본문 바로가기
IT 보안소식

공인인증서, 이제 USB로만?

by 잡다한 처리 2010. 1. 15.
반응형

오늘 어처구니 없는 기사가 하나 떳다.
해킹방지를 위해 하드디스크에 공인인증서를 설치 하지 못하는 것이다.
(100% USB는 아니기때문에 난 계속 하드디스크에다가 설치 할 것이다. 하지만 개인적으로는 좋은 방법은 아닌 듯 하다)
이건 100%가 아니라, 1000%이상 USB악성코드(즉, Autorun.inf를 이용한 악성코드)의 비율이 훨씬 많아 질 것으로 예상된다.
그리고 짜증나는건 점차 하드디스크를 공인인증서에서 뺀다는거다 ㅡ.ㅡ; 이런 비러머글 새퀴들!!

- USB에 공인인증서를 저장 할 시 문제점
1) USB 분실 시 손해피해가 더 큼
2) USB 악성코드 증가로 공인인증서가 타겟이 될 가능성이 높아짐
3) USB 디스크가 없는 경우

인터넷 뱅킹을 이용할 때 컴퓨터 해킹을 통한 금융거래 피해 등을 줄이기 위해 공인인증서를 컴퓨터 하드디스크에 내려받지 못하게 하는 방안이 추진된다. 공인인증서는 인터넷 뱅킹 외에도 증권 거래, 전자상거래, 행정서비스 등에 다양하게 사용된다. 

행정안전부와 한국인터넷진흥원(KISA)은 개인 인터넷 뱅킹 해킹 피해를 막기 위해 단계적으로 공인인증서를 하드디스크 대신 휴대용 저장장치인 USB에 내려받게 할 방침인 것으로 14일 확인됐다. 올해 하반기(7∼12월)부터 하드디스크 저장을 줄여나가기 시작해 2013년에는 하드디스크에 저장할 수 없게 한다는 것이다. 행안부와 KISA는 이 같은 내용에 대해 금융감독원 및 은행권과 협의를 마쳤다. 

올해 7월부터 개인이 하드디스크에 공인인증서를 내려받을 때는 경고음과 함께 ‘하드디스크에 저장하면 보안에 위험이 있습니다. 그래도 받으시겠습니까’라는 내용의 메시지가 나오게 된다. 이 프로그램은 공인인증기관 5곳과 전자서명 소프트웨어 개발업체들이 공동으로 제작해 각 은행에 공급하기로 했다. 경고 메시지가 나가더라도 ‘예’ 버튼을 누르면 하드디스크에 공인인증서를 저장할 수 있다. 

공인인증서 저장 장소를 선택하는 팝업 창도 바뀌게 된다. 지금은 ‘하드디스크-USB-보안토큰-휴대전화’로 돼 있는데 점차 하드디스크를 화면에서 감춘다는 것이다. 또 스마트폰 등 휴대전화에 공인인증서를 저장하는 것도 장려할 예정이다.
    
KISA 전자인증팀 박상환 선임연구원은 “최근 1, 2년 사이에 공인인증서를 이용한 크고 작은 인터넷 뱅킹 해킹 사례가 있었다”며 “피해를 막기 위해 불편하더라도 공인인증서를 반드시 휴대해야 한다는 인식을 가질 필요가 있다”고 말했다.

KISA에 따르면 공인인증서는 1999년에 등장해 10년 만인 2009년 발급 2000만 건을 돌파했다. 지난해 11월 말 현재 총 2157만 건이 발급됐다. 

하나은행 정창완 차장은 “이번 정책이 실행되면 하루 수천만 명에 이르는 인터넷 뱅킹 이용자의 거래 패턴이 바뀌고 하루 30조 원 이상인 인터넷 뱅킹 거래 금액도 영향을 받을 수 있다”고 내다봤다. 

현재 공인인증서 이용자의 74%가 편리하다는 이유로 인증서를 하드디스크에 저장해 사용하고 있다. 이에 따라 이용자들이 반발할 것이라는 우려도 나온다. USB 등을 잃어버린다면 보안에 더 문제가 생길 수 있다는 지적도 있다. 

