[생생인터뷰]
■ 방송 : YTN 라디오 FM 94.5 (15:10~16:00)
■ 진행 : 김우성 PD
■ 대담 : 김승주 고려대학교 정보보호대학원 교수
◇ 김우성 PD(이하 김우성)> 큰돈을 이체할 때도, 수시로 월급 통장의 잔고를 정리하거나 누군가에게 돈을 보낼 때도 아직까지 공인인증서가 없으면 안 되는 분들이 많습니다. 은행 역시 모바일 비대면 거래에 비중을 두고 체질을 바꾸고 있죠. 그런데 공인인증서는 과연 안전할까요? 전자금융상에서 나를 인증하는 인증의 방식도 다양해지고 있습니다. 공인인증서 의무 사용 규제가 폐지되고 1년이 지났습니다. 이제는 홍채 인식, 정맥 인식 등 다양하게 개인을 인증하는 방식이 등장했습니다. 이 또한 안전할지 걱정입니다. 공인인증의 방향, 어디로 향하고 있을까요? 정보 유출이 일어나고 있는 위험한 시대인데요. 이와 관련해 전문가와 함께 진단해 보겠습니다. 김승주 고려대학교 정보보호대학원 교수 연결하겠습니다. 안녕하세요?
◆ 김승주 고려대학교 정보보호대학원 교수(이하 김승주)> 네, 안녕하세요.
◇ 김우성> 최근에 유출 사태도 있고 개인에 대한 정보 보안에 대한 걱정이 많은데요. 공인인증서 다양하게 사용하고 있거든요. 일종의 열쇠처럼 인식하고 사용하는데 이 공인인증서에 대해서 저희가 어떻게 이해하면 될까요?
◆ 김승주> 우리가 ITU-T 국제표준기술 중에 PKI라는 기술이 있습니다. Public Key Infrastructure의 약자인데요. 이 PKI의 기술은 컴퓨터상에서 도장이나 서명을 할 수 있게 해주는 기술을 의미합니다. 그런데 우리가 보통 도장을 찍거나 서명을 하려면 인감증명서가 필요하지 않습니까? 이 컴퓨터나 인터넷상 인감증명서, 즉 전자적으로 도장이나 서명을 할 때 필요한 전자적 형태 인감증명서를 우리가 인증서라고 합니다. 그런데 인감증명서인 인증서를 공공기관이 발행하면 공인인증서라 하고요. 일반 사설 기관이 발행하면 사설인증서라고 합니다.
◇ 김우성> 과거에도 인감도장 함부로 내주는 것이 아니라고 말할 정도로 중요한 의미를 가지고 있는데요. 지금 2015년 모바일 금융서비스 이용 행태 조사 결과가 1월 한국은행에서 발표했는데요. 모바일 뱅킹을 이용하는 분이 절반입니다. 사용하는 절반의 대부분이 아직은 조금 불안하다, 보안이 안전하지 않은 것 같다, 공인인증서도 못 믿겠다는 얘기가 나오고 있습니다. 공인인증서 역시 안전하지 못한 환경에 있다고 이해해도 될까요?
◆ 김승주> 우리가 보통 인감도장 관리 잘해라, 인감증명서 함부로 돌리지 말라는 얘기 하지 않습니까, 이것은 우리가 컴퓨터나 인터넷상에서 사용할 때도 마찬가지입니다. 전자적 형태 인감증명서인 인증서도 관리를 잘해야 하고요. 전자적 형태인 도장도 관리를 잘해야 합니다. 우리가 잘 보면 우리가 공인인증서를 쓸 때 컴퓨터 하드 디스크나 USB에 저장하지 않습니까. 그것이 그다지 안전하게 보관하는 형태는 아닙니다. 요새는 해킹 기술이 워낙 발달해서 하드디스크, USB에 있는 정보는 너무나 쉽게 해커가 가져갈 수 있거든요. 그러다보니 요새 인증서, 인감증명서 유출 사고가 많이 발생하고 있는 것 같습니다.
