11일 서울 안암동 고려대학교 법학관 연구실에서 만난 김기창 교수는 “온라인 금융거래에서 공인인증서 방식을 재검토해야 한다”고 역설했다. 신인섭 기자 “금융감독원과 한국정보보호진흥원(KISA·현재 한국인터넷진흥원), 일부 보안업체들이 밀실에서 담합을 했습니다. 그 결과가 뭐겠습니까. 모든 사용자들의 불편입니다.”
고려대 김기창(47·법학) 교수는 정부와 업계에 직격탄을 날린다. 11일 연구실에서 만난 그는 “액티브X로 도배한 기형적인 국내 웹 환경은 인터넷 뱅킹과 쇼핑에서 의무적으로 공인인증서를 쓰게 한 감독당국의 규정 때문”이라고 주장했다. 국내 웹은 파이어폭스·사파리 등 기타 브라우저로는 제대로 사용하기 어렵다. 전체의 98%가 사용하는 마이크로소프트(MS) 인터넷익스플로러(IE)에만 맞춰져 있기 때문이다. 이처럼 IE 일색이 된 것은 바로 공인인증서 때문이라는 것이 김 교수의 진단이다.
액티브X가 죽어야 ‘IT코리아’가 산다 오픈웹 운동 주도하는 김기창 고대 교수
리눅스 PC로는 웹서핑도 어려워
법대 교수가 전자금융 제도 개선에 나선 것이 좀 특이하다.
“1990년부터 영국 케임브리지대학에서 연구원과 교수로 머물렀습니다. 그때부터 윈도 대신 리눅스를 설치한 노트북을 사용했는데, 2002년 귀국하니 도대체 인터넷을 쓸 수가 없었습니다. 처음에는 웹 표준을 지키자는 차원에서 시작했는데 가만히 들여다보니 액티브X 플러그인이 근본적인 문제더라고요.”
그래도 없는 것보다는 낫지 않을까.
“문제는 두 가지입니다. 첫째, 국제 표준과 맞지 않는 것이고 둘째, 표준이 아닌 방식을 의무화한 것입니다.”
기술적인 부분이라 부연 설명이 필요하다. 간단히 말하면 온라인 금융 거래 시 은행 또는 카드사의 서버와 여기 접속하는 클라이언트 PC가 서로 확인하는 과정이 필요하다. 서버에서는 누군가 문을 두드리면 상대를 확인하기 위해 신분증을 요구한다. 반대로 클라이언트도 제대로 된 서버인지 이름표를 확인한다. 중간에 해커가 끼어드는 것을 막기 위해서다. 이때 쓰는 것이 믿을 만한 곳에서 발행한 공인인증서다. 남들이 엿보지 못하게 암호로 만들어 서로 전송한다.
첫 번째 문제로 돌아가면 IE는 물론, 파이어폭스나 오페라 같은 모든 브라우저는 공인인증서를 암호화해 저장하는 기능이 있다. 그런데 한국 방식만 저장 장소가 다르다. 왼쪽 앞가슴에 명찰을 달아야 하는데 오른쪽 바지주머니에 넣어둔 셈이다. 그러니 서버에 보여주기 위해 손으로 꺼내 가슴에 달아줘야 한다. 그래서 한국에서는 주머니에서 꺼내 왼쪽 가슴으로 옮기고, 서버에 암호화해 보여주는 역할을 액티브X 플러그인에 맡겼다. 문제는 액티브X가 MS에서 개발한 것이라 IE에서만 작동한다는 점이다. 결국 한국에서 전자 거래를 하려면 IE를 쓸 수밖에 없다.
“첫 단추를 잘못 끼웠어요. 웹브라우저에 내장된 암호화와 보안인증서 기능을 활용했어야 하는데 추가로 별도의 프로그램을 설치하는 플러그인 방식으로 간 것이 문제입니다.”
