여러번 말씀드렸지만 아직 잘 전달이 되지 않은 것 같아서 다시 적어봅니다.

저의 공인인증서 암호가 “my3love” 라고 합시다.

은행 사이트에 접속해 있는 동안에는 키보드보안 프로그램이 강제로 작동되지요. 설사 제 컴퓨터에 키로거(키값 가로채기 프로그램)가 몰래 설치되어 있더라도(이미 제 컴퓨터는 뚫린 상태입니다; 공격자가 키로거를 제 컴퓨터에 몰래 설치할 지경이니 다른 무슨 짓인들 하지 않겠습니까?), 즉 제 컴퓨터가 거덜이 난 상태에서도 은행거래 중에는 공인인증서 암호를 키보드로 입력해도 공격자가 그 값을 쉽게 가로챌 수는 없습니다.

그러나 제가 은행거래만 하는 것은 아니지요.

구글메일, 다음, 네이버, Gmarket, twitter, facebook, skype, msn … 10여개가 넘는 여러 로그인 사이트에 일일이 다른 암호를 정하고 그것을 다 기억할 능력이 저에게는 없습니다. 인증서 암호를 다른 어떤 로그인 암호와도 다르게 별도로 정해서 사용하는 엄청 똑똑한 이용자도 있겠지만(super clever user라고 합시다), 저는 그렇지 못합니다. 저만 그렇게 못하는 것이 아니라 대부분의 일반 이용자들도 그렇게 못합니다. 보안업체가 언제나 들먹이는 “어르신들”이나 컴맹 이용자들은 특히 그렇습니다. 결국 저는 다른 로그인 사이트에서도 my3love 를 입력하게 됩니다.

제 컴퓨터에 키로거를 설치한 공격자는 제가 은행에 접속해 있는 동안만 활동하고, 은행이 설치한 키보드 보안 프로그램이 실행될 때까지 기다렸다가 그것을 뚫어보려고 노력한다고 생각하십니까? 공격자가 무슨 바보입니까? 제가 다른 여러 사이트에 로그인 할때는 키값 가로채기를 점잖케 자제할 신사적인 공격자도 없습니다.

은행이 강제 설치하는 키보드보안 프로그램은 은행에 접속해 있는 동안만 실행되는 반면, 공격자가 내 컴퓨터에 설치한 키로거 프로그램은 상시로 실행됩니다. 누가 이기는지는 뻔하지 않습니까?

키보드보안 프로그램을 설치해야 된다는 이유가 무엇입니까? 일반 고객의 컴퓨터는 믿을 수 없다(이미 뚫렸다)는 것입니다. 키로거가 설치되지 않았다면 키보드보안 프로그램도 필요가 없지요. 하지만 키로거가 설치되었다면 키값만 가로채 가고 말겠습니까? 공인인증서도 당연히 복사해 갑니다. 저장 위치도 정해져 있기 때문에 이용자 컴퓨터 여기 저기를 찾아볼 필요도 없습니다. USB 메모리 스틱에 공인인증서를 저장해 두더라도 은행거래를 위해서 USB를 꽂으면 저의 공인인증서는 공격자도 복사해 가지고 갈 수 있게 됩니다.

공인인증서+키보드보안을 아무리해도 소용이 없는 이유는 여기에 있습니다.

국내 보안업체가 개발/판매하는 키보드보안 프로그램이 저질이라는 것이 아닙니다. 외국의 은행들이 그런 프로그램 설치를 강제하지 않는 이유는 프로그램이 저질이라거나, 외국 보안업체가 키보드보안 프로그램을 만들줄 몰라서가 아닙니다. 아무리 그걸 설치해도 소용이 없기 때문입니다. 인증서 암호를 자신의 다른 여러 암호들과 다르게 정하여 사용하는 super clever user는 극소수에 불과하기 때문입니다.

“인증서 기술”자체가 무용지물이라는 것도 아닙니다. 우리나라와 같이 아무데나 저장/복사 가능한 방법으로 인증서가 운용되는 경우에는 하나마나한 삽질에 불과하다는 것입니다. 인증서를 사용하는 유럽 은행들은 모두 보안토큰에 저장된 인증서(PKCS#11 양식)만을 사용합니다. 보안토큰에 저장된 인증서는 공격자뿐 아니라 어느 누구도 복사해 내올 수가 없습니다. 토큰을 물리적으로 입수하지 않으면 인증서 파일이 유출될 수가 없습니다.

