또 유출된 공인인증서, 나는 안전?

[쉿!보안노트]<5> 공인인증서 하드디스크 보관 가장 위험, 보안토큰 등 사용해야

#영어 공부를 위해 어학원 웹사이트에 접속했다가, 공인인증서만 도둑맞은 A씨. 본인 공인인증서를 도둑맞은 사실도 모르고 있다가 뒤늦게 금융회사 연락을 받고 폐기했다. 아직까지 피해 입은 것은 없었지만, 거액의 금융피해를 입을 뻔했다는 사실에 놀란 가슴을 쓸어내렸다.

공인인증서 유출 사고가 또 발생했다. 지난달 7000여건 공인인증서 유출 사고가 발생한지 한달 만이다. 이번 유출 사고에는 기업(법인)용 인증서도 포함된 것으로 조사됐다.

◇웹 접속만으로 내 PC로 들어온 악성코드 '인증서 도둑'

보안업체 빛스캔에 따르면 이번 유출은 국내 어학원 사이트를 중심으로 진행됐다. 해커들은 해당 웹사이트에 악성코드를 심어, 접속자 PC에 무작위로 악성코드가 유포되도록 함정을 파놓았다. 일반 PC 사용자가 확인할 수 없는 방법으로 진행되기 때문에 대부분이 악성코드 공격을 받은지도 모르고 PC를 평소처럼 사용하게 된다.

악성코드는 PC내에 압축파일로 보관된 인증서 파일을 찾아서 압축한 후, 해커의 관리서버로 몰래 빼돌리는 일을 한다. 하드디스크에 보관된 인증서가 가장 취약할 수밖에 없는 이유다. 이번 유출사고 경우에는 USB에 저장된 인증서 파일까지도 연결시점에 모두 수집된 것으로 추정돼 심각성이 더해졌다.

이같은 과정으로 공인인증서 총 1632건을 탈취된 것으로 조사됐다. 금융거래 용도의 개인용 공인인증서가 대부분이지만, 행정전산망에 접속할 수 있는 행정용 인증서와 교육망에 접속할 접근이 가능한 인증서도 100여건 포함됐다.

◇안전한 공인인증서 위한 대책 줄줄이, 이용자 개인 주의도


이같은 유출사고가 이어지자 공인인증서를 발급하는 업체들도 대책을 내놓기 시작했다. 한국정보인증은 오는 9월까지 현재 8자리인 비밀번호를 반드시 10자리(특수문자포함)로 설정하도록 시스템 업그레이드를 진행하고 있다.

오는 11월말까지 SW(소프트웨어) 방식의 안전저장·이용방법에 대한 기술개발과 표준화를 완료하고, 내년부터는 PC에서 Non NPKI 환경을 제공할 계획이다. 스마트폰 유심(USIM)칩을 이용한 공인인증서 저장도 오는 3분기에는 선보일 예정이다.

이밖에도 파밍, 메모리해킹 등 전자금융사기 피해를 당할 경우 횟수에 상관없이 최대 300만원까지 피해금액 전액을 보상해주는 '든든인증서'라는 상품을 출시하기도 했다.

물론 안전한 공인인증서 사용에는 개인 이용자의 주의가 중요하다. 비밀번호 설정 시 영문자, 숫자 외에 특수문자를 포함하고, 또 한 두 달에 한번 씩은 바꿔주는 것이 좋다. USB, 보안토큰, 등 PC하드디스크 보다 안전한 저장방식을 선택할 것을 권장한다. PC 백신 프로그램 최신 버전 사용도 공인인증서 유출 주범인 악성코드를 막는데 도움이 된다.