공인인증서 사용을 정부가 ‘강제’하는 것은 좀 그만하라는 오픈넷의 주장에 대해서, 가장 자주 나오는 말은 이것입니다.
“마땅한 대안이 없기 때문에 당장 제도를 바꾸기는 어렵다”
고상하게 들리지만, 실제로는 괴상한 말입니다. 왜냐고요?
첫째, 정부가 공인인증서 사용을 강요/우대하는 행위는 국내법에 위반되고, OECD회원국으로서 우리 정부가 준수해야 하는 국제법적 의무에도 반하는 행위입니다. 어떤 인증방법을 사용할지는 “거래당사자들이 상호합의로 결정”해야 한다는 것이 우리 국내법이고, 민간의 “암호기술 선택에 정부가 개입해서는 안된다”는 것이 OECD가 채택한 원칙입니다.
위법한 행위를 중단하라는데, “대안이 뭔가?”라고 반문하는 행위는 괴상한 것입니다. 비유하자면, 이때까지 업체로부터 뇌물을 받으면서, 그 업체를 노골적으로 밀어주던 공무원에게 “범법 행위를 중단하라”고 요구하는데, 그 공무원이 “대안이 뭐냐?”라고 반문하는 것이나 마찬가지입니다. “대안은 너가 감옥에 가는 것이다”라고 말해주고 싶군요…
둘째, “대안이 마땅찮다”고 말하는 자 스스로가 진정으로 기술을 전혀 몰라서 그런 헛소리를 (헛소리인 줄도 모르며) 내뱉는 경우도 있을 수 있습니다. 그런 사람은 계속 공인인증서를 사용하면 됩니다. 정부가 공인인증서 사용을 더 이상 “강요”하지 않더라도, 공인인증서를 여전히 사용하는 은행은 분명 있습니다. 예를 들어, 농협은행은 정부가 공인인증서 사용을 강요 안해도 지금처럼 계속 공인인증서를 쓸 것입니다. “대안이 마땅찮다”라고 굳게 믿는 분은 농협은행 같이 계속 공인인증서를 사용하는 은행을 이용하면 됩니다. 평생 공인인증서를 사용할 수도 있을 것이니 염려마시기 바랍니다.
셋째, 많은 경우, “대안이 마땅찮다”는 말을 하는 사람 자신은 그것이 거짓말인 줄 알지만, 기술을 모르는 상대방을 속여넘기기 위해서 그런말을 합니다(이 수법 얕보지 마시기 바랍니다. 지금 이글을 읽는 여러분도, 보안전문가가 아니면 대안이 뭔지 잘 모를 것입니다). “공인인증서 문제 어떻게 풀거냐”를 놓고 여러 정부부처가 모여서 회의를 할때(특히 요즈음 그런 회의가 많습니다), 금융위 사람이 단골로 써먹는 방법이 바로 이것입니다. 금융위/금감원/금결원/KISA에서 참석한 “인증 보안 기술 전문가”라면서 회의석상에서 표정을 잔뜩 심각하게 잡고서는 “근본 방향은 옳으나, 마땅한 기술적 대안이 지금으로는 존재하지 않고, … 부인방지, 무결성, … 어쩌구 저쩌구…” 이렇게 이야기를 한참 하고나면, 그 자리에 있는 다른 부처 공무원들은 아무도 보안기술 전문가가 아니기 때문에 모두 고개를 주억거리게 되며, 이때쯤 미래부에서 나온 어떤 분이 “HTML5로 공인인증서를 사용하는 대안을 정부가 개발중”이라고 맞장구를 치면, 회의는 그것으로 대충 마무리되는 것입니다.
(금융위/금감원/금결원/KISA는 모두 공인인증서에 올인하고 있는 곳들인데, 이 분들을 불러다 놓고 무슨 대책회의를 한다는 것 자체가 슬픈 코메디)
보안 기술을 조금이라도 이해하는 자가 “공인인증서를 대체할 대안이 마땅찮다”고 컴맹들을 상대로 이야기 한다는 것은 한마디로 파렴치한 것입니다.
세계 각국에서 공인인증서 없이 한국보다 막대하게 큰 규모의 뱅킹 쇼핑 거래가 이루어지고 있습니다. 대안은 무수히 많습니다. 서버측 대안, 클라이언트측 대안을 모두 감안하면, 일일이 다 나열할 수도 없을 지경입니다.
“대안이 뭔가요?” 라고 남에게 묻기 전에, 자신이 과연 보안 기술을 얼마나 잘 알고 있는지를 스스로에게 물어보기 바랍니다.
정말 궁금해서 글을 남깁니다.