이런 내용을 국내의 보안 전문가들도 다 잘 알고 있습니다. 그분들이 침묵을 지키는 이유는 납득하기 어렵습니다(쉽습니다 ㅠㅠ)

혹자는 이렇게도 말합니다: “금융사고가 터지면 모든 책임을 은행에게 지우기 때문에 은행은 이런 조치라도 취할 수 밖에 없다.” 그러나, 세상 어디에도 금융사고가 터지면 무조건 고객에게 책임을 지우는 나라는 없습니다. 금감원의 지시에 따라 공인인증서+키보드보안을 은행이 아무리 사용하더라도, 사고가 터지면 은행이 책임을 쉽게 면할 방법도 없습니다. 금융감독원이 은행의 배상책임을 면해주지도 않고, 면해줄 수도 없습니다.

공인인증서+키보드보안이 사고를 막을 수는 없습니다. 키보드보안을 정면돌파 하지 않고 “우회”하는 너무 쉬운 방법이 있고, 아무데나 저장가능한 공인인증서를 공격자가 복사해 가는 것을 막을 방법도 없습니다. 그동안 사고를 그럭저럭 막아온 것은 실은 보안카드였다는 점은 금융권 내부에서는 견해가 일치하는 부분입니다.

지난 여러해 동안 그릇된 확신으로 밀어붙여 왔던 공인인증서+키보드보안 “해프닝”은 은행에게도, 고객에게도, 금융감독원에게도 별 도움이 되지 않는 실패작이었음을 인정할 때가 왔습니다.

공인인증서 옹호론자들께서 가장 자주 내세우는 것은 공인인증서는 “부인 방지” 기능이 있다는 주장입니다.

부인 방지(non-repudiation)는 어떤 거래를 자기가 수행했다는 사실을 부인할 수 없게 만든다는 뜻입니다. 즉, 너의 인증서는 너만 가지고 있고(관리하고 있고), 이 거래에는 전자서명이 되어 있는데, 그 전자서명은 너가 관리하는 인증서 없이는 만들 수 없으니, 이 거래는 너가 한것이 맞다라는 논리적 구조를 취합니다.

그러나, 문제는 너의 공인인증서를 “너만 가지고 있다”는 전제가 너무 쉽게 무너진다는 것입니다.

20여년 전 PKI 기술(인증서 제도의 기초가 되는 기술체계)이 처음 고안되었을 시절에는 “해킹”이 오늘날처럼 광범하게 문제될 것으로 상상하지 못했습니다. 그래서, 자기의 인증서(개인키) 파일을 “자기만 가지고 있다”는 상황을 별다른 고려 없이 너무 쉽게 전제하고 부인 방지 기능을 설명했더랬습니다.

이제 사정은 완전히 바뀌었습니다. 아무데나 저장/복제가 가능한 인증서 파일은 이용자의 컴퓨터가 뚫리는 순간 전세계 해커들이 모두 복사해 갈 수 있는 상태가 되어버린 것입니다. “너의 인증서(개인키) 파일을 너만 가지고 있다”는 부인방지의 논리적 대전제가 무너져 내린 것입니다.

실제로 국내의 은행거래에서도, 사고가 터지면 이용자가 보안카드를 어떻게 관리했느냐, 스캔해서 파일로 저장했느냐 등이 관심의 초점입니다. 공인인증서는 공격자가 이미 입수하였을 것이라는 점은 아예 논란도 없이 전제하고 들어가는 내용입니다. 경찰 사이버수사대와 은행이 모두 이점을 인정합니다. 따라서 공인인증서가 “부인방지” 역할을 한다는 주장은 실제로는 물론이고 논리적으로도 아예 내세울 상황도 못됩니다. 이용자의 공인인증서를 “이용자만이 가지고 있다”는 대전제가 충족되지 않기 때문입니다.

