-
ActiveX와 공인인증서! 그 역사적(?)인 배경과 앞으로의 대응 방법은?Security 2012. 12. 24. 08:00반응형
최근 대선주자들의 IT 정책들 중에서 이런저런 정책들이 많이 나오고 있는데 그 중에서 눈에 띄는 정책이 있어서 좀 얘기를 해볼까 한다. 대통령 후보에서 사퇴한 안철수 박사는 IT 정책 공약으로 ActiveX 폐기(?)와 공인인증서 제도 폐지를 꺼냈다. 그리고 문재인, 안철수 단일화 이후에 이 정책은 고스란히 문재인 민주당 후보의 IT 공약으로 넘어가게 된다. 즉, 문재인이 대통령에 당선되면 현재 개인인증방법으로 쓰이고 있는 공인인증서 제도와 그동안 이래저래 말이 많았던 ActiveX는 내년부터 5년 안에 사라지게 될 상황에 놓인 것이다.박근혜 새누리당 대통령 후보가 당선이 되었으므로 아마도 공인인증서와 ActiveX는 계속 살아남지 않을까 생각이 된다. 하지만 지금과는 분명히 다를테니 그런 것을 생각하며 아래의 글을 계속 전개하려고 한다.
현재 보안업체에 다니는 사람으로서 또 이노무 보안밥을 10년넘게 먹고있고 앞으로도 계속 먹게 될지도 모를 사람으로서 공인인증서 폐기와 ActiveX에 대해서 이런저런 생각을 해보게 되었다. 왜 대한민국에서만 유독 공인인증서라는 조금은 변태적인(?) 인증방식이 나왔는지, 그리고 ActiveX가 왜 한국에서 어느 나라들보다 활성화가 될 수 밖에 없었는지는 아래의 전에 썼던 글을 참고하면 될 듯 싶다.
왜 한국의 인터넷 뱅킹은 윈도 기반의 인터넷 익스플로러에서만 동작할 수 밖에 없었을까?
대한민국의 인터넷 서비스의 질을 퇴보시키는 구시대 악습의 카르텔. 깨기 위해서는 큰 틀에서의 투자가 필요한데...
공인인증서 역시 ActiveX 기반으로 구동되어 움직이는 녀석인지라 ActiveX와는 현재로서는 같이 생각해야 하는 상황이다.
현재 국내의 대부분의 소프트웨어 보안 기업들은 윈도 기반에서 ActiveX를 이용해서 웹관련 서비스의 보안을 적용한다. 키보드 입력을 해커들에게 노출시키지 않게 하기 위한 키보드 보안이라던지, 사용자의 웹브라우저와 서비스하는 서버 사이의 통신을 암호화하는 PKI를 이용한 구간 암호화 방식이라던지, 인터넷 화면 캡쳐를 방지하는 화면 캡쳐 방지라든지 이런 대부분의 보안 서비스들은 윈도 기반의 IE에서 ActiveX를 통해서 동작하도록 되어있다.
이런 기반기술이 ActiveX를 이용해서 만들어졌는지를 살펴본다면 10년전으로 넘어가야 한다. 인터넷 뱅킹이나 인터넷을 이용한 다양한 금융 거래들이 활발해지면서 이에 대한 보안의 필요성을 느끼고 국정원과 같은 국가기관이 보안에 대한 지침을 내리게 된다. 뭐 당연하다. 돈이 움직이는 부분이라 보안의 필요성은 강조해도 지나치지 않을 것이다. 문제는 국정원이 되었던 그 상위 기관이나 관련 기관이 보안 지침을 내리는데 있어서 기술적인 이슈나 향후의 미래 따위는 내다보지 않고 그저 탁상행정으로 만들어진 정책을 내렸다는 것이 문제가 된다. 물론 학계에서 뛰어나신 교수님들이나 관련 전문가들이 테스크포스를 이뤄서 정책을 만들었다고는 생각하고 싶으나 나온 결과물은 참으로 아쉬울 수준이었다고 보면 된다. 하지만 이 정책은 그 당시에는 나름 획기적이라고 평가하는 사람들도 존재한다(-.-).