행안부 장영환 정보보호정책과장은 “피해를 막기 위해 추진하는 정책인 만큼 충분한 공청회와 국민 의견 수렴을 거쳐 문제점을 보완할 것”이라고 말했다.

- 공인인증서 하드디스크 저장금지 '일파만파'
정부가 인터넷 뱅킹시 해킹 피해를 막기 위해 공인인증서를 PC에 저장하는 것을 금지토록 하는 방안을 추진하면서, 이용자들의 불만이 속출하고 있다.

공인인증서를 PC 하드디스크에 저장하는 것이 보안에 상대적으로 취약하다는 점에는 공감하지만, 정부가 나서서 하드디스크 저장을 전면 금지하는 것은 선택권 박탈 뿐만 아니라 근본적인 보안 대책이 될 수 없다는 지적이다.

15일 행정안전부는 인터넷뱅킹 해킹 피해를 막기 위해 올해 하반기부터 단계적으로 휴대용 저장장치인 USB에 공인인증서를 내려받도록 하는 방침을 추진중이라고 밝혔다.

◆공인인증서 안전성 확보 대책 일환

이번 대책은 지난 해 9월 '공인인증서 이용관리의 안전성 확보 대책'의 일환으로 발표된 것으로, 지난 4월에도 '정보보호 추진현황 및 2009년 역점 과제'로 국무회의에 보고된 바 있다.

공인인증서 이용관리 안전성 확보 대책에 따르면, 인터넷 뱅킹시 해킹 피해를 막기 위해 개인이 하드디스크에 공인인증서를 내려받을 때 보안이 취약하다는 경고창을 띄운다.

여기엔 공인인증서 저장 장소를 선택할 때 하드디스크란을 아예 없애는 방안도 포함돼 있다. 궁극적으로 보안 토큰이나 휴대전화에 인증서를 저장하는 방안을 추진중이다.

행안부와 인터넷진흥원(KISA)은 현재 이 같은 내용을 골자로 한 공인인증서 안전성 확보 대책을 마련중이며, 구체적인 시기는 조율중이다. 조만간 금융감독원 등과 구체적인 방안을 협의할 예정이다.

KISA 전자인증팀 박상환 선임연구원은 "이번 조치는 사용자들이 하드디스크에 공인인증서를 저장할 경우, 보안에 취약하다는 점을 알리고 경각심을 불러일으키자는 취지"라며 "은행권 준비 등을 감안해 구체적인 시기를 정할 계획"이라고 말했다.

◆"근본적 대책 안돼"…보안사업장 불편 예상

이 같은 정부의 방침이 알려지자 인터넷 뱅킹 사용자들의 불만이 속출하고 있다.

보안사업장에 근무하는 한 이용자는 "회사가 내부 정보 유출을 우려해 USB 반입을 아예 금지하고 있다"며 "급한 용무시 회사에서의 인터넷 뱅킹 이용은 불가피한데, 근무가 끝나면 은행 업무도 종료돼 상당한 불편이 예상된다"고 토로했다.

현재 삼성그룹을 비롯해 보안을 강화중인 상당수 기업은 보안검색대에서 내부 사업장으로의 USB 반입을 금지하고 있는 상황이다.

또 다른 이용자는 "USB 분실로 인해 저장한 공인인증서가 유출될 경우, 더 큰 피해가 발생할 수 있다"며 "하드디스크 저장 자체를 금지하는 것보다 보안 수준을 강화할 수 있는 근본적인 대책을 마련해달라"고 말했다.

이에 대해 행정안전부 장영환 정보보호정책과장은 "지난 2008년부터 공인인증서 관리 부실로 인한 금융사고가 지속적으로 발생, 적극적인 대응이 필요하다는 공감대가 형성됐다"며 "공청회를 거쳐 이용자들의 의견을 수렴해, 정책에 반영토록 할 것"이라고 말했다.


댓글