공인인증서 보안 '구멍'
17면
기사입력 2011-03-18 02:36  |
"비밀번호 무제한 입력" 인터넷에 SW 떠돌아
악성코드 심어 피싱 해커에겐 식은죽 먹기
개인정보 유출 등 다각도 악용 우려
'사이버 주민등록증'이라 불리는 공인인증서. 입출금과 증권거래, 쇼핑, 세금신고, 각종 민원서류발급까지 갈수록 용도가 확대되고 있지만, 사실상 해킹에는 무방비 상태나 다름없다는 지적이 제기되고 있다.
비밀번호는 5회까지만?
공인인증서를 통해 본인확인을 받으려면 비밀번호를 입력하는 것이 필수. 만약 비밀번호를 다섯 번까지 틀리게 입력하면 공인인증서는 무효화되고, 그렇기 때문에 공인인증서를 분실ㆍ도난당해도 비밀번호만 새나가지 않으면 상관없다는 것이 지금까지 알려진 상식이다.
하지만 실상은 그렇지 않다. 한 기업용 소프트웨어 개발업체 관계자는 "특정인의 공인인증서를 복사해 입수하기만 하면 맞는 비밀번호를 찾을 때까지 무한정 비밀번호를 입력해 볼 수 있다"고 말했다. 이 관계자는 "공인인증서 파일은 컴퓨터나 USB에 'NPKI'라는 폴더 안에 저장돼 있는데 이 폴더를 단순 복사한 뒤 비밀번호 입력 프로그램을 실행하면 무제한으로 비밀번호를 확인할 수 있다"면서 "이런 프로그램은 웬만한 개발자라면 2시간이면 만들 수 있을 정도로 단순하고 이미 인터넷 상에 올려져 있는 것도 있다"고 덧붙였다.
공인인증서가 이처럼 취약하다는 사실은 정부도 알고 있다. 때문에 공인인증서를 남이 훔쳐가지 않도록 PC하드디스크에 저장하지 말고, USB에 저장해 자신이 직접 소지하고 다니라고 권하고 있다. 아울러 4월부터는 공인인증서의 암호화 수준을 강화한 새로운 공인인증서도 발급된다. 하지만 그렇게 한다고 해킹 위험성이 완전 제거되는 것은 전혀 아니라는 게 전문가들의 지적이다.
악성코드 이용 피싱 쉬워
 |
전국을 뒤흔든 '디도스 사태'에서 드러났듯, 우리나라는 '액티브X 플러그인' 설치와 웹하드 사용이 보편적이어서 해커가 악성코드를 퍼뜨리는 데 최적의 국가다. 그런 만큼 사용자의 PC나 USB에서 공인인증서를 복사해 가고 비밀번호까지 탈취하는 악성프로그램을 만들어 심는 것은 해커에겐 전혀 어려운 일이 아니다.
예를 들어보자. 인기 있는 '아이패드2'를 대폭 할인 판매하는 가짜 쇼핑몰 사이트를 만들고 트위터나 게시판을 통해 퍼뜨린다. 몰려든 사람들이 '구매'버튼을 누르면 '카드결제ㆍ보안 프로그램'으로 위장한 악성프로그램을 설치한 뒤, "30만원 이상이므로 공인인증서 입력이 필요하다"고 안내한다. 이렇게 하면 ▦공인인증서 복사와 함께 ▦공인인증서의 비밀번호 ▦카드번호 및 카드 비밀번호 등 모든 정보를 훔칠 수 있다는 것이다.
좀더 고난도 기술이긴 하지만 금융사이트나 정부사이트에서 공인인증서 비밀번호를 입력하면 컴퓨터 메모리에 잠시나마 흔적이 남는데 이를 훔쳐가는 '메모리해킹'방법도 있다.
보안을 보완해야
인터넷뱅킹의 경우 공인인증서 외에 ▦보안카드 ▦매번 다른 비밀번호를 생성해 입력시키는 OTP ▦보안토큰 등 다양한 보안장치를 병용하기 때문에, 그나마 해킹에 조금은 더 안전한 편. 특히 보안토큰은 공인인증서 안에 들어 있는 '개인키(인감도장에 해당)'를 훔쳐갈 수 없도록 설계되어 있어 보안 수준이 매우 높다는 평가를 받는다. 다만, 발급건수가 아직 7,000건에도 못 미칠 만큼 보급률은 저조한 상태다.
전문가들은 보안이 가장 취약한 곳으로 정부 민원사이트 등을 꼽는다. 금융기관과는 달리 정부사이트에선 OTP나 보안카드 같은 보완도구를 전혀 사용하지 않기 때문에 보안수준이 낮고, 해커가 몰래 훔쳐낸 공인인증서를 다각도로 활용할 수 있는 기회를 제공한다는 점에서 위험성을 높인다.
이 관계자는 "사회지도층 인사의 공인인증서와 비밀번호를 해킹해 가족관계나 납세내역 등을 훔쳐보는 게 불가능한 것만은 아니다"며 "정부 사이트에도 보안토큰이나 OTP 등 하드웨어 보안장치를 도입하든지 아니면 좀 불편하더라도 인터넷을 통해 지나치게 많은 개인정보를 처리하지 않도록 해야 한다"고 주장했다.
최진주기자 pariscom@hk.co.kr