공인인증서에 대해서 그래도 그게 보안에 큰 역할을 하므로 약간 불편해도 공인인증서 쓰는 게 안전하다고 생각하는 일반인들이 많다. 사실대로 말하면 공인인증서가 그냥 외국 경우처럼 아이디 패스워드만 쓰는 것보다 더 안전한 게 아니다. 최대한 쉽게 살펴보자.
내가 내 아이디와 패스워드로 내 은행에 접속했다. 지금 내 돈은 은행에서 보관하고 있다. 은행은 보관하는 대가로 각종 수수료 이외에 기본적으로 내 돈에서 나오는 자금 유용성에 따른 이자의 일부분을 가져간다. 내가 지금 은행에 있는 내 돈을 다른 은행으로 보내려고 한다. 나는 은행에 일정 보안 절차를 거친 후에 내 계좌에 접근했고, 그리고 그 돈을 다른 데로 보내면 된다. 그 명령의 진위 확인을 마지막으로 한 번 더 한다. 그래서 난 그냥 내 비밀번호만 눌러주면 된다. 그럼 은행은 ‘나’임을 다시 확인했으니 내 명령대로 그걸 수행하면 끝이다. 그래서 아이디와 패스워드에 대한 관리를 은행에서 다 맡고 책임진다. 아이디 해킹에 대해서도 은행이 최선을 다해서 막아야만 한다. 그렇지 않으면 은행의 신용도가 떨어지니까.
공인인증서는 국가 공인기관에서 만들었다. 그곳에선 내 아이디와 패스워드를 보관만 해준다. 그리고 그걸 금융기관에 보내준다. 금융기관은 내가 내 은행에 접속할 적에 공인인증기관에서 보낸 리스트와 내 요구가 부합되는지 확인만 하고 접속을 허락해준다. 그래서 내가 은행에 접속한 후에 다른 곳에 ‘내 돈’을 보낼 적에 다시 내가 가진 공인인증서로 확인을 한 번 더 한다. 공인인증서는 내 컴퓨터나 내 휴대전화 내 USB에 존재한다. 은행에선 관리 안 해준다.
그래서 공인인증서는 내가 관리하고 보관하고 털리지 않도록 조심해야 하고, 만약 털렸을 땐 내가 다 책임을 지게 된다. 그리고 일 년에 한 번씩 내가 갱신해야 한다. 은행은 여기에 대해서 일체 책임을 지지 않는다. 은행은 공인인증서 만들어주는 기관에 일정액만 내면 된다. 고객의 아이디와 결재암호에 대해서 크게 고민 안 해도 된다. 기본 보안만 해주면 된다. 그래서 편하다. 게다가 외국에서 국내금융기관에 들어올 기회를 줄여버리니 해킹에 대해서도 더 안전한 느낌이 든다. 그러니 뭐하러 이 편한 시스템을 버려야 하나.
여기에 액티브 X가 들어오면 더 복잡해진다.
은행 접속 보안에 따른 소프트웨어도 고객인 내가 다 깔아야 한다. 은행은 액티브 X를 깔지 않으면 접속을 막으면 그뿐이다. 그래서 고객인 내가 보안프로그램도 다 알아서 깔고 내 컴퓨터가 더러워져야만 은행에 접속할 수 있다. 그러나 액티브 X는 안전한 보안솔루션이 아니다. 제작사인 마이크로소프트사는 이미 몇 년 전에 ‘우린 더는 관리 안 해. 안 만들어.’ 선언을 해버렸다. 그래서 이후 액티브 X 보안 관리는 영세소프트웨어 업체들이 수리해가며 쓰는 실정이다. 그래서 보안이 안전하지 않다. 더 나쁘다. 그런데 여전히 우리나라는 거기에 의존하고 있다.
이 정도 정리를 했다면 왜 이게 심각한 문제인가, 조금은 쉽게 이해가 될지 모르겠다. 정답은? 없애는 게 정답이다. 타협안 필요 없다. 그냥 깨끗이 없애는 게 유일한 솔루션이다. 수수료니 뭐니 다 핑계고 구실이고 그냥 없애버리면 되는 거다. 왜 안 없애냐고? 당신이 은행장이면 없애고 싶겠는가? 그게 정답이다.
원문: 이주한의 페이스북