세계에서 유일한 보안방식 사용
처음부터 플로그인 방식이 잘못된 것은 아니다. 90년대까지만 해도 미국 정부는 브라우저에 40비트 이상의 암호화 기술을 넣지 못하게 막았다. 한국뿐 아니라 대부분의 선진국이 128비트 암호화 방식의 플러그인 개발에 나섰다. 다만 2000년 이런 규제가 풀리면서 브라우저에 128비트 암호화 기술이 들어가자 한국을 제외한 모든 국가는 플러그인 방식을 포기하고 브라우저 내장 방식으로 돌아섰다. 한국만 금감원과 KISA가 플러그인 방식 도입을 강행했고, 10년째 그 굴레에서 벗어나지 못하고 있다는 것이 김 교수의 지적이다.
“플러그인 방식을 쓰면 브라우저별로 별도의 프로그램을 만들어야 합니다. 은행 입장에서도 비용이 많이 듭니다. 반면 브라우저 방식은 저렴합니다. 오픈웹 서버를 운영하는 데 2년에 6만원을 주고 미국 코모도에서 발행한 서버용 인증서를 씁니다. 은행처럼 대규모 서버에 쓰는 EV SSL 인증서도 연 150만원이면 살 수 있습니다. 플러그인 방식 기반의 보안 패키지를 설치하려면 최소한 2억원, 은행 같은 큰 업체는 수십억원이 듭니다. 보안업계가 현행 방식에 목을 매는 이유입니다.”
안전성에는 문제가 없을까. 김 교수는 문제가 없다는 입장이다. 바지주머니에 넣어둔 공인인증서는 패스워드가 정해진 방식이라 해커가 침투하면 복사해 쓸 수 있다. 대부분의 사용자는 일반적으로 쓰는 암호와 공인인증서 암호가 일치하는 경우가 90% 이상이기 때문이다. 반면 브라우저에서는 자체적으로 암호화해 저장하므로 해커가 빼가도 써먹을 수가 없다는 설명이다. 그래도 불안하면 일회용 비밀번호 생성기(OTP) 등으로 보완하면 된다. 그렇다고 현행 방식을 당장 전면 폐지하자는 것도 아니다.
“오픈웹에서는 한번도 공인인증서를 없애자고 주장한 적이 없습니다. 금융업체가 선택할 수 있도록 하면 됩니다. 플러그인 형태의 현행 방식을 계속 쓸 수도 있고, 브라우저 보안에 OTP를 더하는 국제 표준 방식으로 바꾸는 곳도 나올 겁니다. 표준 브라우저 방식은 올 들어 보급이 늘고 있는 스마트폰도 별도의 프로그램 없이 은행과 쇼핑몰을 이용할 수 있기 때문에 앞으로는 대세가 될 겁니다. PC는 물론 스마트폰에서도 바로 쓸 수 있는 더 안전한 대안이 있는데 아이폰 따로, 윈도모바일 따로, 안드로이드 따로 전용 앱을 만들 사업자가 있을까요?”
김 교수는 이 부분에서 금감원의 책임을 거론한다. 지난해 말 온라인 서점인 알라딘에서는 액티브X를 쓰지 않는 결제 시스템을 선보였다. 파이어폭스나 사파리 같은 브라우저는 물론 스마트폰에서도 바로 주문과 결제를 할 수 있어 관심을 끌었지만 두 달여 만에 서비스를 중지했다. 표면적인 이유는 카드업체들이 보안 문제를 내세워 결제를 거부했기 때문이다.
힘 있는 외국업체는 모른 척
“실제로는 금감원이 카드사에 압력을 가한 결과지요. 알 만한 사람은 다 압니다. 금감원은 은행·카드사의 보안성 심사권을 쥐고 있습니다. 또 전자 거래가 아니라도 눈치를 봐야 하는 금융업체들이 금감원을 거스르기는 어렵지요. 지금도 애플스토어에서는 액티브X 없이 수백만원짜리 맥북을 살 수 있습니다. 힘 있는 외국 업체에는 말도 못 꺼내면서 국내 업체들만 막아놓은 꼴이지요.”
하지만 강제로 PC에 보안 프로그램을 깔도록 하는 한국 방식이 일반인에게는 더 나은 것이 아닐까? 보안 책임을 개인에게 돌린다면 해커에게 전 재산을 털리는 불상사도 일어날 수 있지 않을까? 김 교수는 세계 어느 나라도 온라인 거래에서 사고가 났을 때 이용자에게 모든 책임을 묻는 곳은 없다고 강조했다.