공인인증서를 대신할 수 있는 기술들이 어떤 것이 있는 지, 일반인들도 알 수 있도록 한번 비교 정리해주시면, 주장하시는 말씀이 보다 설득력이 있을 것 같습니다.
부탁드립니다.
공인인증서를 그냥 안쓰는 것도 대안의 하나입니다. 그대신에, 절대로 추가프로그램 따위는 설치하지 말라. 웹주소가 https로 시작하는지를 확인하라 등의 “계몽”만으로도 지금보다는 훨씬 개선된 환경을 달성할 수 있습니다. 공인인증서는 최악의 보안위험을 초래하는 “유저행태”를 강제로 조장해 온 것입니다. 그런 위험한 행위를 그만하도록 하면 그것만으로도 국내 보안 환경은 크게 개선될 수 있습니다. http://opennet.or.kr/3584
현재에도 이미 당사자 인증은 otp로 하고 있습니다. 공인인증서는 금융권에서도 스스로 못믿기 때문입니다.
부인방지는 서버측에서 여러 AUDIT TRAILS 를 제대로 마련해두는 것으로 충분합니다. 지금도 공인전자서명으로는 부인방지 효과를 “실제로는” 전혀 거두지 못하고 있습니다.
미국 표준기술연구소도 2011년에 이미, 한국의 99%이상 공인인증서가 제공하는 보안 수준보다는 OTP(잠금장치 있는 모델)가 더 높은 수준의 보안을 제공한다는 결론을 내렸습니다. http://opennet.or.kr/2938
거래 규모에 따라서 인증기술은 매우 다양하게 사용될 수 있고 그래야 합니다. OTP를 모든 거래에 반드시 쓰라는 것도 웃기는 일.
공인인증서가 만병통치약도 아니고, 너무나 위험한 행태를 너무나 오래 조장해 왔습니다.
그리고 서버측에서 거래의 패턴을 분석해서 위험거래를 사전에 걸러내는 것도 중요한 대안입니다.
공인 인증서를 표준화된 기술로 적용해서 타 운영체제에서도 사용이 가능하게 된 것 만으로도 만족해야 되는건지 모르겠네요..
지나가다 좋은 글과 강연들을 많이 보고, 스스로를 반성하고 갑니다.
궁금한 점이 있어서 글을 남깁니다.
미국 표준기술연구소의 연구 결과에 따르면 otp가 현행 공인인증서에 비해 더 높은 수준의 보안을 제공한다고 말씀하셨는데, 여기서 otp라는 것이 제가 알고있는 그 otp생성기(하드웨어)입니까?
금융거래간에 인증서 사용을 강제하던 관행을 없애면, 각 금융 기관이나 여타 사업자들이 더 효율적이고 수준 높은 보안방법을 사용할 수 있을것이라고 예측하셨는데, 그렇다면 opt생성기를 소지하는것도 그러한 방법의 일환으로 이해하면 되겠습니까?
“OTP생성기”를 두가지로 나누어 볼 수 있는데, 그 중 잠금장치(비밀번호를 입력해야 비로소 작동가능하게 되는 모델) 있는 OTP는 공인인증서보다 더 높은 수준의 인증(당사자 확인) 기술이라는 것이 미국국립표준기술연구소의 결론. http://opennet.or.kr/2938 에 그림이 있습니다.
물론 공인인증서 그만 쓰고 싶은 은행은 당장 그만쓰고, OTP생성기 만으로 당사자 인증해도 지금(공인인증서+숫자카드)보다는 더 안전하게 될 것입니다.
하지만, 은행에게 이래라, 저래라(예를 들어, “OTP를 반드시 쓰라”) 하지 말라는 것이 제 주장입니다. 은행이 스스로, 자율적으로, 선별적, 점진적으로 더 나은 인증, 보안 기술을 채택할 수 있도록 “정부가 더 이상 개입하지 말라”는 것입니다. 은행이 병신 머저리 천치 바보가 아니다는 것이 제 생각입니다. 지금은 공인인증서 쓰라고 강요하고, 그것을 쓰면 면책되니까 은행은 그것만 쓰고 있는 것이지요(피해는 소비자가 뒤집어 쓰고). 이것을 바꾸라는 거죠. “자유롭게 선택해라, 하지만 사고나면 철저히 물어줘라.” 이겁니다.
공인인증서제도에 대해 관심이 많은 고3 학생입니다.
제가 이 분야에 대해 아직 자세히는 모르지만 궁금증이 생겨 댓글 남겨봅니다
그렇다면 우리나라의 공인인증서 제도를 폐지하고, 국제 표준방식을 도입하는 것 대신에
사설 보안업체에서 안전한 보안체계를 새로 구축해 시중에 유통시키는 것이 가능하다고 생각하십니까?
아니면 그러한 사례가 있나요??