◇ 김우성> 해커들의 기술은 지금 방어하는 기술보다 늘 한 걸음 더 앞서나가고, 뒤따라가면서 방어하는 방식인데요. 그런 위험성이 상존하고 있다는 말씀 해주셨는데요. 이렇게 불안한 마음이 많으신데 정부는 이런 반응을 잠재우고 새로운 것들, 핀테크를 활성화하기 위해서라도 생체인식과 같은 인증수단을 개발한다는 얘기가 나오고 실제로 지금 여러 서비스들이 나오고 있거든요. 생체인식을 내 신체의 고유한 정보를 통해 인증받는 건데요. 이건 더 안전하지 않냐고 보는 사람도 있고 이것도 안전한 것 아닌 것 같다고 하는 사람도 있고요. 어떻게 보아야 할까요?
◆ 김승주> 생체인식 기술이 요즘 많이 얘기가 나오고 있죠. 사실 그 이전에는 비밀번호를 많이 썼습니다. 우리가 공인인증서 할 때도 비밀번호 입력하라고 얘기가 나오지 않습니까. 그런데 이론적으로 말씀드리면 비밀번호를 사용하는 것이 어떤 생체인식기술을 사용하는 것보다 안전합니다. 그런데 여기에는 전제조건이 있습니다. 비밀번호를 충분히 복잡하게 설정해야 합니다. 많은 사람들이 비밀번호를 복잡하게 설정하지 않거든요.
◇ 김우성> 공인인증서 비밀번호랑 포털사이트 이용 비밀번호가 같은 분들도 많다고 나오더라고요.
◆ 김승주> 그렇죠. 비밀번호가 1234, 이런 비밀번호를 쓰는 경우도 많죠. 그러다 보니 비밀번호가 제대로만 사용하면 안전하지만 실제로는 안 그렇다는 말이죠. 그래서 생체인식기술을 많이 사용하도록 유도하는 경우가 많습니다. 그런데 외국 정보기관에서도 많이 얘기하는 것은 생체인식기술만 쓰는 것은 아직까지 불안하기에 생체인식기술과 비밀번호를 같이 써라. 즉, 다른 보안기술과 생체인식기술을 같이 쓰라는 식으로 많이 권고합니다.
◇ 김우성> 결국, 생체인식만으로는 더 진일보한 보안, 안전한 보안 체계가 성립했다고 하기는 어렵고 기존 비밀번호, 체계적이고 복잡한 비밀번호나 이런 것이 필요하다는 말씀이신데요. 영화를 보면 사실 눈에 홍채를 인식하거나 개인의 핏줄 모양을 인식하는 것이 굉장히 앞서간 기술로 보여서 그런 것 같기도 하거든요. 이 자체도 유출되거나 복제될 위험은 없을까요?
◆ 김승주> 영화에서 보면 지문을 복제해서 그 사람 흉내를 내거나 홍채를 떠서 그 사람 흉내를 내는 장면이 많이 있습니다. 이것들이 충분히 가능합니다. 이것을 막으려면 어떤 지문인식, 홍채인식센서가 굉장히 좋아야 합니다. 좋은 센서를 쓰려면 비용이 올라갑니다. 휴대폰 제조 단가가 올라가거든요. 그러면 좋은 센서 기술이 있어도 현실적으로는 그것을 모든 곳에 활용하는 것은 불가능합니다. 그러다 보니 아직까지 위조 지문, 홍채를 이용해서 인증 기술을 우회하는 경우가 많고요. 실제 유튜브 동영상을 보면 휴대폰상에 있는 지문인식 기술을 우회하는 동영상은 쉽게 찾아볼 수 있습니다.
◇ 김우성> 결국 뚫으려는 사람은 수단과 방법을 가리지 않고 뚫으려고 하기에 막는 것에 있어서 왕도는 없습니다. 설명해주신 것 같은데요. 얼마나 뛰어난 보안기술, 얼마나 뛰어난 방패가 있느냐의 문제보다는 지난번 인터파크 해킹 때 지적해주신 것처럼 결국 관리의 문제인 것 같거든요. 공인인증서도 마찬가지고요. 이것조차 복제되고 뚫리는 것은 결국 관리의 부분이 큰데 그러한 시각으로 봐야 하지 않을까요?