“미국의 경우 연방법에 따르면 보안카드나 인증서 등을 분실한 것을 알고 이틀 안에 신고하면 50달러까지만 책임을 지면 됩니다. 신용카드와 비슷합니다. 신용카드를 잃어버렸다고 카드 주인이 부정 사용액을 다 물어내야 하는 것은 아니잖아요? 이틀이 지나면 책임 한도가 500달러로 늘어납니다. 다만 60일이 지나도록 신고를 안 하면 전액 책임을 질 수도 있습니다. 국제 표준 방식은 기술적인 것보다 더 중요한 장점도 있습니다. 사용자들에게 ‘모르는 프로그램은 절대 깔지 말라’는 명확한 메시지를 준다는 겁니다. 안전성 측면에서는 보안 프로그램을 몇 개씩 까는 것보다 이게 낫습니다. G마켓이 일본과 홍콩에 진출한 초기에 하도 손님이 없어서 조사해보니 액티브X를 설치하지 않더랍니다. 하도 뭘 설치하는 데 익숙해져서 반사적으로 ‘예스’를 누르는 국내 사용자와는 다르지요.”
기본적으로 금감원이 개별 금융업체의 보안 기준을 만들어야 할 이유가 없다. 김 교수에 따르면 바젤은행감독위원회(BCBS)는 ‘전자금융 분야에서 인증이나 보안기술은 감독기구가 아니라 은행에서 선택한다’는 원칙을 갖고 있다. 바젤위는 74년 G10 회원국과 스위스의 중앙은행 등이 참여해 만든 국제 은행감독기구다. 보안기술을 은행에 맡긴 것은 당사자가 가장 좋은 기술을 선택할 수 있다고 보기 때문이다.
김 교수는 2007년 금융결제원을 상대로 ‘공인인증서를 IE에서만 이용할 수 있도록 한 것은 불공정 행위에 해당한다’며 손해배상을 청구하는 민사소송을 냈다. 하지만 3년간의 법정 공방 끝에 지난해 10월 대법원에서 패소했다. 김 교수는 이번 소송에 대해 ‘절반의 성공’이라고 표현했다.
“금감원 방식대로 공인인증서 사용을 의무화하려면 모든 사용자에게 공인인증서를 발급해 줄 수 있어야 합니다. 법원은 파이어폭스 사용자에게는 발급해 줄 의무가 없다고 판결했어요. 그렇다면 공인인증서 사용을 의무화하는 것도 무리라는 얘기입니다. 실제로 파이어폭스를 만드는 모질라재단은 4년째 금결원의 서버용 인증서를 공인하지 않고 있습니다. 한국의 인증 방식을 신뢰할 수 없다는 의미지요.”
아이폰은 돼도 안드로이드는 안 돼
최근 들어 김 교수와 같은 생각을 하는 이들이 늘고 있다. 이들은 ‘세계 최고의 IT 기반을 갖춘 한국에서 왜 스마트폰으로 책 한 권 사지 못하는가’ 하고 묻는다. 여론이 나빠지자 비로소 정부도 대안 검토에 나섰다. 국무총리실과 방송통신위원회 등은 익스플로러로만 전자 결제가 가능한 현 시스템의 개선 방안 마련에 나섰다. 각종 규제를 비롯한 중소기업의 애로사항을 해결하기 위해 지난해 출범한 독립기관인 중소기업옴부즈만도 공인인증서 문제 해결에 힘을 보태고 있다. 김 교수는 이제 시작이라고 말한다.
“한국정보보호진흥원은 지난해 한국인터넷진흥원(NIDA) 등과 통합해 ‘한국인터넷진흥원(KISA)’으로 재출범했지만 최근 행정안전부와 함께 독자적인 스마트폰용 공인인증서 기술규격을 내놓았습니다. 아이폰에는 국제 표준을 따르되 윈도모바일과 안드로이드폰에서는 기존 방식을 고수하는 내용입니다. 10년 동안 PC 분야에서 갈라파고스를 만들더니 앞으로 10년 동안 스마트폰에서도 같은 일을 벌일 모양입니다.”