바로 이런 문제 때문에 보안토큰(Cryptographic Token) 기술이 나온 것입니다. PKCS#11 방식으로 보안토큰에 저장된 인증서는 공격자는 물론이고 누구도 복사 해내올(빼내 올) 수가 없습니다. 물리적으로 보안토큰을 입수하지 않으면, 인증서를 입수할 방법이 없습니다. 따라서 보안토큰에 저장된 PKCS#11 인증서는 부인 방지 기능을 실제로도 가질 수 있습니다.

1999년에 전자서명법을 제정할 때에는 PKCS#11 기술이 이미 널리 알려져 있었습니다(PKCS#11 version 1.0은 1995에 공개되었습니다). 외국의 보안 전문가들은 더 이상 아무데나 저장/복사 가능한 인증서를 믿지 않는 상황이었습니다. 그런데 국내에서는 무조건 “공인인증서 1000만장 돌파”라는 업적을 올리는데 급급한 나머지 보안토큰을 외면하는 “황당한 결정”을 해 버렸던 것입니다. 보안토큰은 비용이 만만찮기 때문에 이용자들에게 이것을 구입하라고 요구하면 “1000만장 돌파”는 어렵다는 이유지요. 무료로 하드디스크나 USB에 그냥 마구 저장할 수 있는 인증서를 발급해야 1000만장 돌파가 가능하다는 얕은 계산을 한 것이지요.

그래서 아무나 무단 복제가 가능한 공인인증서를 이제는 1000만장 이상 발급했고, 국내의 보안업체와 금융감독원은 20년전의 “순진한” 부인방지 “이론”만을 천진난만하게 내세우면서 실제로는 부인방지 효력도 없는 복제가능 공인인증서 사용을 강제하는데 골몰하고 있는 딱한 지경입니다.

이것이 한국 전자금융 보안의 현 주소입니다.

앞에서 계속

공인인증서 저장/복사

국내의 공인인증서(개인 인증서)는 흔히 하드디스크나 USB저장장치에 그냥 저장됩니다. 그 위치는 C:\Program Files\NPKI 폴더이거나(윈도우 OS의 경우), USB 드라이브 내의 NPKI 폴더 입니다.

하드디스크에 공인인증서를 저장하신 분은 “내 컴퓨터” –> “Program Files” –> “NPKI” –> “yessign” –> “User” 폴더를 가보시면 확인하실 수 있습니다(은행을 통하여 발급받은 경우). 동영상

이런 방식으로 저장된 인증서는 아무나 그냥 복사해 갈 수 있습니다. 물론, 비밀번호를 모르면 사용할 수는 없습니다. 은행이 기를 쓰고 키보드보안 프로그램 설치를 강제하는 이유는 바로 공인인증서가 이렇게 쉽게 “유통”될 수 있기 때문입니다. 하지만, 인증서 비밀번호를 다른 여러 계정의 비밀번호와는 다르게 특별하게 정하여 사용하는 분은 많지 않고, 다른 여러 사이트에서 입력하는 비밀번호는 무방비 상태로 노출될 위험이 큰데, 이 비밀번호와 인증서 비밀번호가 같은 경우가 대부분이므로 공인인증서 비밀번호는 은행이 아무리 키보드보안에 혈안이 되어 있어도 의외로 쉽게 유출됩니다.

제가 이렇게 말씀드리자, 보안업체에 근무하는 어느 분께서는 “패스워드를 그 따위로 쓰는 사람을 허용하라고요? 패스워드는 제가 아는 몇가지의 조합을 바꿔 가면서 3~4가지 씁니다. 잊어 버려도 2~3번 해보면 됩니다. 그리고 가능하면 9자 이상으로 길게 쓰시기 바랍니다”라는 “해법”을 주셨습니다. 하지만 모든 이용자가 보안전문가 처럼 패스워드를 이렇게 세네 가지씩 다르게 써야 비로소 효과가 있는 국내의 보안솔루션은 이용자 수준을 너무 과대 평가하는 것입니다.

국내 보안업계는 한편으로는 컴맹 어르신을 전제해야 하기 때문에 무조건 액티브액스로 “편하게” 해야 한다고 주장하다가, 다른 한편으로는 이렇게 복잡하게 비밀번호를 3-4 가지 쓰라고 주문하는 모순에 빠져있습니다.

