해볼 수 있다. 이에 대해서는 후술.[16] 한마디로 귀찮고 위험한거 외주 비정규직으로 돌리는 것과 같다고 보면 된다.[17] 결국 이 부분은 대한민국 보안에 대한 정책기조의 문제다. 해킹으로 뚫릴것을 어느정도 예상하고, 사후 보상까지 고려하는 외국과는 달리 우리나라에서는 뚫리지 않는 상황을 가정하고 정책기조를 만들었기 때문이다. 기업이 최선의 노력을 다했어도 보안이 뚫렸다면 이것을 한계점으로 보는 것이다.[18] 보안 프로그램은 그 특성상 운영체제 자체를 건드리게 되는데 두개 이상의 프로그램이 운영체제를 건드릴 경우 불안정성이 높아지기 때문.[19] 실제로 공인인증과 관련된 소프트포럼의 업데이트 서버가 해킹되어 전국적 피해를 본 사건이 있다. 3.20 전산망 마비사태 참고. 수많은 공인인증 솔루션 제공업체들이 얼마나 영세하고 또 스스로 보안에 취약한지를 여실히 드러내주는 사건이다.[20] 물론 과장을 상당히 섞은 것이다. 보안취약점에 관련한 한국인터넷진흥원(KISA)와 금융감독원의 권고안은 자주 내려오며, 그런 사항들에 대한 반영은 빠른 시간안에 이루어진다. 하지만 이 과정 속에서 함께 유지관리를 해주어야 하는 사이트들에 대해서는 인력과 시간, 돈의 부족으로 처리가 늦고 이 사이에 공백이 발생하는 것이다.[21] 이와 같은 변명이 얼마나 많은 해킹사고를 불러일으켰는지 생각해보자. 물론 대부분은 공인인증서나 개인결제 부분이 아니라 사이트 취약점이나 내부공모자의 소행이긴 했지만.[22] 하지만 다른 본인인증수단인 OTP 역시 발급받기 위해서는 만원 가량의 돈을 내야한다.[23] 통신정보 보호 프로토콜을 의미한다. 정식 명칭은 TLS지만 이쪽이 더 많이 쓰이고 있다.[24] 그런데 이걸 선택한 것이 잘못이라고 볼 수는 없다. 당시 액티브X는 당대의 인터넷 표준 취급을 받던 마이크로소프트가 내놓은 최신 시스템이었고 당시 MS의 위상을 고려할 때 앞으로 구축될 인터넷 환경도 액티브X 기반이 될 것이고, MS도 일단 내놓은 시스템을 방치하지는 않겠거니(...)라고 상식적으로 판단했을 터이다.[25] 공인인증서가 처음 나온 것은 2001년이고, 액티브X가 처음 나온 것은 96년이니까 최신이 아니라고 생각했다면 SEED를 잊고 있는 것이다. 한국 내에서 표준형으로 만든 SEED가 98년에 개발되었고, 이게 97년부터 개발을 시작해서 99년에 완성되었다. 때문에 SEED 개발시기에는 액티브X가 최신시스템이 맞다. JAVA 기반은 너무 느려서 대체품으로 부적합했고.[26] 그런데 저조한 이용 원인 중 전자상거래 결제가 안 되는 것을 빼놓을 수 없을 것이다. 이로 인해 이용률이 더 떨어지는 악순환이 계속되었다. 사실상, 이 당시에는 MS의 독점이 거의 확실한 상태라 다른 방식으로 제작하기 보다는 ActiveX로 제작하는 게 가장 시간대비 결과가 좋을 것으로 판단되었다. 다만 이것은 초기 개발자라면 몰라도 이후 업체들과 관리자들의 핑계는 될 수 없다. 끊임없이 변화하는 IT 시장에서 변화를 주지 못한 것이니까.[27] 자발적으로 나온 결정이 아니라 MS가 우린 액티브X 지원 못하니까 알아서 해라라는 식의 발표가 나온 다음에 부랴부랴 나온 결정이었다.[28] 그리고 NPAPI가 하던 기능은 구글이 개선시킨 PPAPI(Pepper Plugin API)에서 구현하게 된다. 따라서, PPAPI를 이용해 코드를 전부 다시 짜야 할 것이다. 참고로 NPAPINetscape Plugin Application Programming Interface의 약자로, 넷스케이프 2.0부터 구현되었기 때문에 ActiveX만큼이나 오래된 기술이다. [29] 2017년 현재 대부분의 사람들이 Windows 7인터넷 익스플로러 9 이상을 쓴다. 다만 아직 Windows XP를 사용하는 곳도 몇 군데 있고, 또한 HTML5 기반으로 짜려면 IE11과의 호환성도 고려해 봐야 한다.[30] 국가사업은 군수 등 일부 분야를 제외하면 최신기술보다는 검증된 고전 기술을 채용한다.[31] 미국의 카드 부정결제율은 전체 결제액의 한 자리 퍼센트에 이른다. 물론 부정 결제를 당해도 카드사가 보상해줄 것이다 - 카드 수수료를 통해 모든 가입자에게 균등하게 전가하는 방식으로. 카드사가 물어준다는 이야기가 카드사 회장 사재를 털어서 보상해준다는 이야기가 아니다[32] 특히 이러한 공인인증서 시스템으로 인해, 계좌 발급도 인터넷으로 자유롭게 가능하다. kb스마트뱅킹이 그 예[33] 이름부터 "공인" 인증이다