아이뉴스24 뉴스
아이뉴스24 홈 오피니언 프리미엄 엠톡 콘퍼런스
연예.스포츠 포토.TV 게임 스페셜
뉴스 홈 IT정책 컴퓨팅 통신미디어 과학 글로벌 디지털기기 기업 자동차 금융 유통 경제일반 게임 정치 사회 문화 생활
Home > 뉴스 > 통신
[톱뉴스]
"무선인터넷, 세계 속 고립 막자"
스마트폰 공인인증서 둘러싼 공방 격화
2010.03.14일일 16:22 입력
글자 글자크게 글자작게 인쇄하기 메일보내기 트위터 전송 페이스북 전송 싸이월드공감 링크나우 전송 RSS구독
전자금융거래 시 공인인증서만 사용하도록 의무화한 규정을 완화하자는 목소리가 갈수록 높아지고 있다.

액티브X를 기반으로 한 공인인증서 제도가 무선인터넷 활성화를 가로막고 있다는 것이 그 이유다.

스마트폰에는 액티브X를 설치할 수 없기 때문이다.

◆"무선인터넷, 세계 속 고립 막자"

스마트폰 공인 인증서 폐지 움직임을 주도하고 있는 기업호민관실은 최근 금융위원회, 행정안전부에 공인인증서 사용과 함께 'SSL(Secure Socket Laye)r+OTP(일회용 비밀번호)' 방식을 허용하는 대안을 제안하며 4가지 주요 근거를 내놨다.

스마트폰 확산에 따라 활짝 필 무선인터넷 만큼은 세계 전자상거래 및 인터넷뱅킹 시장에서 고립을 자처해선 안된다는 판단에서다.

호민관실이 제시한 근거는 ▲옥스포드, 캠프리지 대학교 공동논문 ▲해외 인터넷뱅킹 보안현황 조사보고서 ▲바젤은행감독위원회의 전자금융 위험관리 준칙 ▲MS 홈페이지의 액티브X사용 대안 등 4가지다.

4가지 근거는 무엇보다 SSL 방식의 안전성을 뒷받침한다는 게 기업호민관실측 주장이다.

이민화 기업호민관은 "공인인증서를 폐지하자는 게 아니라 각 서비스 제공자들이 합리적으로 서비스를 선택하도록 허용해달라는 것"이라며 "기존 유선인터넷 환경에서는 한국이 세계 속에서 격리된 '갈라파고스'에 만족했다면 무선인터넷 환경에서는 글로벌 스탠더드를 따라야 된다"고 강조했다.

영국 캠브리지대학의 보안공학 교수인 로스 앤더슨, 옥스포드대 허준호 박사 등의 공동논문인 'On the Security of Internet Banking in South Korea'에 따르면 웹 브라우저의 SSL/TLS 접속으로 전환하는 것이 액티브X 플러그 방식보다 더 안전하거나 적어도 동등할 뿐 아니라 피싱 공격 방어도 일부 가능한 것으로 나타났다.

웹브라우저가 제공하는 SSL/TLS 보안접속의 경우 웹브라우저가 알려주는 보안경고가 피싱방어 수단이 될 수 있지만, http 접속으로 수행되는 한국 인터넷뱅킹 기법은 이런 방어책을 전혀 이용할 수 없다.

이 논문은 또 현행 액티브X 플러그인 방식은 안전한 거래 플랫폼을 마련할 수 없으며, 이용자 편의성도 떨어진다고 지적했다. 안티바이러스 플러그인은 최신 악성코드를 감지해내지 못하고 개인방화벽 플러그인도 은행 거래 중에만 작동하는 등 외부 플러그인은 정교한 악성코드 공격을 막는데 한계가 있다는 것.

국내 인터넷뱅킹에 사용되는 플러그인은 그 정확한 스펙이 공개되지 않아 안전성을 투명하게 검증할 수 없다는 것도 지적됐다. 스펙을 공개하지 않으면 초기에는 공격을 늦출 수 있을지 몰라도 결국 취약점이 발견되고 그 다음부터 지속적 공격이 가능해지기 때문.

◆"바젤위원회 원칙에도 반해"

또한 금융보안연구원의 '해외 인터넷뱅킹 보안현황 조사보고서' 역시 세계의 모든 은행들이 SSL 암호화 통신을 지원하고 있으며, 인터넷 익스플로러 이외의 브라우저에 대한 호환성을 제공하고 있다고 밝히고 있다.

여기에 영국, 싱가포르 등 대다수 은행들이 인증매체로서 OTP를 사용함으로써 인터넷 뱅킹 서비스의 보안을 강화하고 있는 것으로 나타났다.

