Back To Top
한국어판

“액티브X 기반 공인 인증서는 보안의 블랙홀”

최근 한국에서는 정부기관, 은행, 기업들을 타켓으로 한 해킹으로 인한 개인정보 유출 사태가 잦았다.

2008년 1월에는 해킹 공격으로 인해 온라인 쇼핑몰 옵션에서 가입자 1천8백명의 개인정보가 유출되었으며 2011년에는 네이트와 싸이월드를 운영하는 SK 커뮤니케이션즈가 해킹당해 대한민국 인구의 약 70%에 달하는 약 회원 3500만명의 정보가 유출되기도 했다.

사이버 보안 문제를 두고 많은 정보기술 (IT) 전문가들은 여러가지 의견을 내놓았으며, 일부는 정부 측에서 해킹을 막기 위해 내놓은 방안인 공인인증서 제도로 인해 문제가 심화되었다고 주장하고 있다.

공개키기반구조(PKI)란 기술을 바탕으로 만들어진 전자서명인 공인인증서는 인터넷뱅킹 등 온라인 거래를 할 때 본인임을 확인해주는 일종의 전자인감이라고 할 수 있다. 그러나 일각에서는 소수의 기관에서 발행하는 공인인증서의 독점으로 인해 국내 보안기술의 발전이 저해되어 왔다고 주장하고 있다.

또한 공인인증서의 유출 사고로 인한 금융피해가 빈번하다면서 ‘보안을 위해 설치한 제도가 사용자들에게 불편만을 주고 오히려 사용자 보호에는 효과가 없는 것이 아니냐’는 주장도 나오고 있다.

이러한 공인인증서 보안 문제의 핵심에 있는 것은 액티브X이다. 액티브X는 마이크로소프트 (MS) 인터넷 익스플로러에서 플러그인 프로그램을 설치하기 위해 MS사가 도입한 프레임워크로서 공인인증서를 사용하기 위해서는 액티브X를 띄워야 하는데 이 과정에서 사용자의 컴퓨터가 해커들의 위협에 무방비로 노출된다는 것이다.

벤처 1세대이자 창조경제 전문가로 꼽히는 이민화 교수는 “액티브 액스는 외부에서 임의의 코드를 다운로드 하기 위하여 일시적으로 PC의 무장해제를 시키는 것”이라며 이와 같은 과정은 “해커들이 자신들의 악성 코드를 심기 위한 길을 열어 주는 것”이라고 설명했다.

그는 이어 “한국의 ACTIVE-X 기반 공인 인증서는 보안의 블랙홀”이라고 단언했다.

이러한 주장에 대해 공인인증서 자체가 문제가 아니라 이를 사용하기 위해 설치해야 하는 액티브X가 문제라는 지적도 나온다.

IT 보안 소프트웨어 전문회사 레드 비씨의 최영철 대표는 “공인인증서가 취약한게 아니고 액티브X란 방식이 취약한 것”이라고 말했다. 최 대표는 공인인증서 자체는 해킹하는 것이 어렵다고 증명되어 있다면서, 공인인증서에 대해 공인된 대안이 없다고 지적했다.

이에 대해 오픈넷 이사인 김기창 고려대학교 법대 교수는 공인인증서에서 수학적인 개념인 알고리즘은 현재도 쉽게 풀릴 수 없는 개념으로 완벽에 가깝다고 했으나 소프트웨어 부분, 특히 웹 브라우저와 연동해서 거래를 가능하게 만드는 기술인 모듈의 허술함에서 사고가 시작된다고 지적했다.

벤처 1세대이자 창조경제 전문가로 꼽히는 이민화 교수는 “대체할만한 수단이 없다는 것은 공인인증서에 관련된 이해 관계업계의 주장에 불과”고 주장하면서 “전세계가 한국형 공인인증서 없이 한국보다 적은 금융 사고율을 보이면서 인터넷 금융을 하고 있는 현실을 직시해야 한다”고 말했다.

IT 보안 업체 파이어아이 (FireEye) 역시 공인인증서의 문제점을 지적했다. 파이어아이의 김현준 기술이사는 “표준 웹 환경에서 SSL (암호통신 기술)를 사용할 경우 대부분의 운영체제는 SSL 사용 시 표준화된 개인키 보관 방법을 지원한다”며 이 경우 개인키가 암호화되어 숨겨지기 때문에 안전하다고 설명했다.

그러나 국내에서 상용되는 액티브X에 최적화된 공인인증서는 이 기능을 사용하는 대신 개인키를 파일로 보관하여 해커들의 공격에 취약하다는 것이다.

공인인증서의 문제점을 지적하는 목소리가 높아지자 민주당 이종걸 의원은 공인인증서 사용을 강제하는 근거가 됐던 전자금융거래법 개정안을 5월에 발의하는 등 정치권에서도 공인인증서 사용을 의무화하는 정책을 폐지하기 위한 움직임이 보이고 있다.

