공인인증서를 복사하는 “정직한” 방법

by | Mar 29, 2013 | 오픈블로그, 혁신과 규제 | 17 comments

국내 스마트폰 사용자 10명 중 7명이 안드로이드 운영체제를 사용하는 것으로 알려져 있습니다. 2012.11.19자 ZDNet보도. 이 글은 안드로이드폰과 관련이 있습니다.

은행들은 공인인증서를 스마트폰으로 이동/복사하는 복잡하고 어려운 방법을 안내하고 있습니다. 물론, 그 과정에서 액티브X를 또다시 한두개 PC에 추가로 설치해야 합니다. 그런 다음 PC에서 “스마트폰으로 인증서 이동”이라는 절차를 밟고, 스마트폰에서는 해당 은행의 뱅킹 앱을 설치하여 “스마트폰으로 인증서 가져오기”를 실행해야 할 뿐 아니라, 스마트폰앱이 생성하는 8자리 인증번호를 PC에서 입력하라, 주민번호를 입력하라, 심지어는 인증서 암호를 입력하라, 또는 QR코드 앱을 설치/실행하라 등등 컴퓨터를 잘 모르는 대부분의 유저들이 “느끼기에” 엄청나게 복잡하고 까다롭습니다. 컴맹 유저들은 “이렇게 복잡하고 까다롭게 하니까 안전하겠지!”라고 생각하게 됩니다.

“여러분 이거 다 거짓말인거 아시죠!” ㅎㅎㅎ

안드로이드 폰의 경우, 인증서를 스마트폰에 복사하는 “솔직한” 방법은,

첫째, 인증서가 담긴 USB를 PC에 꽂는다. 거기에 있는 NPKI폴더를 오른 클릭하여 복사한다.
NPKI-copy

둘째, 안드로이드폰을 PC에 연결한다. 폰 화면 상단에 USB아이콘이 뜨는데, 이것을 쓸어내려 스마트폰이 USB대용량 저장장치로 인식되게 선택한다. 그러면 스마트폰 SD카드 폴더들이 대충 이렇게 나타나는데, 그 중 빈 공간에 마우스를 오른 클릭해서 조금전에 복사해둔 NPKI폴더를 붙여넣는다.
Android-storage
이상입니다. 인증서 복사되었으니 스마트폰 뱅킹을 하시면 됩니다.

그냥 copy & paste 하면 공인인증서는 마구 복사되는데, 어째서 액티브X를 설치하라, 8자리 인증코드를 입력하라, 주민번호를 입력하라, 비밀번호를 입력하라, QR코드를 찍으라… “생쑈”를 하도록 할까요?

“공인인증서는 워낙 안전해서 이렇게 복잡하고 까다로운 절차를 거쳐야 비로소 스마트폰으로 ‘이동’할 수 있다”고 혹시 믿으셨다면, … 걸려드신 거예요.

공인인증서로 하는 “보안 코스프레”, 이제 좀 그만합시다.

ps. 스마트폰에서 PC로 인증서 이동/복사하는 것도, 걍… 아시죠 🙂

오픈넷

17 Comments

  1. huguk

    진짜가? 머 이런 x같은 경우가 있나?

    Reply
  2. albero

    아마 복잡한 이유는 피씨에서 뱅킹을 할 때 공인증서를 피씨에 두지 않고 사용할 경우에 대비해서 하는 방법일 것 같습니다.

    Reply
  3. youknowit2

    “피씨에서 뱅킹을 할 때 공인증서를 피씨에 두지 않고 사용할 경우”란, USB에 인증서를 저장한 경우? ㅎㅎ 본문에 적은 내용이 바로 그런 경우인데요. 무슨 말씀이신지? PC하드에서 USB로 이동/복사하는 경우에도 copy & paste 하시면 되요. http://openweb.or.kr/?p=1767

    “실제로는 그냥 copy+paste 하면 복사되도록 인증서를 발급해 준 다음, 이 사실을 모르는 이용자들에게 인증서를 복사하려면 인증서 암호를 입력하라고 요구하는 것은 자기 컴퓨터의 하드디스크 폴더가 무엇인지도 모르는 모르는 컴맹 이용자들을 상대로 공인인증서가 마치 함부로 복사 안되도록 안전하게 설치되어 있는 것처럼 뻥을 치거나 이용자에게 타자 연습을 시켜보겠다는 것 외에 도대체 무슨 “생각”이 있어서 그런 것인지 이해할 수가 없습니다.”

    Reply
  4. Joo

    아이폰때문에 그렇게 했겠죠 ㅎㅎ ux 통일 ㅎㅎ

    Reply
    • youknowit2

      저도 대강 그렇게 짐작.

      하지만, 이걸 “솔루션”이라면서 은행 관계자에게 팔기 위해 PT하는 보안업계 사람들은 자신들이 “보안 생쑈”, “보안 코스프레”하고 있다는 것을 훤히 알고 있다고 생각해요.