◆ 김승주> 일단 공인인증서라는 것은 전자적인 형태의 정부가 발행한 인감증명서라고 말씀드렸습니다. 그렇기에 인감증명서, 공인인증서를 잘 보관하는 일은 중요합니다. 그런데 실제로 공인인증서 사고가 나는 많은 사례를 보면 이런 관리가 잘못되어서 사고가 나는 경우가 많습니다. 공인인증서 경우도 보관을 안전하게 하셔야하고, 공인인증서 비밀번호도 안전하게 잘 관리할 필요가 있습니다.
◇ 김우성> 공인인증서를 쓰는 것이 많이 번거로워서 아마 좀 더 간편하게 하려고 생체기술이 각광받고 있는 것으로 알고 있는데요. 그런데 간단함의 문제가 아니라 안전함의 문제가 해결되지 않으면 이것도 소용이 없는 부분이겠네요.
◆ 김승주> 그렇죠. 실제로 보시면 공인인증서라는 것이 PKI라는 국제표준기술을 사용하고 있다고 말씀드렸지 않습니까. 그런데 우리가 많이 알고 있는 애플 페이도 PKI라는 기술을 사용합니다. 그런데 잘 보시면 우리가 애플 페이를 사용할 때는 불편하다는 얘기가 안 나오거든요.
◇ 김우성> 좀 더 간소화되었다는 느낌도 있고요.
◆ 김승주> 그렇죠. 그런데 공인인증서 쓸 때만 불편하다는 얘기가 나옵니다. 왜냐면 우리나라 전자금융감독규정이 있었습니다. 전자금융감독규정에서 금융거래에는 반드시 공인인증서를 쓰라는 것으로 못을 박아놨습니다. 그러다 보니 업체들이 어차피 사용자들이 써야 할 것인데 편리하게 사용할 수 있는 부분을 연구하려는 노력은 게을리했습니다. 그래서 편리성이 굉장히 떨어지는 것이죠. 그래서 다른 애플 페이나 이런 것 보다는 공인인증서가 굉장히 쓰기 불편한 형태로 되어있고요. 이런 부분들은 조금 개정이 되어야 할 것 같습니다.
◇ 김우성> 기술 발전에 따른 편의성은 외면할 수 없는 부분은 사실인 것 같습니다. 그런데 지금 관련된 인터뷰를 준비하면서 주변에서 많은 얘기를 합니다. 내가 내 집 열고 들어가는데 자물쇠 풀고, 비밀번호 누르고, 지문 인식하고 너무 복잡해졌다. 이렇게까지 복잡해져서 오히려 도둑이 들면 집주인에게 다 책임을 묻는 것 아니냐, 이렇게까지 자물쇠가 많았는데 당신은 털릴 때까지 뭐했냐, 이런 얘기도 나올 수 있다. 즉 소비자에게 피해를 전가하는 경우가 더 많아지지 않은지 이런 걱정도 많거든요.
◆ 김승주> 이게 지금 미국과 우리나라를 비교했을 때 가장 많은 차이가 나는 부분은 그 부분입니다. 우리나라 전자금융거래법 9조 2항과 3항을 보면, 이용자 중대 과실이라는 부분이 있습니다. 이것은 사용자가 여러 가지 보안 수단을 금융 거래에 있어서 사용자가 반드시 지켜야 할 그런 의무 조항을 기술해 놓은 것입니다. 사용자가 반드시 설치해야 할 프로그램이나 아니면 안전하게 관리해야 할 부분들을 제대로 하지 않으면 손해배상을 면책해주는 겁니다.
◇ 김우성> 그러면 기업체는 전혀 책임이 없고 쓰는 사용자가 책임을 지는.
