[CBS 시사자키 제작진] ■ 방 송 : FM 98.1 (18:00~20:00)
■ 방송일 : 2013년 4월 12일 (금) 오후 7시
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 김기창 고려대 법학전문대학원 교수
◇ 정관용> 인터넷뱅킹이나 인터넷쇼핑 하게 되면 공인인증서 발급 받아야 되고 또
보안 프로그램도 매번 이것저것 깔고요. 그리고 본인인증 절차 거치고 이렇게 했었
죠. 좀 번거롭긴 하지만 이게 철저한 보안을 위해서 필요한 건가보다. 우리는 그렇게
알고 있었는데요. 그런데 우리나라의 인터넷 공인인증시스템이 번거로울 뿐만 아니
라 보안상 더 위험하다라는 주장이 나오고 있습니다. 공인인증제도 철폐를 위해 금
융위원회에 감사청구운동까지 벌이고 계신 분이 있어요. 고려대학교 법학전문대학
원 김기창 교수 연결합니다. 김 교수님 안녕하세요?
◆ 김기창> 안녕하세요?
◇ 정관용> 이게 좀 전문적인 얘기들이 나올 것 같아서 제발 좀 쉽게 설명해 주십시
오. 미리 부탁드리고요.
◆ 김기창> (웃음) 네.
◇ 정관용> 우리나라의 현재 공인인증방식이 어떤 방식입니까? 좀 설명해 주세요.
◆ 김기창> 간단히 말씀드리면 유저들에게 파일을 나눠주는 겁니다.
◇ 정관용> 파일?
◆ 김기창> 네. 파일을 나눠주고 그 파일을 NPKI라는 이름의 폴더 안에 이렇게 저장
하는 그런 방식으로 운영되는 게 우리나라 공인인증제도입니다.
◇ 정관용> 이렇게 설명 들어도 모르겠는데요.
◆ 김기창> (웃음) 간단해요.
◇ 정관용> 저도 인터넷뱅킹 할 때 보면 금융기관에 공인인증서 발급 신청해서 본인
인증절차를 밟고 그다음에 공인인증서를 발급받아서. 유효기간이 또 있지 않습니
까?
◆ 김기창> 그렇죠. 1년 정도.
◇ 정관용> 그리고 이건 하드디스크에 저장하는 것보다 USB에 갖고 다니는 게 더
낫다.
◆ 김기창> 그게 흔히 자꾸 그렇게 말씀들이 도는데. 실은 USB에 저장하나 하드디
스크에 저장하나 공격자 입장에서는 큰 차이는 없어요. 왜냐하면 공격자가 유저 컴
퓨터를 이렇게 장악하고 악성코드를 심어둔다면 당장의 하드디스크에 NPKI폴더가
없더라도 즉시로 철수할 이유는 없거든요. 관심을 두고 있으면 유저가 USB를 꽂으
면 하는 게 즉시로 파악이 되거든요. 그러면 그때 그냥 복사해 가면 되니까. 어느 쪽
이나 복제는 아주 쉽게 된다. 이게 공인인증서라는 게 암호를 입력하고 이럴 필요 없
이 copy paste만 하면 NPKI 폴더 그리고 그 안에 든 나의 공인인증서 이게 통째
로 다 복제가 되는 겁니다.
◇ 정관용> 그런데 그 공인인증서를 발급받았지만 거기 자기 개인 암호를 넣어야 이
게 들어갈 수 있잖아요?
◆ 김기창> 그렇죠. 그래서 인증서 암호가 유출되면 모든 게 다 유출된다. 파일 자체
는 아주 유출이 쉬우니까 그 안에 개인키라는 파일이 있는데 그 파일이 바로 암호로
보호되고 있는 것입니다. 그런데 암호라는 게 문제는 유저들이 자기가 사용하는 다
른 여러 계정의 암호하고 공인인증서 암호하고.
◇ 정관용> 비슷한 경우도 많고.
◆ 김기창> 같게 정해두거나 비슷하게 정해두는 경우가 대부분입니다. 그래서 유저
들이 다른 계정에서 입력하는 암호 그것도 아주 쉽게 유출이 됩니다.
◇ 정관용> 그래요?
◆ 김기창> 금융기관에서는 그거 유출을 막아보려고 키보드 보안 플러그인 이런 거
막 설치하게 하는데. 금융기관에 접속 안 하고 다른 사이트에서 자기 메일 체크하거
나 이럴 때 암호 타자 치잖아요. 그러면 그건 쉽게 빠져나가거든요. 그러니까 암호도
막기 어렵고 파일 빠져나가는 것도 막기 어렵고. 그런 상황입니다.
