부인방지기능 부족한 '공인인증서', 대안은 '보안토큰'

입력 : 2014-04-27 오후 3:07:44
[뉴스토마토 류석기자] 공인인증서 폐지 논란 속에 정부와 사용자들 사이의 '용어 불일치' 문제가 한계로 부상했다.
 
공인인증서는 30만원 이상의 인터넷 상거래에서 쓰이며, 대부분 ‘액티브엑스’라는 마이크로소프트사에서 만든 플러그인으로 구동된다. 한 통계에 따르면 공인인증서는 우리나라 국민 3000만명 이상이 사용하고 있는 것으로 나타났다.
 
◇공인인증서가 구동되고 있는 모습(사진=홈페이지 캡쳐)
 
지난 25일 ‘정보통신망 정보보호컨퍼런스’의 ‘공인인증서 그 대안은 무엇인가’라는 주제로 열린 패널토론에서 김승주 고려대 교수는 현재 공인인증서가 갖고 있는 문제점과 대안에 대해 얘기했다.
 
김 교수는 “현재 벌어지고 있는 공인인증서 논란에 대해 인증서에 찬성하는 사람과 반대하는 사람 사이에서 사용하는 용어의 불일치 때문에 결론이 나지 않고 있는 상황”이라고 설명했다.
 
공인인증서 폐지에 대해 찬성하는 사람들은 단순히 추가 플러그인 설치 없는 공인인증서를 사용할 수 있게 해 달라는 것이지만 정부에서는 ‘전자서명법’ 상의 내용을 충족한 공인인증서의 대안을 찾으려는 것이다 보니 서로 오해가 발생했다는 것이다.
 
공인인증서는 인터넷 상거래에서 상대방의 ▲신원확인과 전자문서가 위·변조되지 않았음을 보장하는 무결성 ▲데이터 암호화를 통한 전자문서 데이터가 외부에 누출되지 않았음을 보장하는 기밀성 ▲거래내역 부인방지 기능으로 구성돼 있다. 이는 인터넷 상거래에서 사용자와의 분쟁 발생시 해당 사용자의 책임을 입증하는 용도로 활용된다.
 
김 교수는 “전자서명법상에서 공인인증서를 볼 때 가장 중요한 기능은 ‘부인방지기능’”이라며 “현재의 공인인증서는 해킹 등의 공격으로 공인인증서의 키 값을 탈취하는 사례가 많아 부인방지 기능을 충족시키지 못하고 있다”고 지적했다.
 
또 그는 “정부가 초기에 많은 사람들에게 빠르게 공인인증서를 보급하려다 보니 성급한 면이 있었다”며 “그러다 보니 소프트웨어 기반의 방식을 선택할 수밖에 없었고, 결과적으로 공인인증서의 안전성을 떨어뜨리는 결과를 초래했다”고 말했다.
 
김 교수는 이러한 문제점을 가진 공인인증서의 대안으로 스위스 UBS은행에서 사용하고 있는 ‘보안토큰’을 들었다. 보안토큰은 공인인증서가 무단 유출되지 않도록 안전하게 보관하는 하드웨어 장치로, 기기 내부에 프로세서와 암호 연산 장치가 들어있다.
 
김 교수는 “보안토큰을 이용한 공인인증서 기반 전자인증 방식이 여러 인증 수단 중 가장 안전한 것으로 나타났다”며 “스위스 은행 UBS의 경우 계좌 이체시 사용자들로 하여금 보안토큰을 이용한 인증서를 이용케 함으로써 최신 해킹에 대응하고 있다”고 설명했다.
 
한국정보보호학회(KIISC) 주관으로 열린 이날 토론회에는 진승헌 한국전자통신연구원(ETRI) 박사, 이정현 개인정보 분쟁조정위원회 사무국장, 이동산 페이게이트 이사 등이 참여해 열띤 토론을 벌였다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지
류석 기자
류석기자의 다른 뉴스