공인인증서 의무사용 폐지, 보안위협은 없나?

아주경제 장윤정 기자 = 오는 6월부터 내ㆍ외국인 모두 온라인쇼핑몰에서 공인인증서 없이 거래를 할 수 있게 된다.

금융위원회와 금융감독원은 현재 30만원 이상 인터넷쇼핑 등 전자상거래 시 공인인증서 등을 의무적으로 사용하도록 하는 ‘전자금융감독규정 시행세칙’을 개정, 연내 공인인증서 없는 온라인쇼핑이 가능해질 전망이다.

하지만 공인인증서 없는 온라인쇼핑이 과연 편리함만을 가져올 것인지 그에 따른 '보안 위협'과 같은 부작용은 없을지 우려의 목소리 또한 커지고 있다.

◆ 대량 카드 정보 유출 등 도용카드 사용에 따른 위험부담 커 
업계 전문가들은 "공인인증서 폐지를 주장하는 쪽에서는 해외에서 신용카드 정보만으로 온라인쇼핑이 가능하고 큰 보안사고 없이 운용되고 있다고 예를 들지만 올초 국내에서 신용카드 정보가 대량 유출됐다는 점을 잊어서는 안된다"고 지적했다.

1억건이 넘는 대한민국 국민 신용카드 정보와 유효기간, 주민등록번호, 결제계좌 등 모든 정보가 노출된 상태에서 공인인증서 없이 신용카드 번호만으로 결제가 가능토록 변경하는 것은 상당한 위험부담이 따른다는 설명이다.

또 대통령이 '천송이코트'를 해외에서 구입할 수 없다며 공인인증서를 사용토록 하는 국내 인터넷쇼핑의 문제점 때문이라고 언급했지만 옥션, 지마켓 등 국내 온라인쇼핑몰들은 대부분 외국인 전용 사이트를 개설해 해외 여느 나라와 다름없는 구입환경을 지원하고있다. 

공인인증서 본인확인절차, 엑티브엑스 등이 필요없는 것은 물론이다. 

박성기 한국정보인증 팀장은 "올초 국내 카드사의 대량 개인정보 유출사고를 비롯해 은행, 증권 등 개인정보유출사고가 끊이지 않는 국내 환경을 고려해볼 때 공인인증서를 없애고 카드 정보 만으로 구매 절차를 간편화한다면 사고 발생 시 카드사 등에서 이를 모두 책임져야한다"며 "사용자 이익도 중요하지만 사고 발생 시 배상 책임이 있는 기업의 입장을 고려, 안전장치부터 마련하는 것이 시급하다"고 말했다.

이에 따라 업계는 LG CNS ‘엠페이’와 페이게이트 ‘금액인증’과 같은 공인인증서 대체 수단의 보안성 심의를 주목하고 있다. 

◆공인인증서 폐지가 급한 게 아니라 보안 기술 부터 갖춰야 
결제 과정이 단순해지면 전자상거래가 활성화되는 효과가 있지만 보안사고의 책임도 함께 짊어져야 하는 부담이 있다.

온라인쇼핑 업계 관계자는 “정부 정책이 발표되지 않은 상황에서 섣불리 특정 보안기술 검토 여부를 정할 수 없다”며 “정부의 결제 보안 관련 조치를 지켜보며 대안을 마련할 것”이라고 조심스러운 모습을 보였다.

김태봉 KTB솔루션 대표는 "일부에서 내세우는 SSL만으로 보안이 충분하다는 주장은 설득력 없고 위험한 발상"이라며 "최근 발생한 허트블리드 사건이 그 반증이다. 공인인증서 외에 추가 인증수단을 덧붙여 보완하는 것이 옳다"고 강조했다.

'허트블리드'는 사용자가 웹브라우저에서 입력한 개인·금융정보를 서버로 전송 시킬때  거치는 암호화 과정을 무력화시키는 버그다. 이 보안 취약점은 암호화 툴 중에서 널리 사용되고 있는 '오픈SSL'(OpenSSL)에서 지난주 발견됐다. 

따라서 오픈SSL을 사용해 온라인쇼핑을 지원한다면 암호화를 소용없게 만드는 허트블리드 같은 버그의 위험을 방어할 수가 없다.  
 

이처럼 변화하는 해킹, 사이버공격 기법을 대응할 수단이 없는 상태에서 섣불리 '편리함'만을 내세우는 것은 온라인쇼핑에 있어 오히려 '독'이 될수도 있다는 판단이다.

전문가들은 "공인인증서든 SSL이든 사용자의 금융정보를 철저히 지켜줄 수 있는 대안수단을 마련하는데 정부가 서둘러 줘야할 것"이라며 "기존의 수단을 서둘러 없애기보다 보안책, 안전장치 마련에 정부, 금융기관 등이 각성을 촉구해주기를 바란다"고 입을 모았다.