사진=게티이미지
특히 전자서명법 개정으로 공인인증 제도가 폐지되면 각종 간편결제 중심의 신생 비대면 인증 서비스가 본격화될 전망이어서 이를 검토중인 공공·금융기관들의 고심이 깊어지고 있다. 앞으로 보안사고 발생시 수요기관의 책임이 커지기 때문이다. (머니투데이 8일 16시8분 '[단독]'위조신분증'에 뚫린 비대면금융…나도 모르게 1억 털렸다' 참조)
공인인증서 발급, 변환 어떻게 커지는 의문이와관련 보안전문가들은 위조범이 공인인증서와 비밀번호를 어떻게 확보했는지, 그리고 증권사용 공인인증서를 어떻게 범용공인인증서로 변환할 수 있었는지 그 과정에 의문을 표한다. 공인인증서는 대면 발급이 원칙이고 범용인증서로 바꾸는 경우에서 여러 단계의 확인절차를 필요로 해서다.
토스사건의 경우 간편결제의 취약점을 악용한 사례다. 토스 운영사인 비바리퍼블리카에 따르면 지난 3일 총 3곳의 온라인 가맹점을 통해 8명의 고객명의를 도용한 부정결제가 발생했다. 간편결제는 신용카드나 은행계좌 등 결제 정보를 미리 입력해두면 이후 비밀번호나 지문, 패턴인식으로 바로 결제하는 서비스이다. 사고는 전체 가맹점중 5%가 사용하는 웹결제에서 벌어졌다. 별도 지문이나 패턴인식이 필요한 앱방식과 달리 웹결제는 비밀번호와 간단한 사용자 정보만 있으면 누구나 결제가 가능하다는 점에서 토스 측이 보안취약점을 방치했다는 지적이 나온다.
사진=게이티이미지
이 시각 인기 뉴스
공인인증서의 경우 플러그인 설치를 요구하고 매년 갱신과 비밀번호 변경을 요구하는 불편한 인증기술이긴 하지만 보안성 자체만 놓고보면 타의 추종을 불허한다는 평가를 받는다. 21년간 공인인증서와 관련된 이렇다할 대규모 금융사고가 벌어지지 않은 것도 이때문이다. 공인인증서 자체가 사용자들의 보안의식을 높인 측면도 있다.
한 보안 전문가는 "대면 확인이 필수적인 공인인증서 조차 뚫릴 수 있다는 것은 그만큼 금융사기가 지능화되고 있다는 이야기"라면서 "앞으로 새로운 인증수단이 등장하면 당국이 이에대한 보안성을 면밀히 평가하는 게 새로운 인증기술 보급의 관건이될 것 같다"고 말했다.
새로운 보안인증 서비스가 보급되면 보안사고의 책임소재를 둘러싼 논란이 더욱 불거질 것이라는 시각도 있다. 현재 공인인증서 사용시 일정부분 보안사고에 대한 면책이 이뤄지지만 공인인증서가 폐지된 이후에는 새 기술을 도입한 사용자의 책임이 커질 수 있고 법적 문제들이 대두될 수 있다는 것이다.
한 보안업계 관계자는 "비대면 서비스가 확산되고 이를 지원하는 간편 인증방식이 늘어나면 보안사고 가능성도 그만큼 커져 책임논란이 불거질 수있다"면서 "사용자 입장에서는 단지 기술적 거래의 안전성 뿐 아니라 보안책임에 대한 인식도 바뀌게 될 것같다"고 말했다.