공인인증서가 생긴 배경과 그 위험성
공인인증서가 생긴 배경과 그 위험성은?
위 내용을 조사하면서 느낀 점
디지털 서명의 일종인 공인인증서, 먼저 공인인증서의 원리를 이해하고자 했다.
- 공인 인증 기관으로부터 본인 인증하기 위해 사용자의 인증서 파일(.der)과 개인키(.key)를 사용한다.
- 개인키는 사용자가 필요시 다시 복호화하여 사용하도록 대칭키 알고리즘을 이용한다.
- 대칭키 알고리즘에 사용하는 암호화 키는 공인인증서 비밀번호이다.
- 이 비밀번호는 해쉬 함수를 사용해서 얻은 출력값으로 암호화 키가 된다.
- Salt라는 방식을 통해 공인인증서 갱신시 동일한 비밀번호라고 하더라도 암호화 키는 변경이 된다.
만약 공인 인증서가 담겨있는 USB가 유출될 경우, 비밀번호를 바꾸는 것만으로는 아무런 소용이 없다. 분실한 기기에 저장된 패스워드는 변경되지 않기 때문이다. 그러므로 유출될 경우 인증기관을 통해 인증서를 폐기해야 한다.
이런 공인 인증서를 왜 쓰고 있는 것일까? 1999년 전자서명법으로 인해 생겨난 것인데 쉽게 설명하자면 당시 한계가 있는 인터넷 환경에서 인터넷뱅킹과 전자상거래를 할 수 있도록 하기 위해 만들어 진 것이다. 1995년에 SSL 기술이 있었지만 미 정부 정책으로 인해 적용하기 힘들었다. 그 결과 ActiveX를 활용한 공인인증서가 대한민국 인터넷 상 금융거래의 주류가 되었다.
덕분에 전자상거래 업계는 급성장을 이루었지만 이후에 나타날 보안 문제는 예상하지 못했던게 아닐까 싶다. 아니면 일부러 생각하지 않았던 것일 수 있다. 은행은 위험한 사용자인지 본인인증으로 구분이 가능하지만, 반대로 사용자가 본인 인증을 직접해야 하기에 해당 웹사이트가 진짜 금융 사이트인지 피싱 사이트인지 알 수 없다. 이런 사항을 갖고 있기에 은행은 책임에서 한걸음 물러나 있을 수 있었다.
ActiveX와 마찬가지로 기술과 책임의 이슈를 가진다. 이미 익숙한 공인인증서 기술에서 새로 투자해 다른 기술을 접목할 생각을 하지 않았다. 게다가 공인인증서라는 보안에 신경을 썼기 때문에 책임에서 벗어나려는 금융업계 문제도 가지고 있다. 이런 이유로 해외에서 전자상거래를 원하는 사용자는 공인인증서라는 벽을 만나 결국 거래 진행을 못하고 국내 전자상거래는 정체를 겪게 된다. 기술 부채를 안게 된 것이다.
과거에 실수가 운이 좋게 시장을 키워줬지만 사용자의 신뢰는 잃었다. 하지만 이를 발판으로 새로운 기술의 필요성을 느끼고 국내 스타트업부터 대기업까지 공인인증서 외 거래를 할 수 있는 방법을 출시하고 있다. 주류를 금방 바꾸는 것은 힘들지만 지금은 모두가 공인인증서에 문제가 있음을 인식하고 있다. 대통령도 그런 의지를 표현했지만 아직 부족하다고 외치는 사람이 많다. 이 이상 후퇴하지 않은 것만으로도 다행으로 여기고 이런 의지에 맞춰서 다시 사용자에게 신뢰를 얻을 수 있기를 바란다. 그리고 반드시 그렇게 될 것이다.
[참고한 자료]