더북(TheBook)

그런데 공인인증서 제도를 향한 비판의 목소리도 적지 않습니다.

우선 공인인증서 제도가 안전하지 않다는 주장이 있습니다. 이 주장은 국내 공인인증서 시스템이 ‘개인 키를 컴퓨터의 하드디스크에 저장하는 점’과 직결됩니다. 국내 공인인증기관에서 인증서를 발급받으면 기본적으로 C:\Program Files\NPKI5처럼 운영체제의 특정 디렉터리에 개인 키를 저장합니다. 당연히 해커는 이곳을 집중적으로 노리겠지요. 악성코드에 감염되었다면 해커는 대부분 개인 키 파일부터 복사합니다. 이후 키보드나 메모리를 해킹하여 개인 키를 암호화하는 패스워드(공인인증서를 사용할 때 입력하는 비밀번호6)까지 알아낸다면 특정인의 개인 키를 얼마든지 무단으로 도용할 수 있습니다. 키보드 감시나 메모리 해킹까지 하지 않아도 반복해서 시도하면 개인 키를 암호화한 패스워드를 알아낼 수 있습니다. 게다가 대다수 사람은 여러 웹 사이트와 전자거래 시스템에서 동일한 패스워드를 사용합니다. 포털사이트에서 대량의 아이디, 패스워드 유출 사고가 발생한다면 해커가 공인인증서를 도용할 가능성은 더 높아지겠지요.

또 공인인증서를 사용하기가 너무 불편하다는 주장도 있습니다. 국내에서 사용하는 대부분의 공인인증서는 마이크로소프트의 웹 브라우저 플러그인7 액티브엑스(ActiveX)만 지원합니다. 평소 웹 브라우저에서 공인인증서를 사용할 때 ‘ActiveX 플러그인을 설치하세요’라는 문구를 많이 보았을 것입니다. 그런데 액티브엑스는 마이크로소프트의 웹 브라우저인 인터넷 익스플로러(Internet Explorer)에서만 동작하기 때문에 크롬(Chrom), 사파리(Safari), 오페라(Opera)처럼 다른 웹 브라우저를 사용하는 사람에게 공인 인증서 사용은 매우 불편합니다. 이는 애초에 공인인증서 시스템을 구축할 때부터 특정 운영체제나 웹 브라우저에 의존하지 않는 표준화 기술을 사용하지 않았기 때문입니다.

 

 


5 이 위치는 최근 나온 윈도(Windows) 운영체제 버전에서는 변경되었습니다.

6 ‘인증서 비밀번호’라고 표현하는 소프트웨어가 있지만, 엄밀히 말해 정확한 표현은 아닙니다. 인증서는 공개 키를 담고 있으며, 공개 키는 ‘공개해야 하는 정보’이므로 비밀번호라는 것이 없습니다. 따라서 개인 키를 암호화 또는 복호화할 때 사용하는 ‘패스워드’라고 해야 정확한 표현입니다.

7 여기서 플러그인이란 응용 프로그램이 처리하지 못하는 작업을 해결하려고 설치하는 확장 프로그램입니다.

신간 소식 구독하기
뉴스레터에 가입하시고 이메일로 신간 소식을 받아 보세요.