- 전문가들, 한국형 공인인증 문제..법으로 사후관리 의무화 지적도
[이데일리 김현아 기자] 인터넷뱅킹 등에 쓰이는 공인인증서의 PC프로그램에서 보안 취약점이 발견돼 불안이 커지고 있다. 국민은 인터넷뱅킹을 할 때 공인인증서를 쓰기만 하면 안전하다고 생각할 수 있지만, 소프트포럼(054920)사가 은행에 납품한 ‘제큐어웹 엑티브엑스’에서 취약점이 발견된 것이다. 또한 공인인증서와 직접적인 관련은 없지만 금융권이 인터넷뱅킹 시 키보드 보안 프로그램으로 보급한 ‘엔프로텍트’역시 최근 취약점이 발견돼 우려가 증폭되고 있다.
한국인터넷진흥원(KISA)은 지난달 5일 홈페이지 보안공지를 통해 제큐어웹 7.2.6.5 및 이전버전 사용자는 해커가 특수하게 제작한 웹페이지를 방문할 경우 악성코드에 감염되니 쓰고 있는 버전을 삭제하고 업데이트를 하라고 밝혔다. 업데이트를 하지 않으면 악성코드에 감염돼 개인의 금융정보가 유출되거나 다른 컴퓨터를 공격하는 좀비PC로 악용될 수 있다는 것이다.
지난달 4일에는 은행, 증권사 등에서 보안 목적으로 배포되는 엔프로텍트(nProtect Netizen v5.5)에서 외부 공격에 의해 원격코드가 실행되는 취약점이 발견됐다며, 취약점이 없는 버전으로 재설치하라고 권고했다.
|
공인인증서 폐지운동을 벌이고 있는 김기창 고려대 법학전문대학원 교수는 “제큐어웹과 엔프로텍트 보안 플러그인을 조치하신분은 신속히 조치하셔야 한다”며 “한국인터넷진흥원의 침해대응센터는 보안취약점이 워낙 많은 공인인증서를 그닥 반기지는 않을 것”이라고 밝혔다.
KISA에 따르면 현재 소프트포럼에서 해당 버전의 소프트웨어를 업그레이드하면서 큰 사고는 발생하지 않은 것으로 전해졌다. 그러나 6월 5일 이전에 공인인증서로 인터넷뱅킹을 한 뒤 지금까지 한 번도 하지 않은 PC사용자는 여전히 보안 위협에 노출돼 있다.
KISA나 미래창조과학부가 별도의 보도자료를 내지 않고, 홈페이지 자료실 보안공지를 통해 소극적으로 홍보한 데 따른 비판도 제기된다.
전응휘 오픈넷 이사장은 “KISA에서 보도자료도 아닌 홈페이지 보안공지 정도로 은근슬쩍 넘어갈 문제가 아니다”라면서 “우리나라의 공인인증체계는 국제기준과 다른 독자 방식이어서 필요할 때마다 제큐어웹 같은 사설 업체의 프로그램을 다운 받아야 하기 때문에 위험할 수 밖에 없다”고 비판했다.
KISA 관계자는 “관련 법(전자서명법)의 테두리에서 보면 사설업체가 제공한 전자서명 관련 소프트웨어의 취약점을 문제 삼아 업데이트를 지시하거나 국민에게 경고 메시지를 주는데 한계가 있다”고 해명했다. 소프트포럼 제큐어웹의 경우 해당 회사가 금융권에 납품했는데, 사후관리까지 정부가 나서기는 어렵다는 의미다.
그러나 금융거래의 필수품인 공인인증서의 특성상 보안 취약성이 발견되면 정부가 속히 국민에게 알리고 해당 기업이 조치할 수 있도록 강제하는 법·제도가 마련돼야 한다는 지적이 많다.