[기고] 전자금융 보안정책, 문제 있다! / 김기창

김기창 고려대 법학전문대학원 교수

최근 보도를 보면, 금융감독원은 스마트폰에서 이루어질 인터넷뱅킹에도 공인인증서 등의 사용을 강제하고, 피시 인터넷뱅킹 서비스와 유사한 보안 수준을 적용할 계획이라고 한다. 보안에 필요한 조처라면 이의를 제기하지 않겠지만, 실상은 그렇지 않은 것이 문제다.

공인인증서 옹호론자들의 주장은 공인인증서는 ‘부인 방지’ 기능이 있다는 것이다. 너의 인증서는 너만 가지고(관리하고) 있고, 이 거래는 전자서명이 되어 있는데, 그 전자서명은 네가 관리하는 인증서 없이는 만들 수 없으니, 이 거래는 네가 한 것이 맞다는 것이 부인 방지 이론이다. 그러나 인터넷을 통한 개인컴퓨터 해킹이 일상사가 되다시피 한 요즘, 아무나 복제 가능한 국내 공인인증서로 이런 주장을 내세우기는 어렵다. 나의 인증서를 ‘나만 가지고 있다’는 대전제가 너무 쉽게 무너지기 때문이다.

공인인증 제도의 근거인 전자서명법을 만들 시점(1999년)에 이미 외국에서는 아무데나 저장·복사 가능한 인증서는 믿지 않고, 보안토큰(보안장치가 있는 외장기억장치)에 특수한 방법으로 설치된 인증서를 사용하고 있었다. 보안토큰에 설치된 인증서는 누구도 복사해 낼 수 없으므로 나의 인증서는 ‘나만 가지고 있다’는 전제를 충족할 수 있다.

그러나 국내의 정책입안자들은 “공인인증서 1000만장 돌파”라는 가시적 업적 달성에 급급한 나머지 보안토큰을 외면했다. 무료로 하드디스크나 휴대용저장장치(USB)에 그냥 마구 저장할 수 있는 인증서를 발급해야 1000만장 돌파 실적을 올릴 수 있다는 얕은 계산을 한 것이다. 그래서 허술하기 짝이 없는 인증서를 ‘공인인증서’로 포장하여 1000만장 이상 발급했고, 보안업체와 금융감독원은 20년 전의 부인 방지 ‘이론’만을 어설프게 들이대며 공인인증서 사용을 강제하는 한편, 인증서가 마구 복제되는 사태가 벌어지자 방화벽, 안티바이러스, 키보드보안프로그램 설치에 올인하는 딱한 지경에 이른 것이다.

그러나 금융감독원이 설치를 강제하는 보안프로그램들은 은행 접속 중에만 잠시 켜졌다 꺼지는 것이다. 아무데나 마구 저장할 수 있는 공인인증서의 무단복제를 이런 프로그램으로 막아낼 수 있다면 보안 기술의 역사를 새로 써야 할 판이다. 그동안 전자금융거래의 안전을 그나마 지켜온 것은 거래 때마다 다른 번호를 입력하게 하는 보안카드 덕일 뿐, 잠시 켜졌다 꺼지는 ‘눈가림용’ 보안프로그램을 이용자 피시에 억지로 설치하고(이런 나라는 한국이 유일하다), 쉽게 복제되는 ‘싸구려’ 공인인증서를 1000만장 이상 사용했기 때문이 아니다.

국내 보안업계는 국제 무대에서 당당히 경쟁하기보다는, 기술을 모르는 행정당국을 앞세워 공인인증서 사용을 강제하고 국내용 보안프로그램 판매에만 골몰하며 한국 인터넷 환경을 마이크로소프트 인터넷익스플로러가 99% 싹쓸이하는 상황으로 몰아갔다. 그 결과 한국의 인터넷 기술은 고립·낙후되었고, 독특하게 형성된 폐쇄적 국내시장을 국내 업체들이 편안히 나눠먹고 있었다. 보안업계의 이해관계에서 자유롭지 못한 보안 전문가들은 무단복제가 가능한 공인인증서의 허술함에 대하여 불편한 침묵을 유지하며 행정당국의 무모한 규제 행태를 방관·조장해왔다. 이것이 한국 전자금융 보안의 현주소다.

국내 이용자들의 피시와 인터넷 이용 행태는 잘못 밀어붙인 금융보안 정책으로 사실상 회복 불가능하게 유린되었다. 새로이 등장하는 스마트폰 환경에서도 이런 정책 오류를 반복한다면, 한국의 인터넷 기술 환경은 고립과 퇴행의 나락에서 헤어나기 어려울 것이다.

김기창 고려대 법학전문대학원 교수