폐지 앞둔 공인인증서, 최근 두달새 4.6만건 유출…역대 최다

3년만에 유출 재발…기존 최다 유출 건수 넘어

"해킹수법 고도화 영향"…보안 저장 매체 권장

개인이 보관하던 공인인증서가 최근 두달새 4만6000여건 유출된 것으로 드러났다. 지난 10년새 가장 많은 유출 건수다.

27일 김상희 국회 부의장이 공개한 한국인터넷진흥원(KISA) 제출 자료 '2015년 이후 연도별 공인인증서 유출 현황(건)'에 따르면 지난달 1일부터 이달 21일까지 개인이 보관하던 공인인증서 4만6064건이 해킹으로 유출된 것으로 파악됐다.

이 자료의 연도별 현황을 보면 지난 2017년부터 2019년까지 3년간은 공인인증서 유출이 발생하지 않았다. 올해 초부터 지난 7월까지도 이같은 추세가 유지되다, 최근 두달새 급격하게 많은 유출 사고가 발생한 것으로 나타났다.
 

[사진=연합뉴스]

과거 KISA가 국회에 제출한 연도별 현황과 종합해 보면 공인인증서 유출은 지난 2012년(8건)부터 급증해 2014년(4만1733건) 정점에 달한 이후 2015년(2만2796건)부터 감소세였다. 하지만 새로 발생한 유출 건수가 기존 사례를 뛰어넘은 것이다.

공인인증서 유출은 지난 2011년 없었고 2012년부터 2016년까지 5년간 8만97건을 기록했다. 이후 3년간 다시 없다가 이번에 4만6064건이 추가 발생했다. 이제 10년간 누적 유출 건수는 12만6161건이다. 연내 추가 유출로 더 늘어날 수도 있다.

실제 유출된 공인인증서의 저장 위치나 유출된 경위는 언급되지 않았다. 다만 일반적으로 공인인증서 보관에 쓰이는 PC나 PC에 연결할 수 있는 USB메모리 등 외부 저장장치, 스마트폰 가운데 보안이 취약한 환경에서 유출된 것으로 짐작된다.

김 부의장은 이번 대규모 유출 사례에 대해 "악성코드 등 공인인증서 해킹 수법이 더 고도화된 영향이 아닌가 추정된다"며 "PC 두 대를 통해 모 저축은행에 유출된 공인인증서를 통한 접근을 시도한 것이 확인됐다"고 지적했다.
 

공인인증서 유출 피해 통보 문자메시지. [사진=한국인터넷진흥원]

이어 "공인인증서가 유출되면 개인에게 금전적 손실(위험)이 매우 크고 금융시스템 자체의 불안정성이 발생할 수 있다"며 "공인인증서 외에도 OTP와 스마트폰 인증 등 2채널 인증을 확대 보급하는 대책 마련이 시급하다"고 강조했다.

KISA 측은 "유출 사실을 발급기관에 통보했다"며 "발급기관은 현재 유출된 인증서를 폐지하고 개인 피해자들에게 피해 사실을 문자 통보한 것으로 알고 있다"고 밝혔다.

발급기관이 폐지한 공인인증서를 사용하던 개인들은 필요시 해당 공인인증서를 재발급받아야 한다. 일반 PC·외부저장매체보단 보안토큰이나 스마트폰 보안영역에 저장하는 것이 해킹을 통한 유출로부터 안전하다.

작년 10월 국회에 제출된 KISA 자료에 따르면 작년 8월 공인인증서 발급건수는 4108만2437건을 기록해 전년도에 발급된 4013만5276건보다 2.4% 증가했다.

공인인증서는 오는 11월 시행되는 개정 전자서명법에 따라 기존 대비 축소된 사용 범위와 법적 효력을 갖게 된다. 그 유출 피해 우려는 네이버인증서, 카카오페이인증서, 이통3사 '패스(PASS)' 등 사설인증이 활성화되면서 줄어들 전망이다.