아울러 국제결제은행(BIS) 바젤은행감독위원회의 전자금융 위험관리 준칙에 따르면 감독기구가 특정인증기법만의 사용을 은행에게 강제하는 것은 바젤 위원회의 원칙에 반한다.

바젤 위원회의 전자금융 위험관리 준칙은 "어떤 인증기법을 사용할 것인지는 전자금융 시스템 전반 또는 각 구성 부분이 제기하는 위험에 대한 경영진의 평가에 기초해 은행이 결정해야 한다"고 밝히고 있다.

심지어 마이크로소프트(MS)마저 자사 OS사이트에서 액티브X를 보안 용도로 사용하는 것은 지양돼야 하며, SSL 방식을 사용할 것을 권고하고 있다.

현재 기업호민관실은 금융위, 행안부간 협의를 지속 진행 중이다. 그러나 금융위와 행안부 등 관련기관은 기업호민관실 측 제안에 맞서는 한편 스마트폰 사용을 위한 공인인증서 표준을 별도로 마련한 상태다. 현재의 공인인증서 방식이 다른 방식에 비해 높은 보안성을 가졌다는 이유에서다.

<액티브 엑스 사용에 대한 대안의 제안>

1. ActiveX를 보안과 같이 시스템 레벨에서 사용하는 것은 지양되어야 합니다. 128bit SSL을 비롯한 표준화된 인증 체제, 그리고 암호 발생기 등 다양한 보안 솔루션을 국가적 차원에서 열린 자세로 수용하여, 다양한 플랫폼에서 기 구현되고 검증된 인프라를 활용하도록 하는 것이 바람직합니다. 현재 Internet Explorer는 세계 표준적 보안 기능을 내장하고 있고, 세계 각국의 은행들은 브라우저 내장의 보안 기능을 활용하고 있습니다.

2. 사용자의 다양한 UI 요구 수용을 위한 ActiveX 사용도 상황 별로 분별하는 것이 바람직합니다. ActiveX를 지금과 같이 애플리케이션 레벨에서 사용자 편의를 위해 제공하는 것은 그대로 활용하실 수 있습니다. 그러나 일반 웹사이트 및 솔루션 벤더를 위한 마이크로소프트의 제안은 잠재적 보안 위험 요소로 구분되고 있는 ActiveX 대신, .NET Frameworks 3.0에 근거한 WPF 및 WPF/E와 같은 안전한 프레젠테이션 솔루션을 활용하여 사용자 체험을 강화하는 것입니다. 또 만약 구축하려는 사이트가 일반 사용자용인 경우는 되도록 웹의 권고안을 준수하여 멀티 플랫폼 멀티 브라우저용으로 만드는 것을 마이크로소프트는 추천하고 있습니다.

(출처: 마이크로소프트)



임혜정기자 heather@inews24.com
주요기사

    TODAY 조이뉴스24

 
관련기사
추천   0 댓글쓰기 뉴스정정요청 트위터 전송 페이스북 전송 싸이월드공감 링크나우 전송 RSS구독
IT는 아이뉴스24, 연예ㆍ스포츠는 조이뉴스24(Copyright ⓒ 아이뉴스24. 무단전재 및 재배포 금지)
IT정책 컴퓨팅 통신·미디어 과학 글로벌 디지털기기 기업 자동차 금융 유통 경제일반 게임 정치 사회 문화 생활

아래는 소셜댓글 티토크 영역입니다. 2013년 4월까지 작성된 댓글이 표시됩니다.

오늘의 주요 뉴스 l IT/시사 l 연예/스포츠 l 엠톡 l 게임 l 오피니언
통신·미디어 최신뉴스
인스웨이브, 식품의약품안전처에 UI 도구 공급
합병 앞두고 다음-카카오 직원은 '뒤숭숭'
구글, 360도 촬영하는 카메라앱 공개
'가입자 1천만 시대' IPTV 성장 방향은?

가장 많이 본 뉴스
IT 시사 문화 연예 스포츠 게임 칼럼

칼럼/연재
[김석기]실리콘 밸리 냅킨 투자의 환..
[최용재]명량, 교황, 그리고 韓 축구..
[영단어 어원과 유래]공작의 날개를..
[장유미] 식품업체, 상처 난 소비자 마..
[김석기]우버와 한국택시의 딜레마
프리미엄/정보
[통계뉴스]2014년 디지털 월릿 시장..

오늘 내가 읽은 뉴스

 
2014 07 PM의 정석 교육접수
모바일웹 리뉴얼