인터넷에서 사용되는 모든 금융거래는 암호화되어서 진행되어야 한다. 그게 맞고 앞으로도 그렇게 되어야 한다. 해커들에 의해서 내용이 탈취되어 악용이 되면 개인의 금전적인 피해도 있겠지만 사회적 문제로까지 커질 수가 있기 때문이다. 10년전 보안지침도 이와 비슷하기는 했다. 암호화해서 거래할 수 있는 장치를 만들라는 것. 문제는 그 암호화 알고리즘을 우리의 기술로 된 것으로 한정지었다는 점이다. 이 당시에는 SEED, 지금은 ARIA라는 국내 암호화 기술을 암호화 방식으로 사용하라는 것이었다. 웹브라우저 위에서 웹서비스를 구현할 때, 혹은 웹브라우저와 웹서비스 사이의 통신을 암호화할 때 말이다.
국내 기술이어야 한다는 조건이 붙었던 이유 중 하나는 해외 기술에 대한 불신도 있었지만 해외 기술을 국내 기반 서비스에 적용시키는 것에 대한 윗선의 불안과 불만이 있었다고 알려져 있다. 또 국내 IT 산업을 발전시킬 수 있다는 얘기도 한몫했을 것이다. 문제는 기반이 되는 웹브라우저가 국내 기술로 된 것이 아닌 MS의 IE가 대다수였고 그 외의 웹브라우저 역시 엔진 자체가 IE 기반이던지 아니더라도 해외 웹브라우저였기 때문에 국내 암호화 알고리즘을 자체적으로 지원해줄 수 있는 방법이 없었다. 결국 플러그인 방식을 도입했으며 가장 많이 사용하는 윈도 기반의 IE에서 동작하기 위해 ActiveX를 쓸 수 밖에 없었고 보안 서비스의 특성상 지속적인 안정화를 이루면서 지금에 이르게 된 것이다. 참고로 암호화 알고리즘에 대해서 현재 산업 표준처럼 사용하고 있는 AES의 경우 최근에야 128비트 암호화 기술이 오픈되었다. 그 전에는 미국에서 국가 기반 암호화 기술이라고 타국에서 사용하는 것을 금지시켰다. 그렇기 때문에 SEED, ARIA만을 사용하게 하는 정책을 세운 것에 대해서는 뭐라고 할 상황은 아니다. 왜? 암호화 기술은 국가 기반 기술로서 가치가 있기 때문에 그렇다. 어찌되었던 상황은 이렇다.
공인인증서 역시 태생을 살펴보면 아주 이해가 안되는 것은 아니다. 개인에 대한 증명을 할 수 있는 방법이 해외의 경우에는 이메일 인증이 대부분이고 문자 서비스 인증 등 2차 인증을 거치는 것이 일반적이지만 유독 한국에서만큼은 공인인증서가 표준이 되었다. 법적으로 구속력을 지니고 있기 때문에 어쩔 수 없이 사용해야 하는 상황이라고 말할 수도 있겠지만 태생의 이유 중에 하나가 하도 국내에서는 짝퉁 이메일을 많이 사용했기 때문에 정확한 인증이 불가능하다는 현실적인 이유도 한몫했다. SMS를 통한 2차 인증은 최근에나 본격화 된 것이다. 그리고 초창기에는 시스템 도입에 많은 기업들이 부담을 느꼈다. SMS로 날리는 것에 대한 비용을 감당하기 어려웠다는 얘기도 돌고 있으니까 말이다.
다만 공인인증서에 대해서 불만을 갖는 이유가 국제 표준이 아닌 오로지 한국만을 위한 표준이라는 얘기며 공인인증서를 통한 해킹이 자주 일어나기 때문에 인증서의 보관이라는 것에 문제를 삼고 있다는 점이다. 또한 어디서든지 써야 할 경우에는 USB 등의 외부 매체를 이용해야 한다는 점도 불편을 주는 요소로 손꼽히고 있다. ActiveX를 써야 한다는 것은 뭐 전제로 깔고 말이다. 최근에는 크로스 플랫폼 지원을 위해서 여러가지로 노력중인데 그것은 밑에서 언급하도록 한다.
