공인인증서 탈취 사건, 예방법은?

오늘날 공인인증서가 많은 논란을 일으키고 있지만, 제도나 시스템적으로 공인인증서를 당장 뒤엎을만한 방도는 찾기 어렵습니다. 이미 10년 동안 공인인증서를 사용해온 익숙함을 다른 것으로 대체해야 하며, 그것이 공인인증서보다 편할지언정 공인인증서를 사용하면서 발생한 많은 허점을 단기간에 처리하기는 쉽지 않다는 겁니다.
 

---

공인인증서 탈취 사건, 예방법은?
 
 공인인증서를 빼가는 수법은 이전부터 있었습니다. 그리고 그 피해도 고스란히 사용자에게 돌아갔지만, 금융계에서는 인증서의 책임을 사용자에게 맡긴 터라 뒷짐 지고 방관하는 상황입니다. 단기간에 공인인증서 문제를 해결하지 못한다는 것은 달리 말하면, 공인인증서 사용자가 전가된 책임에 대해서 인식하고 대처해야 함을 의미합니다.
 
 

 빛스캔은 지난 4월 25일부터 5월 2일까지 6,947건의 공인인증서가 탈취당했다고 밝혔습니다. 일주일만의 일인데, 빼낸 공인인증서는 미국의 호스팅 서버에 저장되며, 공격자는 좀비 PC를 한 번에 조정할 수 있는 별도의 도구도 이용하고 있는 것으로 나타났습니다.
 
 좀 더 쉽게 설명하면, 공격자는 여러 웹 사이트에 악성코드를 심어놓습니다. 웹 사이트에 접속한 사용자의 PC에 악성코드를 감염합니다. 감염된 PC를 좀비 PC로 따로 관리하에 두고, 공인인증서는 빼내어 미국에 둔 서버에 저장합니다.
 
 단지 웹 사이트에 접속한 것만으로 공인인증서를 빼앗길 수 있다는 것인데, 언제 당할지 모를 무서운 일인 것 같지만, 실상 이런 공격을 가능하게 하는 건 사용자입니다. 낮은 버전의 브라우저나 보안 업데이트를 하지 않은 상태의 취약점을 노린 공격이 대부분인 탓인데, 그런 사용자층이 두꺼운 국내 환경과 공인인증서라는 책임 전가 시스템이 맞물리면서 이번 대형 공인인증서 탈취 사건을 만들어 낸 것입니다.
 
 애초 가장 좋은 방법은 은행들이 인증서를 도맡고, 책임 부분을 제도적으로 명시하여 보안 체계를 단단하게 하는 것인데, 현재 그런 식이 되었다간 더 많은 인증서가 공공재가 될 수 있으니 '책임을 너희가 져야지!'라는 쪽으로 몰아붙이기보단 전반적인 보안 인식 수준을 높이는 것이 핵심입니다.
 
 당장 문제는 이런 공인인증서 탈취를 목적으로 하는 공격이 갈수록 늘어나고 있으며, 윈도 XP 지원종료에 인한 보안 위협도 높아져서 더 큰 피해를 예상한다는 겁니다. 지금 예방하는 방법이 필요합니다.
 
 

 가장 우선으로 해야 하는 것은 '웹 브라우저가 최신 버전으로 유지되고 있는가?'입니다. 두 번째는 자바와 플래시의 버전을 확인하는 것으로 항상 자동업데이트를 권고하고 있지만, 이를 귀찮아 뛰어넘는 일이 많은데, 그게 바로 최상의 공격 활로임을 인지해야 합니다.
 
  인증서를 PC 하드디스크에 보관하는 것보다 USB 메모리나 보안토큰에 저장하는 것이 더 안전하다는 건 대부분 알고 있는 사실입니다. 그러나 이런 것조차 노린 악성코드가 존재하므로 '상대적으로 안전하다.'는 것이지 절대적이라고 할 순 없으므로 결코 안심해선 안 됩니다.
 
 악성코드를 대체할 백신 설치는 당연하며, 따로 공인인증서를 사용하기 위한 전용 PC를 갖추는 것도 괜찮은 방법입니다. 이번 공격처럼 공인인증서를 전문적으로 노린 수법도 있지만, 노리진 않았지만, 얻어걸리는 일도 있으므로 PC를 분리하여 사용하는 것이죠. 공인인증서를 항상 사용해야 하는 상황이라면 맞지 않는 방법이긴 합니다.
 
 구구절절 방법을 늘어놓았지만, 필자가 얘기한 방법들의 공통점은 '시스템 외 대처법'이라는 겁니다. 공인인증서 자체로 보안을 강화하는 방법은 없습니다. 공인인증서의 기반도 기반이지만, 아주 기본적으로 공인인증서와 PC의 접근을 분리하거나 웹 사용과 분리하는 것만으로도 탈취를 쉽게 예방할 수 있습니다. 별다른 보안 관련 지식이 없더라도 말입니다.
 
 중요한 건 시스템 외 방법으로 얼마든지 예방과 대처를 할 수 있지만, 시스템적으로 대처하기 위해선 공인인증서의 기반을 바꾸고, 제도적인 개선이 필요하다는 겁니다. 현재로선 사용자들이 시스템 외 방법을 통해 막아내면서 자체적으로 보안 수준을 높이는 것이 최선입니다.
 
 

 공인인증서 탈취가 큰 문제로 두드러지는 건 이번 사건이 대량의 유출 사건이었던 것뿐만 아니라 이런 문제가 스마트폰으로 이어질 수 있는 우려가 있기 때문입니다. 스마트폰은 항시 무선 통신에 접속한 상태이며, 그 덕분에 시스템 외 방법으로 대처할 수 있는 범위가 PC보다 좁습니다.
 
 그러므로 시스템 외 방법은 임시방편에 불과하고, 당장이나마 사용자가 공인인증서 탈취에 대해 할 수 있는 최소한입니다. 그 최소한이 공인인증서 문제를 해결하기 위한 여지이며, 이제 예방법이 아닌 완벽한 해결책을 강구해야 할 때입니다.