      어쩌면 은행도 이게 컴맹 고객을 향한 “눈속임”이라는 것을 알지만, 공인인증서의 ‘실상’을 정직하게 설명하기 싫어서 그럴수도. 그래야 사고가 나면, “공인인증서는 안전하다, 그러니 고객 너 잘못이다”라고 판사(역시 컴맹)에게 뻥을 칠수가 있는 것이죠. 실제로 속아 넘어가는 판사도 있고요. 2012가단5088900 http://opennet.or.kr/trend/1350 참조.

      Reply
  5. Dragon

    근데 pc에 NPKI 폴더가 안보이넹~~~

    Reply
    • youknowit2

      윈도 비스타 이상 운영체제의 경우 %UserProfile%\AppData\LocalLow\NPKI\ 에 저장되도록 규격이 바뀌었어요(2010.3부터).

      Reply
  6. kimtaewoo

    심지어 은행이 하라는대로 하다가 스마트폰에 무슨 앱을 까는데 매달 정기적인 이용료도 나가드라고요..
    난 복사하는것은 알고 있었는데.. 은행이 하라는대로 하다가 갑자기 과금이 된것을 알고 통신사에 전화해 뭐라하니 빼주더라구요.. 아마 이렇게 해서 돈벌기 위해 사기치나봅니다..
    은행 사이트 접속해서 해보세요.. 과금됩니다..

    Reply
  7. andu

    애플 제품도 결국 마찬가지로 알고있습니다.
    앱(은행)별로 따로 저장된다는 것만 빼면 파일 복사면 하면 되는건 똑같죠.

    Reply
  8. JT

    그런데, 탈옥안한 애플제품으로 파일을 복사할 수 있는 방법이 있습니까?

    Reply
    • youknowit2

      http://openweb.or.kr/?p=2874 본문과 댓글을 보시면 설명이 있습니다. 간단히 말씀드리면, iPhone OS의 경우 개인인증서는 keychain에 “가져오기(import)”방식으로만 저장될 수 있고, 파일 복사(copy) 방식으로 인증서를 아이폰으로 옮기는 방법은 없습니다.

      andu 님께서 잘못 알고 계신것이고, 더 위에 댓글을 다신 Joo 님의 견해가 정확합니다.

      Reply
  9. april

    되는 거 맞나요?
    설명대로 MTP 모드로 폰 연결하고 NPKI 폴더 통째로 복사해서 SD 메모리에 저장했는데 금융 사이트에 로그인하려니 전혀 찾지를 못하고 있습니다.(반면 원래 공인인증서 저장된 메모리 꼽으니 정상적으로 공인인증서 찾아냅니다.) 다른 블로그에선 NPKI폴더를 반드시 압축해서 복사 후 압축해제해야만 한다고 하고(이것도 해보니 안됩니다.) 누가 맞는 건가요? 뭐 둘 다 안되니 둘 다 틀렸군요.

    Reply
    • Cheechyo

      되는거 맞습니다.
      추측하기론, 액티브액스 버그로 못찾거나 가지고계신 sd카드/리더기에 문제가 있는듯 하군요

      아, 물론 그래도 못믿으사갰다면 어차피 되지도않는거 그 npki 파일 저한테 주시거나 인터넷이 뿌려보십시오. 누군가는 이득을 볼 겁니다.

      Reply
    • passer

      본인이 할줄 모르면서 안된다는건 머임?? 둘 다 틀린게 아니라 본인이 틀린거라는 가정은 없음?? 무식함 + 개이기적이네

      Reply
  10. lalf

    SD카드에 넣었더니 인식을 안하고 그냥 내부 메모리에 넣으니 바로 인식하네요..
    갤럭시S5 광대역lte 모델입니다.

    Reply
  11. 시베리아

    이걸 모르시는분도 계셨군요.

    알만한 사람(컴퓨터 관심있는 분들)은 다 알고 계시는데..

    Reply
  12. 헐...

    어우 충격과 공포네요. 정보 감사합니다.ㄷㄷㄷ

    Reply

Trackbacks/Pingbacks

  1. 공인인증서에 관하여 국민감사청구를 하는 이유 | Open Net - [...] 그런 식으로 오판할 가능성은 더 커집니다. Copy & paste만 하면 마구 복사 가능한 공인인증서가 실제로 그렇게 안전한가요? 잘못도 없는…
  2. 공인인증서 허술함을 이해하는데 13년 걸린 금융위 | 오픈넷 캠페인 - [...] 어떤 관계자는 ‘복사하여 붙여넣기’만 하면 공인인증서는 마구 복제된다는 사실을 “알고 있었다”고 하시는데, 언제부터 아셨는지, 알고 난 후에도 [...]
  3. 한국 IT보안, 이제 솔직해 집시다. | Open Net - [...] 이건 은행과 보안업체들이 온국민을 우롱한 거짓 안내, 눈속임 안내라는 사실을 설명한 오픈넷 페이지가 3000회 가까이 페이스북에서 공유되고, 트위터에서 1600회가…

Submit a Comment

Your email address will not be published. Required fields are marked *

최신 글