더 우스운 것은 “공인인증서 복사” 기능입니다. 하드디스크에 있는 공인인증서를 USB로 복사하거나, USB에 저장된 인증서를 하드디스크에 복사할 때 사용하라는 인증서 관리 기능입니다. 이 기능을 사용하면 인증서 암호를 입력하라는 창이 뜹니다.

인증서 복사를 위해서 인증서 암호를 입력하라는 화면

인증서 암호를 모르면 공인인증서를 복사해 갈 수 없으니 안전하겠구나 하고 생각할 이용자가 많을 것입니다. 그러나 국내의 공인인증서는 암호가 필요 없이 그냥 파일을 긁어서 copy+paste 하면 복사되는 방식으로 발급되어 있기 때문에, 암호를 입력하라는 것은 순전히 “쇼”에 불과합니다.

인증서를 이런식으로 아무데나 마구 저장하는 사례도 세계에 유례가 없을 뿐 아니라, 이용자들에게 사기도 아니고 농담도 아닌 “암호입력 쇼”를 하는 것은 상식을 벗어난 처사입니다. 인증서는 웹브라우저 내부에 소프트웨어적으로 구현되어 있는 인증서 저장장치에 저장하거나(builtin object token 등), 하드웨어적으로 구현된 보안 토큰에 특수한 방법(PKCS#11)으로 저장하는 것입니다.

“인증서 복사”라는 개념은 한국에만 있는 황당한 개념입니다. 실제로는 그냥 copy+paste 하면 복사되도록 인증서를 발급해 준 다음, 이 사실을 모르는 이용자들에게 인증서를 복사하려면 인증서 암호를 입력하라고 요구하는 것은 자기 컴퓨터의 하드디스크 폴더가 무엇인지도 모르는 모르는 컴맹 이용자들을 상대로 공인인증서가 함부로 복사 안되도록 안전하게 설치되어 있는 것처럼 뻥을 치거나 이용자에게 타자 연습을 시켜보겠다는 것 외에 도대체 무슨 “생각”이 있어서 그런 것인지 이해할 수가 없습니다.

해커들이 한국 공인인증서를 우습게 보는 이유는 여기에 있습니다. 한국 전자금융 보안은 공인인증서에 목을 메고 있고, 공인인증서는 한마디로 코메디 수준으로 운용되고 있습니다.

국내 보안업체들은 한편으로는 이용자 PC가 모두 뚫린 것으로 전제해야 한다고 주장하다가, 다른 한편으로는 공인인증서는 이용자 PC가 뚫리지 않으면 함부로 복제되지 않으니 믿을 수 있다고 주장하는 자기 모순으로 일관하고 있습니다.

그리고 금융감독원은 “뭐가 뭔지는 모르지만 어쨋건 강제해두면 안전하지 않을까”라는 입장 인듯. 좀 안습.

국내의 공인인증서가 황당한 이유는 더 있습니다.
[계속됩니다]

[think.pe.kr 운영자분은 이제라도 해당 파일을 내리시기 바랍니다. 많은 공격자들은 이미 조용히 내려받아 갔겠지만...]

“IT 강국” 한국의 전자금융 보안 기술 및 정책의 실상입니다 — 믿을만 한지는 여러분께서 판단하시기를

1. 공인인증서 “쇼를 하라!”

공인인증서 “암호입력 쇼“는 구수한 유머 감각으로 국내 이용자들에게 타자 연습 기회를 제공합니다. 프로그램을 짜신 분은 분명히 그 내막을 알고 있을 것도 같은데… 정말 왜 그러시는지는 잘 모르겠습니다.

국제 시장에 진출하시면 대박을 터트릴지도…

2. two-factor 인증 “쇼를 하라!”

Two-factor 인증은 식지(識知)수단, 즉 알고 있는 것(자신만이 아는 비밀번호)과 소지(所持)수단, 즉 가지고 있는 것(자신만이 가지고 있는 인증서, OTP생성기, 보안카드 등)을 두가지 모두 사용하여 본인 확인을 하는 것을 말합니다. 두가지 접근 수단 중 어느 하나가 뚫리더라도, 다른 하나가 유출되지 않으면 안전합니다.

인증서를 사용한 인증이 two-factor 인증의 대표적 경우라고 흔히 설명합니다. 인증서 암호는 식지 수단(knowledge-based means of access)이고, 인증서 파일 자체는 소지 수단(possession-based means of access)이라는 것이지요.