자 이런 상황에서 안철수 박사의 IT 공약을 그대로 전수받은 문재인 후보가 당선이 되면 ActiveX의 활용이 대폭 낮아질 것이고 공인인증서는 역사의 뒷편으로 사라지게 될 것이다. 그렇다면 이를 기반으로 서비스를 하는 보안 업체들은 상당한 타격을 입게 될 것은 자명한 사실이다. 이에 대한 대책을 열심히 울 회사를 비록해서 여러 보안 기업들이 논의하고 있다는 얘기가 들린다. 당연한 이야기다.
대안으로 나오고 있는 이야기를 좀 해볼까 한다. ActiveX에 대한 대안점으로 어떤 것들이 나올 수 있을까에 대해서 살펴보면 ActiveX가 하나의 OS에 하나의 웹브라우저에서만 동작하는 싱글 플랫폼, 싱글 브라우저 방식이라는 점이 문제이기 때문에 멀티 플랫폼, 멀티 브라우저 방식을 지원하는 쪽으로 보안 플러그인을 만들면 된다. 뭐 또 플러그인 방식이냐라고 할 수도 있겠지만 보안 기술에 대해서 아직까지는 하나의 방식만을 적용하는 것은 문제가 있다는 것이 보안 업체에 여러해동안 있으면서 느낀 점이다. 현재 거의 국제 표준처럼 사용하고 있는 SSL 방식(서버 인증서 방식)이 대한민국의 인증 표준으로 자리잡기에는 아직까지 시간이 걸린다. 그렇다면 그 전까지는 SSL 방식을 밑에 깔고 그 위에 자체적인 보안 방식을 입혀주는 방법이 좋다. 하지만 기존처럼 오로지 윈도에 IE에서만 사용할 수 있는 ActiveX에만 의존하는 것이 아닌 크롬의 확장 방식과 파이어폭스, 사파리의 플러그인으로도 만들어서, 또 맥(아이맥, 맥북프로, 맥북에어 등 Max OS X를 사용하는)이나 리눅스 등에서도 사용할 수 있도록 플랫폼별 웹브라우저별 보안 플러그인을 만들어서 배포하면 된다. 이미 많은 보안 업체들이 이런 방식에 대해서 접근하고 있지만 아쉽게도 열악한 보안 기업들의 개발 인프라(결정적으로 개발 인력이 모자르다. SE도 없는 상황이고 말이지 -.-)로 인해 시간이 걸리고 있는 것이 사실이다.
보안 개발 인프라의 부족에 대해서는 솔직히 보안 업체들이 각 서비스들마다 제각기 보안 솔루션을 만든 것도 문제이며 원인이 될 수 있다. 같은 보안 모듈인데 서비스 업체에 따라서 버전을 달리 만들어서(좋게 말하면 맞춤형 커스터마이징을 했다능) 서로 호환이 안되는 것도 문제가 된다. 핵심이 되는 코어 부분은 동일하게 하고 부가적인 서비스 부분만 좀 달리하는 방식을 썼으면 좋았을텐데 업체들이 자기네들에 맞게 다 맞춰달라고 해서 완전히 다른 제품을 만들어서 납품하는 경우가 많다. 보안 개발 인프라를 제대로 갖출려면 이런 문제점들을 해소하는 것도 무엇보다도 중요하다(그렇게 하기 위해서는 확실한 코어 개발과 업체들의 땡깡이 없어져야 한다는 전제조건이 붙지만서도). 뭐 어찌되었던 보안 모듈의 ActiveX 이외의 크로스 플랫폼, 멀티 웹브라우저 지원이 진행되어야 할 것이다.