◇ 정관용> 공격자, 공격을 마음먹은 사람들 입장에서는 공인인증시스템이라는 것
자체가 공인인증서 빼가기도 쉽고 암호 캐치할 방법도 있고.
◆ 김기창> 그렇죠.
◇ 정관용> 그러다 보면 인터넷뱅킹하는 사람은 자기 재산 다 날릴 수 있겠네요.
◆ 김기창> 또 한 가지 아주 큰 허점이 있습니다.
◇ 정관용> 뭡니까?
◆ 김기창> 재발급을 아주 쉽게 받을 수 있습니다.
◇ 정관용> 맞아요. 쉽더라고요.
◆ 김기창> 계좌번호 알고 계좌비밀번호 알고 몇 가지만 알면 공격자도 그냥 유저
행세를 하면서 재발급을 또 받을 수 있고. 이렇게 크게 세 가지 허점이 있는 겁니다.
◇ 정관용> 다른 나라는 이렇게 안 해요?
◆ 김기창> 안 하죠.
◇ 정관용> 어떻게 합니까? 다른 나라는?
◆ 김기창> 다른 나라, 아마존도 있고 이베이도 있고 아이튠즈도 있고 구글 플레이
도 있고. 전 세계적으로 온라인 거래는 엄청나게 활발하게 이루어지고 있습니다.
◇ 정관용> 네.
◆ 김기창> 한국만 온라인쇼핑 온라인뱅킹하는 게 아니고.
◇ 정관용> 물론이죠.
◆ 김기창> 이게 엄청난 규모로 벌어지고 있는데. 한국 같은 방식을 채용하지는 않
고요. 첫 번째로 유저 입장에서는 아주 간편하고 그다음에 유저가 어떤 프로그램도
자기 컴퓨터에 추가로 설치 안 하고 거래하는 그런 방식을 취하고 있고요.
◇ 정관용> 그럼 어떻게 보안을 지켜요?
◆ 김기창> 네. 보안은 결국은 백그라운드에서 체크를 하는 게 아주 중요한 겁니다.
아마존이 됐건 페이팔이 됐건 거래의 패턴을 뒤에서 이렇게 분석을 해서 거래내용
자체가 이상 징후가 포착되면 그것을 사전에 차단하고 그런 기술이 아주 고도로 발
전되어 있고. 그다음에 유저 입장에서는 비밀번호는 간단하게 치고 아주 쉽게 거래
하고 그래서 비밀번호도 유출될 수 있잖아요. 그런 경우에 사고가 나면 유저에게 물
어줘라. 철저하게 물어줘라라고 법제도가 되어 있기 때문에 사업을 하는 자 입장에
서는 어떻게 해서든 사고가 안 나는 온갖 기술을 다 열심히 개발해서 적용하고 있는
거죠. 그렇게 해서 유저의 입장에서는 아무런 프로그램 설치 안 하고 간편하게 이루
어지고 혹시라도 사고가 나면 철저히 보상받을 수 있고. 그다음에 서비스 제공자 입
장에서는 최첨단의 여러 백그라운드에서 뒤에서 이렇게 돌아가는 그런 기술을 동원
해서 사고를 막는 거죠. 그러니까 보안기술의 진전이 우리나라보다는 월등 앞서 있
다. 저는 이렇게 판단합니다.
◇ 정관용> 외국의 인터넷뱅킹이나 인터넷쇼핑을 영위하는 사업자가 발전된 보안
프로그램을 이미 다 갖고 있는 거로군요.
◆ 김기창> 그렇죠.
◇ 정관용> 그런데 우리나라는 개인 소비자들한테 다 프로그램 다운받아서 깔아라
깔아라 자꾸 이렇게 시키는 거고.
◆ 김기창> 그렇죠.
◇ 정관용> 그게 결정적 차이군요.
◆ 김기창> 더 큰 차이는 정부가 공인인증서 이것 안전하다, 안전하다 자꾸 이렇게
정부가 말을 해 버리니까.
◇ 정관용> 저도 그게 제일 안전한 건줄 알았어요.
◆ 김기창> 그렇죠. 그러니까 문제는 판사님들도 이게 안전하다, 라고 판사님들이
자꾸 생각을 하시니까 사고가 났을 때 은행이나 카드사는 야, 이거 공인인증서 썼
다. 공인인증서는 안전하다. 이렇게 그 말을 믿어버리면 판사님들이 그럼, 고객 잘
못이다. 이런 식으로 판결이 지금 조금 조금씩 나오기 시작하는 거예요. 이건 대단히
우려스러운 상황입니다. 왜냐하면 고객에게 자꾸 책임을 지우기 시작하면 은행이나
카드사 같은 금융회사가 보안에 투자할 동기가 없어져요.
