이민화 이사장 “국내 공인인증서, 위험하고도 불편한 최악의 제도”

공인인증서 강제 않는 다양한 결제 수단 허용 필요성 제기

아주경제 이한선 기자 = 이민화 창조경제연구회 이사장이 공인인증서 강제 사용이 피싱, 파밍 등 위험을 낳고 있다고 지적하면서 위험하고도 불편한 최악의 제도라고 비판했다.

이 이사장은 11일 서울 강남구 리츠칼튼 호텔에서 열린 HTML5 개발자 국제 컨퍼런스에서 “인터넷의 기능을 브라우저에 심으려면 문을 열어야 하는데 가장 위험한 플러그인이 액티브엑스다”라며 “액티브엑스를 이용하는 공인인증서 사용을 강제하는 것이 문제”라고 말했다.

이 이사장은 “자바만 하더라도 가상으로 인터넷 기능을 브라우저에 심지만 액티브엑스는 직접 집어넣어 마이크로소프트도 보안 목적에 절대 사용하지 말라고 한다”며 “공인인증서는 위험하고도 불편한 가장 나쁜 형태의 제도”라고 덧붙였다.

그는 “다른 나라는 익스플로러 점유율이 파이어폭스 밑으로 내려가게 돼 있는데 우리나라는 액티브엑스를 이용한 공인인증서 사용을 강제하면서 익스플로러라는 특정 브라우저에 대한 종속이 여전하다”며 “인감도장과 같은 공인인증서를 폴더에 보관하게 돼 있어 이를 저장한 USB를 꽂는 순간 빼갈 수 있고 이미 대량 유출이 일어나고 있다”고 설명했다.

이 이사장은 “공인인증서 제도로 가입자는 철저히 물어보지만 서버 인증과 암호화를 하지 않고 거래를 해 피싱과 파밍 천국이 됐다”며 “공인인증서를 유출할 수 없도록 암호화와 기록관리 감사가 이뤄져야 하는 등 서버관리 원칙이 이뤄져야 하는데 이같은 규정이 없는 금융감독원 규정만 지키면 도록 돼 있어 보안이 취약할 수밖에 없다”고 말했다.

그는 “브라우저에서 인터넷 기능을 깔 때 아무거나 못 받게 돼 있어 보안레벨을 낮추고 들어오는 친구가 누구인지 모르고 무조건 다운받으면서 악성코드 천국이 됐다”고 덧붙였다.

이 이사장은 “온라인 해외 직구매가 급증하는 등 직접거래 구조로 급속히 바뀌고 있는데 우리나라는 직접 판매가 어렵게 돼 있다”며 “우리나라는 스마트폰이나 LTE 등 기술 선진국이지만 인터넷 보안은 공인인증서 사용을 강제하는 후진국으로 전세계 악성코드의 70%가 우리나라를 경유한다고 한다”고 설명하기도 했다.

이 이사장은 “국제표준인 바젤협약에서도 금융 보안 기술을 정부가 제시하면 안되고 반드시 은행이 결정해야 한다고 규정했다”며 “금융 보안을 정부가 강제하기보다는 금융기관 스스로 할 수 있도록 해야 한다”고 주장했다.

그는 “우리나라는 공인인증서와 보안카드를 금융보안에 활용하고 있는데 공인인증서는 30초면 다 뚫리고 원타임패스(OTP)가 지켜주고 있다”고 덧붙였다.

이 이사장은 대안으로 “공인인증서 외에도 사용할 수 있도록 전자금융거래법을 일부개정하고 인증방법 평가위를 혁신하는 것이 대안이고 공인인증서의 브라우저 내장이 보완책이 될 수 있다”며 “인증방법 평가위는 금감원이 운영하고 있으나 규제부처가 직접하면 안되고 미래부나 안행부, 민간단체로 이관할 필요가 있다”고 말했다.