그러나 이 설명은 중요한 전제가 충족되어야 합니다. 인증서 파일을 “해당 이용자만이 소지하는 상황”이 합리적 수준에서 보장되어야 합니다. 보안토큰에 설치된 인증서는 공격자가 복제해 갈 수 없으므로 이 요건을 충족합니다.

그러나 국내의 공인인증서는 아무나 마구 복제 가능하기 때문에 소지 수단으로 인정받기 어렵습니다. 따라서 인증서 암호(식지 수단)만이 사실상 거의 유일한 관문입니다. 국내 보안업계가 키보드보안에 올인하는 이유도 여기 있습니다. 키보드보안은 식지수단(암호)의 유출을 막아 보자는 것일 뿐이고, 소지수단(인증서 파일)의 유출은 이미 기정사실화하는 것입니다. 은행 접속 중에만 잠시 작동하고 꺼지는 방화벽 따위의 보안프로그램으로 인증서 파일(소지수단)의 유출을 막을 수 없다는 점은 보안업계 스스로 인정합니다.

키보드보안에 필사적으로 매달린다는 사실 자체가, 국내용 공인인증서를 이용한 인증은 무늬만 two-factor 인증일 뿐, 사실상은 식지수단(암호)에만 의존한 single-factor 인증이라는 점을 반증합니다.

아! 참, 이용자의 컴퓨터가 완벽하게 안전하면, 국내용 공인인증서를 이용한 인증도 two-factor 인증이 됩니다. 이용자 외에는 아무도 그 파일에 접근 못하니까요. 하지만 보안업체가 항상 주장하는 것이 이용자의 컴퓨터는 이미 뚫린 것으로 전제해야 한다는 것이므로, 업체 스스로의 주장에 의하더라도, 국내용 공인인증서는 two-factor 인증을 제공하지 못합니다.

“Two-factor 인증 쇼”일 뿐입니다.

[이용자 컴퓨터가 뚫리지 않은 상태라면 키보드보안 프로그램은 아예 필요 없습니다. 키로거(key-logger)가 이미 몰래 설치되어있는 상태라고 전제하니까 키보드보안이 필요하다고 난리를 치는 것이지요. 키로거가 설치될 지경이면 인증서 파일은 이미 내것이 아닌 상태입니다 - 하드에 저장되어 있건, USB에 저장되어 있건]

3. 키보드보안 “쇼를 하라!”

키보드보안 프로그램을 정면 돌파하려는 공격자는 없고, 그럴 필요도 없습니다. 은행 외의 여러 사이트에서(이때는 키보드보안이 물론 작동하지 않습니다) 이용자가 입력하는 비밀번호는 공인인증서 비밀번호와 일치하는 경우가 대부분입니다.

보안 업계에 근무하는 어떤 분은 “패스워드는 몇가지의 조합을 바꿔 가면서 3~4가지 써야 한다”고 주문하십니다. 즉, 인증서 암호를 다른 여러 계정 암호와 같게 해두면 키보드 보안 프로그램은 무용지물이라는 점을 스스로 인정하십니다. 보안전문가처럼 패스워드를 서너개씩 바꾸어가며 인터넷을 이용하는 분이 몇 %되는지는 모르겠으나, 그렇게 똑똑하지 못한 대부분의 보통 이용자들에게 키보드 보안은 쇼에 불과합니다.

계좌이체 비밀번호 4자리를 보호하는 기능은, 스크린 키패드를 사용하거나, 계좌이체 비밀번호 대신에 금융 PIN 6자리 중 매번 random 하게 세자리를 입력하도록 요구하는 방법(외국의 여러 은행들이 사용하는 방법)을 채택하면 됩니다.

키보드보안 프로그램 설치를 강제하는 외국의 은행은 없습니다. 그 은행들이 모두 바보라서 그렇다고 생각하시나요? 외국은 인터넷 뱅킹이 한국 만큼 활발하지 않아서? 외국은 해킹이 한국만큼 극심하지 않아서? 외국은 IT 강국이 아니라서? 외국은 사고가 터지면 은행이 무조건 오리발 내밀고 고객이 다 뒤집어 쓰기 때문에? ㅎㅎㅎ

키보드보안 프로그램을 기필코 팔기 위한 영업 사원의 왕성하고 집요하고 터무니 없는 상상력은 감탄할만 합니다.

