사상 최대 공인인증서 유출 사건이 발생했다.
개인 정보 유출에 국민적 불안이 심각한 가운데 최근 일주일간 공인인증서 6947건이 해커 손에 넘어간 것으로 드러났다. 인터넷 뱅킹 보안에 치명적 위협이 될 수 있어 대책 마련이 시급하다는 지적이다.
8일 빛스캔(대표 문일준)은 4월 25일부터 5월 2일까지 6947건에 달하는 공인인증서 탈취 사건이 발생했다고 밝혔다. 빛스캔은 한국인터넷진흥원(KISA)에 관련 내용을 전달했다. 공인인증기관은 가입자에게 유출 사실을 알리고 폐기 조치를 취했다.
한국은행에 따르면 지난해 공인인증서 유출사고는 7633건이다. 올해에는 상반기가 지나기도 전에 지난해 피해 건수에 육박하는 사고가 발생하면서 공인인증서 보안 허점이 다시 부각됐다.
공격자는 보안에 취약한 웹사이트를 악성코드 유포지로 활용했다. 이들 사이트에 방문만 해도 PC가 악성코드에 감염되는 형태다. 해커는 감염된 PC에 저장된 공인인증서를 손쉽게 가져갔다.
빛스캔은 공격자가 탈취한 공인인증서를 미국에 위치한 호스팅 서버에 저장했다고 설명했다. 공격자는 좀비PC를 대량으로 조종하는 별도 도구도 운영 중이다. 특히 공격자는 국내 인터넷 환경만 대상으로 전문적으로 공격을 실행했다. 악성코드 파일을 계속 바꾸며 기존 보안 솔루션 탐지를 우회한다.
공인인증서를 가져간 공격자는 사용자가 인터넷 사이트에 접속하기를 기다렸다가 가짜 금융사이트로 유도하는 파밍도 시도한다. 겉으로 보기에 정상적 금융 사이트로 보이지만 보안카드 번호 전체를 입력하라는 메시지를 띄운다. 인터넷 금융거래에 필요한 모든 정보를 손에 넣는다.
전상훈 빛스캔 이사는 “공격자는 탈취한 공인인증서를 서버에 암호화까지 해서 보관하고 있었다”며 “파밍으로 금융거래에 필요한 모든 정보를 빼돌리고 있어 2차 피해 우려가 높다”고 설명했다.
지난 10년간 안전한 인터넷뱅킹과 온라인쇼핑을 돕던 공인인증서가 천덕꾸러기로 전락했다. 지난해부터 공인인증서 탈취 사건이 급증하더니 최근 6900건이 넘게 유출되며 보안성이 도마에 올랐다.
정부는 이달 말부터 온라인 쇼핑에서 공인인증서 의무 사용을 폐지했다. 국회 정무위원회는 지난달 30일 법안심사소위원회를 열고 전자금융거래 시 공인인증서 사용의무화를 폐지하는 ‘전자금융거래법’ 개정안을 통과시켰다. 하지만, 지난 2일 국회 본회의에서 처리가 무산됐다. 이번에 유출 사건까지 발생하며 보안성이 지적돼 6월 임시국회나 9월 정기국회 처리에 힘이 실린다.
한국은행에 따르면 지난 2000년부터 발급된 공인인증서는 3000만건이 넘었다. 국내 전자금융과 온라인 쇼핑의 인프라로 자리 잡았지만 특정 폴더(NPKI)에 저장되고 무한정으로 복제되는 파일로 유출되기 쉽다. 재발급도 대면 확인이 아닌 온라인 발급으로 이뤄져 범죄에 악용됐다.
진승헌 한국전자통신연구원 박사는 “3000만장이 발급될 정도로 공인인증서는 온라인 사회의 인프라가 됐지만 무분별하게 사용됐다”며 “이제 사용자 인증은 공인인증서가 아닌 다른 방법으로 다양화해야 한다”고 말했다.
<공인인증서 유출 건수 (단위:건) 자료:KISA>
김인순기자 insoon@etnews.com