공인인증서 발급 더 어려워진다고?… 폐지론 ‘고개’

가뜩이나 어려운 공인인증서 발급 절차가 더 까다로워진다는 소식에 ‘공인인증서 폐지론’이 다시 고개를 들고 있다.

미래창조과학부는 지난 23일 해킹으로 인한 공인인증서 재발급을 방지하려는 목적으로 인증서 재발급 시 신원확인을 대폭 강화하는 내용을 담은 ‘전자서명법 시행규칙 일부개정령안’을 입법예고 했다.

이에 전문가들은 공인인증서 보안을 강화 대신, 이를 대체 및 공존할 수 있는 다양한 인증 기법을 도입해야 한다고 지적하고 나섰다. 공인인증서는 발급과 사용이 대단히 복잡함에도 불구하고 해킹에 취약하기 때문이다.

사실 공인인증서 그 자체는 보안성이 가장 높은 인증수단으로 꼽힌다. 그럼에도 공인인증서가 해킹에 취약한 원인으로 ‘엑티브X’가 지목된다. 엑티브X는 국내시장 점유율 약 80%을 차지하는 MS의 ‘인터넷 익스플로러(IE)’에서 특정 프로그램을 구동하기 위해 부가적으로 설치해야 하는 플러그인을 지칭한다.

문제는 엑티브엑스에 지나치게 익숙해진 사람들이 악성코드가 심어진 엑티브X도 별다른 의심 없이 설치한다는 점이다. 즉 그 자체로는 높은 보안성을 가지는 공인인증서가 무분별한 엑티브X 사용으로 인해 사용법은 복잡하고, 해킹에는 취약한 애물단지로 전락해 버린 것.

이에 한국벤처협회 이민화 명예회장은 다양한 인증수단을 전자결제에 도입하는 게 정답이라고 지적했다. 그는 “MS 조차도 보안프로그램을 설치할 때 엑티브X를 통하는 것을 권장하지 않고 있다”며 “엑티브X 사용을 줄이기 위해 엑티브X를 이용하지 않고도 쓸 수 있는 다양한 인증수단을 마련해야 한다”고 강조했다.

이 회장은 대안으로 ‘SSL(암호화통신)+OPT(일회용비밀번호생성기)’ 방식이나, 사이트에 카드정보를 한 번만 등록하면 아이디와 비밀번호만으로 결제를 할 수 있는 ‘페이게이트’의 구축을 내세웠다.

그러나 이것만으로는 부족하다는 의견도 있다. 미국, 유럽 등지에 있는 많은 대기업들이 페이게이트 및 SSL+OPT 방식을 사용하고 있지만 이들 역시 해킹으로 골치를 앓고 있어서다. 대신 이들 국가들은 해킹 발생 시 기업이 문 닫을 수준의 강한 제재안과 함께 이른 바 ‘해킹보험’을 통한 보상 수단이 마련돼 있다.

고려대학교 정보보호대학원 임종인 교수는 “공인인증서 재발급 기준 강화 법안은 고육지책”이라고 지적하고 “한국전자통신연구원(ETRI)등을 통해 정부 주도로 공인인증서·SSL+OPT·페이게이트 등의 방식보다 안전하고 편리한 기술을 개발해야한다”고 충고했다.

또 “해킹보험 제도를 도입해 사고 발생시 신속히 대응할 수 있도록 하고, 사고가 일어난 업체를 강력하게 제재할 수 있는 법안도 조속히 마련해야 한다”고 강조했다.