4. 안티바이러스 프로그램 “쇼를 하라!”

은행 접속 중에만 잠시 켜졌다 꺼지고 마는 독특하고 괴상한 “보안” 프로그램을 강제 설치하기 위해서, 이용자가 자기 컴퓨터를 보호하려고 스스로 설치한 본격 안티바이러스 프로그램(상시 작동)의 “실시간 감시 기능을 끄라”고 안내 합니다.

국내 은행은 이용자가 스스로 설치한 본격 안티바이러스 프로그램을 무력화 시키라고 안내합니다.

외국에서 이런 일이 벌어졌다면 소송 당하기 딱이지요. 그저 모르는게 약…

5. 웹페이지 소스 보안 “쇼를 하라!”

국내 은행들 중에는 이른바 “웹페이지 소스 보호”를 한답시고 마우스 오른쪽 클릭이 안되게 해 둔 곳이 꽤 있습니다. 심지어 ‘국가정보원 IT보안인증 사무국’ 홈페이지도 그렇게 해 두고 있습니다.

마우스 오른쪽 클릭을 못하게 해두면 웹페이지 소스를 못열어 볼 것이라고 생각하는 수준의 인력은 컴맹 이용자들과는 대화가 통하는 분이긴 하겠지만, 한마디로 부끄러운 수준의 인력입니다. 이런 페이지를 납품 받아 걸어두고 있는 은행이나 그런 페이지를 설계한 분들이나…

웹페이지 소스를 이용자가 접근할 수 없게 하면서 페이지를 모니터 화면에 나타나게 할 수 있다면 그것은 기술이 아니라 기적입니다.

6. 보안접속 “쇼를 하라!”

1990년대에는 미국 외에서 사용되는 웹브라우저의 보안접속 능력이 현저히 낮았기 때문에(40bit), 별도의 보안접속 프로그램이 필요했습니다. 그래서 그 당시 국내/국외 업체들은 모두 128bit 보안접속 별도 플러그인/프로그램을 개발하였습니다. 그러나 2000년 2월 부터는 전세계에서 사용되는 웹브라우저 자체가 128bit 보안접속 기능을 구비하였으므로 별도의 보안접속 프로그램은 더 이상 필요 없는 상품이 되었습니다. 외국 보안 업계는 그때부터 보안접속 플러그인 사업을 모두 접었습니다.

하지만 국내에서는 아직도 보안접속용 별도 플러그인 장사를 계속하고 있습니다. 보안 기술 지식이 전혀 없는 국내 고객(은행 등 각종 서비스 제공자)들에게 왕창 바가지를 씌우는 것입니다 (”128bit 보안접속 플러그인 해프닝” 참조.) 주요 웹브라우저는 현재 256bit 보안접속을 기본으로 제공합니다.

“IT강국 한국산 보안접속 플러그인” 외국에 좀 파실 수 없나요? 제발 수출해 버렸으면 좋겠습니다.

7. SSL 취약점 발견, “쇼를 하라!”

국내에서는 이른바 “SSL 취약론”이라는 것을 주기적으로 내세우는 분들이 계십니다. 보안 기술 칸퍼런스 같은 행사에 사람들을 불러놓고 https 보안접속의 취약점을 공략하는 방법을 실제로 보여 주신다면서 “시연”하는 형태로 SSL 취약론이 제기되는데, 이런 행사가 있을때 마다, 국내의 “보안 매체”라는 곳에서는 “SSL 취약점 발견”이라면서 대대적으로 보도합니다.

요컨대, 전세계가 사용하는 https 보안접속은 위험하니까 국내 업체가 판매하는 보안접속 플러그인을 구입하라는 것입니다.

부탁이 있습니다. 국제 칸퍼런스에서 제발 좀 발표해 주십시오. 한국도 한번 IT/보안 기술에서 떠봅시다.

영어가 모자라면 구글 코리아 관계자에게라도 설명해 주십시오. 구글이 그렇게 위험한 https 보안접속으로 전세계 이용자들에게 서비스를 하는 사태를 그냥 한국에서만 알고 있기는 좀 그렇잖습니까? 그리고 전세계의 은행들에게도 좀 알려 주시고요.

