인터넷을 이용한 온라인 금융거래가 오프라인을 압도하고 있다. 인터넷 뱅킹 뿐만 아니라 사이버 증권거래·전자어음·민원서류 발급·전자상거래 등이 확산되고, 공인인증서만 있으면 인터넷 주택분양 청약도 가능하다. 공인인증서 대중화 시대에 살고 있는 것이다.
공인인증서 사용은 지난 2000년부터 시작됐다. 정보통신부에 따르면 공인인증서 사용건수는 2000년 2만6000여건이었던 것이 2002년에는 393만4000건으로 늘어났다. 2005년 8월 현재 기준으로 발급된 공인인증서만 1038만건에 이른다.
공인인증서 도용, 재발급 받아 5000만원 빼내기도
지난 2005년 6월 3일 공인인증서 해킹 사고가 발생했다. 공인인증서 관리 프로그램에 취약점이 발생했고, 해커가 온라인 신원확인 과정에 침투해 공인인증서를 도용했다. 원격해킹 프로그램을 PC방에 설치해 개인정보를 빼낸 해커는 5000만원을 인출했다. 지금까지 은행창구 직원 실수로 인증서가 타인에게 발급된 사고는 있었지만 실제 인터넷 뱅킹 과정 중 발급받은 인증서 도용은 처음이었다.
경찰조사에 따르면 범인은 인터넷 뱅킹 시스템을 해킹, 공인인증서 비밀번호와 인적사항을 알아내고 피해자 인증서를 폐기했다. 그 뒤 자신의 컴퓨터에서 인증서를 재발급 받아 범행을 저지른 것이다. 인증 시스템 자체가 뚫린 것은 아니지만 공인인증서 관리와 재발급 과정 안전성이 도마위에 올랐다.
인증서 PC 저장 막아라! 거래 흔적 남지 않는 USB 토큰 주목
이 같은 불안 속에서도 ‘온라인 신분증’, ‘온라인 인감’으로 불리는 공인인증서 사용은 점차 늘어나고 있다. 지난 1일부터 인터넷 쇼핑몰에서 30만원 이상 결제하는 고객은 반드시 공인인증서를 사용해야 한다. 시중 11개 카드사가 온라인 금융사고에 의한 피해를 막고 사고 예방과 안전 강화를 위해 공인인증서 의무사용을 결정했기 때문이다.
다음달부터는 통장 잔액확인도 공인인증서가 필요하다. 금융감독원은 현재 은행 홈페이지에서 계좌번호와 비밀번호만 입력해 잔액확인이 가능한 ‘빠른조회 서비스’를 내달부터 완전폐지하기로 결정했다.
이성옥 정통부 정보화기획실장은 공인인증서 안전성 확보에 대해 “디스켓이나 USB 등 이동형 저장매체를 통해 공인인증서를 보관해도 해킹에 대한 피해사례나 위험률을 낮출 수 있다”고 지적했다.
정부가 추진하고 있는 것은 ‘IC카드’와 ‘USB 토큰’ 활용이다. 특히 USB 토큰은 공인인증서를 이동형 저장매체에 복사해 사용하는 것과 달리 이동형 매체를 통해서만 공인인증서를 보관할 수 있도록 하는 방식이다. 암호체계 자체가 복사·이동이 불가능한 전자서명 프로세스로 어느 컴퓨터에서 이용하더라도 거래 흔적이 남지 않는다. 이송원 금융결제원 인증기획팀 과장은 “USB 토큰은 결제단계에서 전자서명을 통한 신원확인만 해 주는 것으로 해킹이나 피싱에 의한 정보유출을 막을 수 있다”고 설명했다.
휴대폰 인증서비스, IC 카드 활용, 와이브로 단말기 선보여
은행들 역시 공인인증서 불안요소를 막기 위한 새로운 방식 도입에 적극적이다.
신한은행과 기업은행은 ‘휴대폰인증서 서비스’를 실시하고 있다. 휴대폰 인증은 인터넷 뱅킹에서 사용되는 공인인증서를 휴대폰에 저장하고, 본인 인증서가 없는 PC에서 인증서를 불러와 금융거래를 하는 방식이다.
휴대폰 인증방식은 이동통신업체가 인증번호를 부여하고 이 인증번호를 사용하는 것으로 인터넷 뱅킹 종료시 PC 인증내용을 자동삭제 해 인증서 유출이 불가능하다. 휴대폰 인증방식은 휴대폰 로밍 가능지역이면 사용가능 해 해외여행이나 출장시 안전하게 인터넷 뱅킹을 할 수 있는 수단이다.
조흥은행은 공인인증서를 IC 신용카드에 포함시키고 있다. 조흥은행은 IC카드가 확산되면 공인인증서를 집안이나 사무실 PC에 저장하는 일이 줄어들 것으로 전망했다. 이밖에도 KT는 공인인증서·전자지불·인터넷 뱅킹 등 전자거래를 할 수 있는 ‘와이브로 단말기’를 내년 9월 출시 예정이다. 스마트 카드형 와이브로 단말기는 탈착이 가능해 PDA·노트북 PC에 장착만 하면 와이브로 서비스와 공인인증서 기능을 이용할 수 있다.
공인인증서 암호체계 2048비트로 끌어올리는 중
정부는 현 공인인증서 보다 정교한 차세대 공인인증서 개발을 추진하고 있다. 현재 사용하고 있는 공인인증서는 1024비트로 구성된 암호체계를 가지고 있다. 한국정보보호진흥원은 12월부터 내년 말까지 공인인증서 암호체계를 2048비트급으로 끌어올릴 방침이다.
공인인증서는 ‘공개키 암호 알고리즘 RSA’로 만들어 진다. 현재 사용하는 1024비트 암호는 308자리 수 소인수분해 방식으로 암호를 확인하는 반면 2048비트 암호는 618자리 소인수분해가 사용된다. 현재의 기술로 200자리 이상 합성수에 대한 소인수분해는 거의 불가능하지만 1024비트 암호가 오는 2010년 정도면 해킹 당할 수 있다고 예상되기 때문이다. 한국정보보호진흥원은 이미 2048비트 암호화 알고리즘 심사를 마쳤다.
정통부는 지난 9월 금융감독원ᆞ산자부ᆞ한국정보보호진흥원과 공동으로 ‘전자거래 안전성 강화 종합대책’을 발표했고, 관계부처 공동 TF를 구성해 협조체계를 구축하고 있다.