김기창 교수는 법안의 의의에 대해 “개정안의 취지는 공인인증 제도를 폐지하자는 게 아니라, 독점을 풀어 금융사가 자율적으로 금융보안 수단을 결정할 수 있도록 하자는 것”이라고 설명했다.



<관련 영문 기사>

Korea grapples with massive personal data theft, regulatory mess

ActiveX, public key system combine to open ‘black hole’ in cyber security

By Yoon Min-sik and Kim Jung-bo

A string of cyber attacks have bombarded South Korea in recent years, leading to massive leaks of personal information stored in banks, government agencies and corporations.

In January 2008, hackers stole personal data of some 18.6 million users of online shopping mall Auction. Three years later, SK Communications, which runs the online search engine Nate.com and social network service Cyworld, fell victim to data theft of its combined 35 million users -- roughly 70 percent of South Korea’s total population.

IT experts have suggested an array of factors behind those large-scale security lapses, with some blaming government-led overregulation such as the “public key certificate” system that is supposed to prevent such security breaches.

Many Korean websites depend on Internet Explorer’s cumbersome “ActiveX” platform, posing another risk factor. KAIST professor Lee Min-hwa said, “ActiveX is a program that momentarily disarms the computer to download codes from an outside source, which can be abused by hackers seeking to plant malicious codes on computers.”

Lee, one of the key patrons of President Park Geun-hye’s signature science and technology-based “creative economy,” said that Korea’s dependence on the ActiveX-based public key certificate system created a “black hole” in cyber security.

The public key certificate is a type of digital document that enables online transactions. Korea’s online regulations require that certificates should be issued for any transactions worth more than 300,000 won ($268), and the issuance also requires a download of proprietary software on Internet Explorer via ActiveX.

The mechanism, introduced in the late 1990s, is intended chiefly for South Korean citizens who use Microsoft Internet Explorer. Other Web browsers such as Google’s Chrome do not support ActiveX, and the whole system means foreigners often find it virtually impossible to purchase items on Korean websites.

The mix of ActiveX and key certificate system was originally designed to protect personal data, but experts say it is now making computers in Korea more susceptible to cyber attacks and identity theft.

A user’s online key is often saved in a file on their PC, which can be easy prey for hackers, according to cyber security firm FireEye Inc.

Allowing people to save the key on a PC is also outside of international standards, said Kim Hyun-jun, system engineering manager of FireEye, adding that most Korean users keep their keys in their PCs.

Politicians have begun to notice the gravity of the issue. Rep. Lee Jong-kul of the Democratic Party recently proposed a bill to discontinue mandatory use of the online certificate for digital transactions.

Kim Kee-chang, professor of law at Korea University in Seoul and a critic of the public key certificate system, said the new bill would help prevent the government from interfering with people’s right to choose the technology they use to protect their computers.

“By allowing only the public key certificate to be used, the entire nation suffers inconvenience,” Kim said. “On top of that, countless online service providers are stuck on a single platform, blocking the broader IT industry from moving forward.”

The Financial Supervisory Service and companies involved seem to form a unified front to protect the existing system, as if it is the only viable option. But local online bookseller Aladdin recently put out a new payment system that works without the combination of ActiveX and the public key certificate.

Proponents of the current system, however, said it’s too early to terminate the public key certificate, arguing that there is a lack of viable alternatives. Its digital signature has been shown to be hard for hackers to penetrate, but critics said that while the mathematical algorithm behind the certificate is “near perfect,” the software it uses is far from risk-free.

This is not the first time government counter cyber attack measures have been questioned. In February this year, Seoul required game operators, e-commerce firms and big websites to use the i-PIN instead of the 13-digit resident registration numbers to verify users’ identities.

The measure came after the resident registration numbers had long been targeted by hackers and misused by minors or those wanting to set up fake IDs. The trading of Koreans’ ID numbers among hackers and spammers in China and elsewhere led to greater security risks and personal data theft.

But the i-PIN has similar weaknesses. It also relies on the resident numbers and can divulge personal information when leaked. Thousands of i-PINs have already been illegally issued and sold to hackers and shady marketers in China.

Aside from technological issues, some experts said Korean companies tend to overlook the importance of cyber security.

Chun Kil-soo, an official of Korea Internet Security Center, is in charge of leading a response team against cyber attacks. He said companies rarely take actions to fix the key security problems in their networks, allowing hackers to exploit the same weaknesses repeatedly.

The inaction stems from the lack of budget and manpower. According to KISA data, 73.3 percent of Korean companies do not earmark a dime to protect their data. Choi Young-chul, CEO of IT security software firm Red BC Co., said companies are reluctant to invest in cyber security because there’s no immediate return. “But if the accidents do happen, the damage could be enormous,” Choi said. (minsikyoon@heraldcorp.com) (jbsk_7465@heraldcorp.com)
MOST POPULAR
LATEST NEWS
subscribe
지나쌤