최근 정부가 공인인증서를 하드디스크에 저장하지 못하도록 하는 방안을 추진 중인 것으로 알려지면서, 인터넷 뱅킹 이용자들 사이에 '액티브X' 논란이 또 다시 불거지고 있다.
20일 관련업계에 따르면 하드디스크 저장 금지가 근본적인 인터넷 뱅킹 해킹 방지 대책이 될 수 없다는 주장과 함께 보안에 취약한 액티브X 문제를 해결해야 한다는 의견이 힘을 얻고 있다.
인터넷 뱅킹의 안정성을 높이기 위해서는 대체 수단 찾기에 앞서 해묵은 논란거리였던 액티브X 문제부터 짚고 넘어가야 한다는 주장이다. '액티브 X' 문제를 해결하지 않은 상태에서 공인인증서 보안을 이야기하는 것은 큰 의미가 없다는 것이다.
액티브X는 웹에서 각종 프로그램을 실행할 수 있도록 하는 기술로 MS가 개발했다. 특히 국내에서는 95% 이상의 사이트들이 이 방식을 사용하고 있을 정도로 폭 넓게 보급돼 있다.
◆"공인인증서의 액티브X 방식이 근본 원인"
국내에서는 공인인증기관인 금융결제원이 발급한 공인인증서가 있어야만 전자결제를 할 수 있다.
문제는 금융결제원이 일반 응용프로그램과 웹을 연결하기 위한 기술로 '액티브X'를 채택했다는 것이다. 이로 인해 액티브X가 보안에 취약함에도 불구하고 인터넷 뱅킹 사용자는 액티브X를 사용할 수밖에 없다.
실제로 거래를 시작하기 전 사용자 PC에 깔리는 암호화 프로그램, 키보드 해킹 방지 프로그램, 인쇄 프로그램 등이 모두 액티브X 방식으로 설치된다.
문제는 바로 여기에 있다.
금전적 이득을 노린 해커가 설계한 액티브X를 자신의 PC에 무심코 내려받을 경우 각종 바이러스, 스파이웨어 같은 악성코드에 감염될 수 있는 것이다. 이럴 경우엔 PC에 저장된 공인인증서를 비롯해 중요 파일들이 무방비 상태로 노출될 우려도 있다.
지난해 7월 국정원 ,청와대 등 국내 주요 사이트를 마비시킨 분산서비스거부(DDoS) 공격 역시 액티브X 취약점을 악용했다는 의견도 제기된 상황. 이 뿐만 아니라 최근 해킹과 관련, 중국 정부와 대립각을 세우고 있는 구글도 MS IE의 액티브X 취약점을 노린 공격이라는 분석이 나오고 있다.
이 때문에 독일과 프랑스 정부는 IE를 대체하는 웹 브라우저를 사용하라고 권고하기까지 했다. 사태가 확산되자 MS는 다음 달 정규 보안패치 배포에 앞서 긴급 보안패치를 배포키로 했다.
김현승 한국기술비젼 대표는 "최근 행안부가 내놓은 공인인증서 하드디스크 저장 금지는 인터넷 뱅킹 보안성 강화를 위한 근본적인 대책이 될 수 없다"며 "하드디스크든 USB든 파일 시스템 타입으로 저장하는 방법은 보안에 취약하니 국제 표준을 따른 대안을 찾아야 한다"고 지적했다.
이에 대해 행정안전부 정보보호정책과 이재영 담당관은 "내달 열리는 공인인증서 안정성 강화 대책회의(가칭)에서 학계·금융계·업계·일반인의 의견을 모두 수렴할 것"이라며 "USB, 보안토큰(HSM), 스마트폰, 스마트카드 등 대체 수단의 장단점에 대해서도 면밀히 살펴볼 계획"이라고 말했다.
서소정기자 ssj6@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기