공인인증서 폐지에 대한 대응 방식으로 많이 얘기가 나오는 것이 2차 인증 방식이다. ID와 패스워드로 1차 인증을 한 후에 등록된 전화번호를 이용해서 인증 문자를 보내거나 등록된 이메일로 인증 링크를 날려서 인증하는 방식이 많이 거론되고 있다. 또 OTP를 이용해서 인증하는 방식도 많이 얘기가 나오고 있는 공인인증서 대체 방식이다. 보관을 해야하고 쓸려면 해당 인증서만 사용해야 한다는 점이 문제가 되기 때문에 어디서든지 손쉽게 접근할 수 있는 방식이 공인인증서 폐지에 대한 대응방식으로 떠오르고 있는 것이 사싱이다. 그래서 공인인증서 서비스를 제공하는 업체들은 이에 대한 대응방법으로 2차 인증의 활성화를 지금 계획하고 있으며 개발하고 있다고 한다(참고로 본인이 소속되어 있는 업체에서도 관련 기술에 대해서 얘기가 나오고 있으며 개발하고 있다).
늘 얘기하지만 MS도 버린 ActiveX를 왜 끝까지 갖고 가려고 하느냐라고 얘기를 하고 이로 인해서 MS도 참 많은 욕을 얻어먹고 있는데 ActiveX는 MS가 제공해주는 IE의 플러그인 방식일 뿐 그 이상도 그 이하도 아니다. 실제로 ActiveX를 사용할 수 밖에 없도록 만든 것은 정부였고 인터넷 서비스를 제공하는 업체였다. 물론 시대에 맞게 보안 기술을 발전시키지 못한 보안 기업들의 책임도 어느정도 존재를 한다. 하지만 열악한 보안 개발 인프라로 인해 신기술 개발은 꿈도 못꾸고 기존 기술의 업그레이드도 제대로 못하고 있는 상황이 지금의 ActiveX 천국인 대한민국을 만들었다고 보고 있다. 차기 정부가 나서서 공인인증서의 폐지와 ActiveX의 남용을 막겠다고 하면 정책적으로 어느정도 방지할 수는 있겠지만 과연 그동안 사회 전반적으로 깔려있는 시스템을 제대로 잘 원활히 바꿀 수 있을까에 대해서는 좀 의문이 남는다.
그리고 한가지 알아둬야 할 점은 공인인증기술이 취약하고 해외의 보안 방식이 더 우수해서 인터넷 금융 사건이 국내보다는 덜 일어난다고 생각할 수 있을 것이다. 하지만 국내에 알려지지 않는 해외의 인터넷 금융 해킹 사건이나 사기 사건은 규모나 액수가 국내 사건에 비교할 바가 못될 정도로 크다. 국내에 잘 안알려져 있기 때문에 사람들이 모른다.
보안에 대한 사람들의 불편한 시선은 말 그대로 불편함 떄문이 크다. 공인인증서에 대한 불편한 시선이나 ActiveX에 대한 불편한 시선은 말 그대로 불편함 때문에 나오는 것이다. 보안이라는 부분은 엄밀히 따지면 스스로를 보호하는, 스스로의 자산을 보호한다는 측면에서, 또 나중에 문제생길 것을 미리 막는다는 점에서 보험과 비슷하다는 얘기를 자주 한다. 보험을 가입하면 매달 돈을 내야만 하듯 보안도 서비스를 제공받기 위해서 이런저런 모듈을 설치해야 한다. 그로 인해 PC의 속도가 저하되고 다른 어플리케이션과 충돌나는 부분에 있어서는 점차 개선해나가야 할 부분임은 분명하지만 그렇다고 보안을 하지 않는다면 그건 스스로에게만 손해되는 일일 것이다. 공인인증서 제도의 폐지와 ActiveX의 남용을 줄이는 것은 시대의 흐름에 맞춰서 보안 서비스를 개선하는 방향으로 업계는 생각하고 있다. 하지만 보안이라는 것 자체에 대한 부정적인 인식은 좀 바뀌어야 하는게 맞다고 보고 있다(음.. 뜬금없는 얘기구먼 -.-).
정리하자면 차기 정부가 공인인증서 제도를 폐지하고 ActiveX를 없앤다고 할 때 보안 기업들은 매출에는 타격을 받겠지만 그로 인해 새로운 보안 컨셉을 잡고 기술을 발전시킬 수 있는 기회로 삼을 수 있다는 점에서 아주 짜증나는 상황은 아닐 것이라고 생각이 든다.
반응형댓글