전자금융거래 시 공인인증서만 사용하도록 의무화한 규정을 완화하자는 목소리가 갈수록 높아지고 있다.

액티브X를 기반으로 한 공인인증서 제도가 무선인터넷 활성화를 가로막고 있다는 것이 그 이유다.

스마트폰에는 액티브X를 설치할 수 없기 때문이다.

◆"무선인터넷, 세계 속 고립 막자"

스마트폰 공인 인증서 폐지 움직임을 주도하고 있는 기업호민관실은 최근 금융위원회, 행정안전부에 공인인증서 사용과 함께 'SSL(Secure Socket Laye)r+OTP(일회용 비밀번호)' 방식을 허용하는 대안을 제안하며 4가지 주요 근거를 내놨다.

스마트폰 확산에 따라 활짝 필 무선인터넷 만큼은 세계 전자상거래 및 인터넷뱅킹 시장에서 고립을 자처해선 안된다는 판단에서다.

호민관실이 제시한 근거는 ▲옥스포드, 캠프리지 대학교 공동논문 ▲해외 인터넷뱅킹 보안현황 조사보고서 ▲바젤은행감독위원회의 전자금융 위험관리 준칙 ▲MS 홈페이지의 액티브X사용 대안 등 4가지다.

4가지 근거는 무엇보다 SSL 방식의 안전성을 뒷받침한다는 게 기업호민관실측 주장이다.

이민화 기업호민관은 "공인인증서를 폐지하자는 게 아니라 각 서비스 제공자들이 합리적으로 서비스를 선택하도록 허용해달라는 것"이라며 "기존 유선인터넷 환경에서는 한국이 세계 속에서 격리된 '갈라파고스'에 만족했다면 무선인터넷 환경에서는 글로벌 스탠더드를 따라야 된다"고 강조했다.

영국 캠브리지대학의 보안공학 교수인 로스 앤더슨, 옥스포드대 허준호 박사 등의 공동논문인 'On the Security of Internet Banking in South Korea'에 따르면 웹 브라우저의 SSL/TLS 접속으로 전환하는 것이 액티브X 플러그 방식보다 더 안전하거나 적어도 동등할 뿐 아니라 피싱 공격 방어도 일부 가능한 것으로 나타났다.

웹브라우저가 제공하는 SSL/TLS 보안접속의 경우 웹브라우저가 알려주는 보안경고가 피싱방어 수단이 될 수 있지만, http 접속으로 수행되는 한국 인터넷뱅킹 기법은 이런 방어책을 전혀 이용할 수 없다.

이 논문은 또 현행 액티브X 플러그인 방식은 안전한 거래 플랫폼을 마련할 수 없으며, 이용자 편의성도 떨어진다고 지적했다. 안티바이러스 플러그인은 최신 악성코드를 감지해내지 못하고 개인방화벽 플러그인도 은행 거래 중에만 작동하는 등 외부 플러그인은 정교한 악성코드 공격을 막는데 한계가 있다는 것.

국내 인터넷뱅킹에 사용되는 플러그인은 그 정확한 스펙이 공개되지 않아 안전성을 투명하게 검증할 수 없다는 것도 지적됐다. 스펙을 공개하지 않으면 초기에는 공격을 늦출 수 있을지 몰라도 결국 취약점이 발견되고 그 다음부터 지속적 공격이 가능해지기 때문.

◆"바젤위원회 원칙에도 반해"

또한 금융보안연구원의 '해외 인터넷뱅킹 보안현황 조사보고서' 역시 세계의 모든 은행들이 SSL 암호화 통신을 지원하고 있으며, 인터넷 익스플로러 이외의 브라우저에 대한 호환성을 제공하고 있다고 밝히고 있다.

여기에 영국, 싱가포르 등 대다수 은행들이 인증매체로서 OTP를 사용함으로써 인터넷 뱅킹 서비스의 보안을 강화하고 있는 것으로 나타났다.

아울러 국제결제은행(BIS) 바젤은행감독위원회의 전자금융 위험관리 준칙에 따르면 감독기구가 특정인증기법만의 사용을 은행에게 강제하는 것은 바젤 위원회의 원칙에 반한다.

바젤 위원회의 전자금융 위험관리 준칙은 "어떤 인증기법을 사용할 것인지는 전자금융 시스템 전반 또는 각 구성 부분이 제기하는 위험에 대한 경영진의 평가에 기초해 은행이 결정해야 한다"고 밝히고 있다.

심지어 마이크로소프트(MS)마저 자사 OS사이트에서 액티브X를 보안 용도로 사용하는 것은 지양돼야 하며, SSL 방식을 사용할 것을 권고하고 있다.

현재 기업호민관실은 금융위, 행안부간 협의를 지속 진행 중이다. 그러나 금융위와 행안부 등 관련기관은 기업호민관실 측 제안에 맞서는 한편 스마트폰 사용을 위한 공인인증서 표준을 별도로 마련한 상태다. 현재의 공인인증서 방식이 다른 방식에 비해 높은 보안성을 가졌다는 이유에서다.

<액티브 엑스 사용에 대한 대안의 제안> 1. ActiveX를 보안과 같이 시스템 레벨에서 사용하는 것은 지양되어야 합니다. 128bit SSL을 비롯한 표준화된 인증 체제, 그리고 암호 발생기 등 다양한 보안 솔루션을 국가적 차원에서 열린 자세로 수용하여, 다양한 플랫폼에서 기 구현되고 검증된 인프라를 활용하도록 하는 것이 바람직합니다. 현재 Internet Explorer는 세계 표준적 보안 기능을 내장하고 있고, 세계 각국의 은행들은 브라우저 내장의 보안 기능을 활용하고 있습니다. 2. 사용자의 다양한 UI 요구 수용을 위한 ActiveX 사용도 상황 별로 분별하는 것이 바람직합니다. ActiveX를 지금과 같이 애플리케이션 레벨에서 사용자 편의를 위해 제공하는 것은 그대로 활용하실 수 있습니다. 그러나 일반 웹사이트 및 솔루션 벤더를 위한 마이크로소프트의 제안은 잠재적 보안 위험 요소로 구분되고 있는 ActiveX 대신, .NET Frameworks 3.0에 근거한 WPF 및 WPF/E와 같은 안전한 프레젠테이션 솔루션을 활용하여 사용자 체험을 강화하는 것입니다. 또 만약 구축하려는 사이트가 일반 사용자용인 경우는 되도록 웹의 권고안을 준수하여 멀티 플랫폼 멀티 브라우저용으로 만드는 것을 마이크로소프트는 추천하고 있습니다. (출처: 마이크로소프트)

임혜정기자 heather@inews24.com