상세 컨텐츠

본문 제목

공인인증서 유출 급증, 스마트폰 유심보관이 해결책

스티븐 디지털伺

by 하승범 위드아띠 2015. 9. 1. 07:09

본문

공인인증서 유출이 연간 4만건 이상 발생하는 심각한 상황이라는 통계이다. 2011년 단 한겅의 공인인증서도 유출되지 않던 것이 그 이후 2015년 상반기까지 7만여건의 공인인증서가 해킹되었다고 한다.


이렇게 공인인증서 유출이 증가한 원인으로 2010년 이후 스마트폰 도입이 활성화되면서 스미싱, 파밍 등 신종 해킹수법이 범람했기 때문이라고 추정하고 있다이에 따라 공인인증서 중심 개인정보보호 및 확인시스템은 전면 재검토해야 한다는 의견이다. 즉 '보안에 취약하고 글로벌 스탠다드에 맞지 않는 공인인증서 제도와 관련 프로그램 자체를 전면 재검토하라'는 주장이다.


In My Opinion  금융위원회는 지난 3월 18일 '전자금융거래시 공인인증서 사용의무폐지'등을 내용으로 하는 "전자금융감독규정"개정안을 의결했다 (전자금융감독규정 제37조(공인인증서 사용기준) ①~③항 개정) 즉, 전자금융거래시 '공인인증서 또는 이와 동등한 수준의 안전성이 인정되는 인증방법'을 사용할 의무가 폐지되어 "다양한 전자금융거래 인증수단을 활용"할 수 있는 근거가 마련된 것이다.


그동안 금융기관들이 공인인증서 의무사용규정을 근거로 인증보안과 관련된 변화 노력이 미흡했던 것이 사실이다. 금융기관들이 공인인증서만 올바로 사용하도록 조치하면 금융사고가 발생해도 면책을 받을 수 있어 스스로 자체적인 보안 서비스를 개선할 필요성이 없었다. 그러나 '전자금융감독규정' 개정에 따라 상황이 변했다. 


문제는 그럼에도 불구하고 공인인증서를 대체할 만한 인증수단이 없다는 것이다. 금융기관의 입장에서도 자체적인 책임을 갖게되는 것도 부담이다, 이에 따라 정부와 금융기관은 그동안 문제가 되었던 액티브X를 사용하지 않는 공인인증서 환경구축에 노력하고 있다. 


핀테크 시대에 간편하게 본인 인증을 할 수 있고 보안 수준이 강화된 소비자 중심의 다양한 인증 수단이 필요하다. 글로벌 경쟁환경에 맞는 보안성과 편리성을 갖춘 금융서비스가 개발되어야 한다. 하지만 현실적으로 전자금융거래에서 공인인증서의 독점시대는 끝났지만 그 시대는 당분간 이어질 수 밖에 없다. 


그러나 사실 공인인증서 만큼 안전한 보안시스템은 없다. 지금까지 금융기관 전산망을 해킹되어 공인인증서가 유출된 사례는 단 한건도 없다. 이렇게 높은 수준의 암호화 기술을 갖춘 공인인증서는 카메룬, 케냐, 이란, 베트남, 몽골, 필리핀 등으로 수출되었다.  이러한 공인인증서의 유출이 늘어난 배경에는 '개인의 관리소홀'이 지적된다

공인인증서를 보관하는 개인들은 대부분 컴퓨터 하드디스크나 USB 그리고 휴대전화 등에 저장, 관리한다. 안전한 보안토큰 등에 저장 보관하는 경우는 불과 1.4%이다 (한국인터넷진흥원 '2013년 대국민 전자서명 이용실태조사') 

이러한 수준의 보안의식이라면 '금융기관이 자체적인 책임하에 별도의 보안시스템을 구축 운영하는 것'에 대해 불안할 수 밖에 없다. 결국 사설 인증시스템에 대한 문제가 불거지면 그 책임은 금융기관의 몫이기 때문이다.  

따라서 최근 정부와 금융기관은 공인인증서를 카드 IC칩이나 스마트폰 유심(USIM)으로 보관 관리하는 방안을 모색하고 있다. 공인인증서의 악성코드 감염 및 분실 시 정보 유출 위험을 줄이기 위해 보안강화와 고객 편의성을 높이기 위한 조치이다.  금융기관이 보다 다양한 인증수단을 채용하더라도 이러한 방식은 유용할 수 있다. <(주)수미온의 스마트USIM인증에 대한 자세한 정보를 살펴보세요 >() 2015-08-31 


관련글 더보기

댓글 영역