◇ 정관용> 그렇죠.
◆ 김기창> 사고 나도 자기들이 책임 안 져도 되면 뭐하려고 거기에 투자를 하겠어
요? 이건 대단히 위험한 거고. 이런 트렌드를 정부가 앞장서서 조장한다는 건 대단
히 바람직하지 않다 이렇게 생각합니다.
◇ 정관용> 그런데 유독 우리나라만 왜 이런 공인인증시스템을 채택하게 됐습니까?
그 배경이 있을 것 아니에요?
◆ 김기창> 그거는 참 배경은 있는데요. 배경은 1990년대 말에 정부가 열심히 IT에
투자하고 그때 이제 IT강국 이거를 모토로 세워서 주장했고. 90년대 말 기준으로
국제수준의 암호화 기술 개발의 성과를 이뤘었습니다. 99년에 그래서 당시 정부가
이거를 정책적으로 밀어야 되겠다. 이렇게 해서 그거를 한국 안에서 강제하기 시작
한 거죠.
◇ 정관용> 그런데 그거는 그 당시 시점에서 첨단이었군요.
◆ 김기창> 그렇죠. 그게 안타깝게 그 시점에는 유저 컴퓨터를 상대로 한 해킹공격
이 요즘 같이 극심할 줄은 상상을 못하고 유저 컴퓨터에 추가 프로그램을 설치하는
식으로 그렇게 개발을 해 버렸던 거죠.
◇ 정관용> 그런데 시대가 바뀌었는데 빨리 변화를 못하고 있는 거군요.
◆ 김기창> 그게 참 안타까운 건데요.
◇ 정관용> 왜 변화를 못합니까?
◆ 김기창> 정부가 지금의 지난 13년 동안의 상황은 정부가 한 가지 보안기술을 콕
집어서 이거를 다 써라. 이렇게 강요를 하는 상황이 13년 동안 지속됐는데.
◇ 정관용> 그렇죠.
◆ 김기창> 그 결과는 더 진전된 보안기술이 국내시장에 못 들어오는, 경쟁이 완전
히 없어져버리고. 그다음에 공인인증 솔루션을 가지고 사업하는 다섯, 여섯 개 그
업체가 아주 편하게 과점적인 시장 환경을 누릴 수 있도록 이렇게 해 주는 그런 상
황이었어요. 그러니까 그거를 바꾸자 하는 데 대한 저항이 대단하고요.
◇ 정관용> 이미 기득권들이 있군요.
◆ 김기창> 기득권. 그 기득권은 두 가지인데 업체들도 기득권자이고 그다음에 규제
권한을 가지고 있는 금융위원회니 이 안에도 기득권자들이 있죠.
◇ 정관용> 금융위원회에 이거 공인인증제도 철폐하자라는 감사청구운동 벌이고 계
시죠?
◆ 김기창> 네, 그렇습니다. opennet.or.kr이라는 웹사이트에서 진행하고 있고요.
◇ 정관용> opennet.or.kr.
◆ 김기창> 네. 인터넷에서도 오픈넷이라고 이렇게 검색해 보시면 나올 겁니다.
◇ 정관용> 거기를 일단 들어가면 이게 무슨 내용인지 무슨 문제가 있는지 오늘 저
하고 인터뷰 한 것보다 훨씬 상세하게 자료도 들어 있겠죠?
◆ 김기창> 그렇습니다. 보안기술이 자유롭게 경쟁해서 더욱 안전하고 편리하게 되
도록 이렇게 하기 위한 것입니다.
◇ 정관용> 내 컴퓨터에 자꾸 이것저것 프로그램 깔아라라고 은행이 요구하는 것.
그게 사실은 위험하다는 거죠.
◆ 김기창> 그렇죠. 그게 가장 큰 위험의 문을 활짝 열어주는 것입니다. 3.20 보안
대란 이런 것도 다 유저 컴퓨터에 이상한 프로그램이 깔려서 그런 건데.
◇ 정관용> 그렇죠. 알겠습니다.
◆ 김기창> 네.
◇ 정관용> opennet.or.kr. 기억해 두어야 되겠고. 우리 국민들이 우선 알아야 될
것 같습니다. 무슨 문제가 있는지. 오늘 말씀 잘 들었습니다.