공인인증서 `암호토큰` 도입 추진…해킹 원천봉쇄

　인터넷뱅킹 등에 사용하는 공인인증서의 해킹 사고를 막기 위해 이를 별도의 하드웨어에 저장해 오프라인 상에서 배포하는 방안이 추진된다.

　정보통신부는 인터넷을 통해 공인인증서를 내려받아 PC 등에 저장해 사용하는 기존 방식은 해킹 위험성이 있다고 보고 공인인증서를 암호화된 하드웨어에 저장해 배포하는 ‘공인인증서 관리체계 개선안’을 마련해 금융결제원 및 공인인증기관과 협의에 들어갔다.

　이는 기존 공인인증서 체계를 획기적으로 바꾸는 것으로 이 방안이 구체화되면 공인인증서 유출을 기술적으로 원천봉쇄할 수 있다. 하지만 ‘암호토큰(HSM:Hardware Security Module)’으로 불리는 전용 하드웨어 제조 및 배포에 따른 비용 부담 문제와 함께 사용자의 반발이 우려되는 등 향후 추진 과정에서 적지 않은 진통이 예상된다.

　◇왜 암호토큰인가=보안 전문가들은 공인인증서를 사용자가 PC에 저장하는 것 자체가 보안성을 위협하는 요소라고 지적한다. 안티 바이러스 솔루션이나 개인 방화벽 등의 보안이 미약한 PC에 공인인증서를 보관할 경우 해킹에 의한 유출 우려가 크기 때문이다. 또 다른 사람이 PC를 사용할 경우 공인인증서를 손쉽게 불러올 수 있어 도용 우려가 크다.

　이에 따라 PC가 아닌 별도의 저장 매체가 새로운 대안으로 떠오르고 있다. 암호토큰은 자체 운용체계와 소프트웨어를 탑재해 높은 수준의 키 관리기법을 제공, PC해킹으로 인한 인증서 유출을 막을 수 있는 강력한 보안 수단으로 주목받고 있다.

　정통부는 이달 말까지 한국정보보호진흥원과 함께 ‘암호토큰 도입에 따른 제도개선 사항’을 검토하고 올해 말까지 공인인증기관별 기술 및 관리적 개선사항을 도출해 이를 적용할 예정이다.

　정통부 관계자는 “KISA와 인증기관, 정통부 공무원으로 구성된 공인인증서 관리체계 개선 TF를 구성하고 관련 사안을 논의 중”이라고 밝혔다.

　◇걸림돌 산재=암호토큰 도입은 보안성 강화 측면에서는 환영할 일이지만 새로운 매체 등장으로 공인인증서 이용자의 적잖은 혼란을 초래할 수 있는 등 활성화에 걸림돌이 흩어져 있다. 따라서 은행, 사용자, 정보인증 업계 등의 여론을 충분히 수렴하는 정책적인 배려와 세심한 준비 과정이 필요하다는 지적이다.

　무엇보다 사용자의 반발에 대한 정책적인 접근이 필요하다. PC에 인증서를 저장했던 사용자들은 새로운 인증서 관리 방법을 배워야 하고 거래할 때마다 암호토큰을 구동해야 하는 불편을 감수해야한다.

　또 암호토큰 발급 비용이 은행 거래 수수료 등에 부가될 가능성이 커 경제적 부담이 가중될 전망이다.

　김재중 한국정보인증 팀장은 “공인인증서조차 무료로 발급되는 상황에서 공인인증기관들이 암호토큰에 투자하는 것은 쉽지 않은 상황이며 사용자들에게 비용을 전가할 경우 누가 암호토큰을 쓸지 의문”이라면서 “1000만 전자서명 인구가 불편하지 않게 인증서를 사용할 수 있는 정책적 배려가 요구된다”고 말했다.

　또 공인인증기관들은 상호 연동 문제도 해결해야 할 과제라고 입을 모으고 있다.

　하광필 코스콤 팀장은 “암호토큰에 대한 표준이 마련되지 않은 상태에서 기관별로 서비스를 할 경우 공인인증서 상호 연동 문제가 또다시 제기될 것”이라며 “새로운 인프라를 도입하는 정책에 사용자 혼란을 최소화하는 데 중점을 둬야 한다”고 말했다.

　 김인순기자@전자신문, insoon@