◆ 김승주> 그렇죠. 그래서 보통 이런 내용들이 약관에 들어가 있거든요. 약관에 키보드 보안 프로그램 설치하고, 인증서 사용하고, 여러 가지 하고, 보안 카드 번호 35개를 함부로 입력하지 말라는 등 이런 내용들이 들어가 있습니다. 그러다 보니 이런 것들을 하면 이용자 중대 과실에 포함되어 손해배상을 사용자가 받을 수 없습니다.
◇ 김우성> 범죄 집단으로부터 해킹을 당해 피해를 당해도 이런 사례에 포함되면 전혀 보상을 받지 못하는 것이죠.
◆ 김승주> 문제는 IOT 시대가 오면서 해킹 기술이 워낙 발달해서 사용자가 이것이 해킹이라고 인지하는 것이 매우 어려워졌습니다. 미국은 제로 라이어빌리티 프로텍션(Zero-Liability Protection) 조항이 있습니다. 이것은 사용자가 의도적으로 자기 비밀번호를 알려주거나 의도적으로 해를 끼치려고 한 것이 아니라면, 무조건 사용자를 보호해줘야 한다는 겁니다.
◇ 김우성> 소비자 우선이군요.
◆ 김승주> 그렇죠. 해킹에 의한 사고이든, 무엇이든 사용자 고의만 아니라면 사용자가 최대한 책임을 지는 것은 50달러까지만 책임을 지도록 합니다.
◇ 김우성> 5만 원 넘게 밖에 책임을 안 지는 거네요.
◆ 김승주> 우리나라도 전자금융거래법 9조에 있는 이용자 중대 과실 항목을 어떤 이용자는 약자니까 이용자를 보다 더 보호해주는 형태로 바뀔 필요가 있습니다.
◇ 김우성> 정말 기준이 다른데요. 최근에는 개인정보를 통해 위조신분증을 발행해 핸드폰을 만들어 핸드폰으로 문자까지 낚아채서 사기당하는 줄 모르는 경우도 있었거든요. 궁금한 부분이 이렇게 보안체계가 많아지면 앞서 말씀하신 사용자 중대 과실 부분이 더 강화되는 것 아니냐는 걱정 때문이거든요.
◆ 김승주> 보안 프로그램 여러 개를 설치하도록 약관에 강제시킬 수 있거든요. 그럼 사용자는 더 불편해지죠. 그래서 전자금융거래법 9조가 빨리 바뀌어야 하고요. 사실 지금 공인인증서의 의무사용 규제가 풀렸다고 하지만 사실 그것보다 전자금융거래법의 이용자 중대과실 조항을 빨리 개선할 필요가 있습니다.
◇ 김우성> 그렇게 기업체가 부담을 느낀다면 기업 수준에서 더 뛰어난 보안관리책을 스스로 노력해야 할 것 같다는 생각이 듭니다. IOT 시대까지 열렸습니다. 보안 인증, 이제 계속 발전해 나갈 텐데요. 어떤 방향에 주안점을 두고 보안을 설정해야 할까요?
◆ 김승주> 지금 외국에서는 보안 프로그램 보안 소프트웨어를 얘기할 때 반드시 사용편리성을 얘기합니다. 즉 보안 프로그램이 아무리 뛰어나도 그것이 불편해서 사용자가 안 쓴다면, 혹은 잘 못쓰게 된다면 아무 의미가 없다는 말입니다. 그래서 사용편리성을 아주 극대화시키는 방향으로 기업들이 많은 연구를 하고 있고요. 우리도 IOT 시대에 이렇게 보안 프로그램이 아무리 많더라도 사용자가 인지하지 못하고, 자연스럽게 쓸 수 있는 그런 환경으로 바뀌어야 할 것 같습니다.
◇ 김우성> 결국 사용자를 중심에 두면 더 안전할 수 있다는 생각인 것 같습니다. 오늘 말씀 감사합니다.
◆ 김승주> 네, 감사합니다.
◇ 김우성> 지금까지 김승주 고려대학교 정보보호대학원 교수이었습니다.
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]