사족같지만, 국내 업체가 판매하는 보안접속 플러그인도 실은 SSL 프로토콜(옛날 버전)을 사용합니다. 스크린샷1, 스크린샷2 대략 황당…

8. 대칭/비대칭 암호화 “쇼를 하라!”

얼마전까지 한국의 금융 보안 정책의 총 책임을 맡고 계셨던 금융감독원 김인* 부국장님께서 어떤 학회 발표에서 “확신을 가지고” 다음과 같이 말씀하신 것을 제가 직접 들었습니다:

“웹브라우저가 수행하는 https 보안접속은 대칭 암호화 방식이지만, 공인인증서는 비대칭 암호화 방식을 채택하고 있다. 비대칭 암호화 방식이 대칭 암호화 방식보다 더 안전하므로 공인인증서는 반드시 필요하다”

그러나, 웹브라우저건 국내 업체가 판매하는 별도 플러그인이건 간에, 보안 접속은

1. 공유키를 비대칭 암호화 방식(흔히 RSA 방식)으로 암호화해서 상대방에게 전달하고
2. 이렇게 전달된 공유키를 사용해서 교신 내용을 대칭 암호화 방식(AES, RC4, SEED, ARIA 등)으로 암호화해서 전달하고 복호화해서 해독하는

구조를 취합니다.

국내 기술진이 개발한 SEED 나 ARIA 알고리즘도 대칭 암호화에 사용되는 블록 Cypher 입니다.

요컨대, 보안접속은 모두 비대칭암호화(키교환) 단계 + 대칭암호화(메세지 교환) 단계로 구현됩니다. 국내업체들이 판매하는 플러그인도 다르지 않습니다.

도대체 어느 업체의 영업사원이 행정 공무원에게 저런 헛소리를 해댔는지는 모르겠지만, 지금까지 금융감독원의 보안 정책은 자신도 잘 모르는 보안 기술 내용을 함부로 공개석상에서 “자신있게” 말하는 수준의 공무원이 결정하고 집행해 왔습니다. 그 후임자께서는 좀 달랐으면 합니다.

참고로, 공인인증서는 보안접속 기능을 수행하는 것이 아닙니다. 전자서명법(공인인증서는 이법에 근거한 것입니다)에도 보안접속에 대한 언급은 한마디도 없고, 공인인증제도의 기술적 총책임을 맡고 있는 KISA 에서도 보안접속은 공인인증 제도와는 무관하다는 점을 확인하고 있습니다.

공인인증과 보안접속을 마구 뒤섞고, 대칭/비대칭 암호화 기술이 뭔지 전혀 이해하지도 못한 김인* 전임 부국장님의 발언은, 90년대 후반 (공인인증 제도가 도입되기 전)에 사설인증과 보안접속 기능을 마구 섞은 통합 플러그인을 개발하여 지금까지 팔고 있는 국내 보안업체 영업사원의 황당무계한 sales talk가 그냥 재방송되는 것입니다.

대칭 암호화, 비대칭 암호화, … 아무것도 모르는 청중(고객/공무원) 앞에서 폼 잡고 쇼 하기는 좋은 용어지요…

9. 보안경고창 “쇼를 하라!”

한국 국민들에게 너무나 친숙한 보안경고창!

보안경고창

일본 IT업계에 근무하시는 hirameki 님이 지적하셨듯이, 한국 국민은 이제 파블로프의 개가 되었습니다. 보안경고창이 뜨면 무조건 “예”를 누르도록 훈련받았기 때문입니다. 만일 “아니오”를 누르면 다음과 같은 경고(서비스를 이용할 수 없다)와 권고(예를 누르라)를 받습니다.

행정정보 공동이용 사이트 https://www.share.go.kr/index_ssl_www.html

http://www.hi.co.kr/

우리은행

http://www.signkorea.com/cer_manage/support/check.htm

하나은행: 1288 bit 암호화가 아니라, 128 bit 겠지요

국민카드

한국 국민들은 “보안경고창”이 “보안 프로그램 설치 여부를 묻는 창”이라고 오해하고 있습니다. 보안업체들이 언제나 그렇게 안내해 왔기 때문입니다. 기가 찰 노릇입니다.

http://openweb.or.kr