공동인증서(구 공인인증서)가 뚫렸습니다. 공동인증서가 비정상 발급됐고 부정 사용된 일부 정황이 포착돼 당국이 수사에 시작한 것.
구체적인 사건 경위는 현재 수사당국의 조사가 진행 중이지만, 실물 신분증(주민등록증·운전면허증) 촬영본 인증 등 공동인증서의 비대면 발급 절차에 허점이 있을 가능성에 무게가 실리고 있습니다.
공동인증서 비대면 발급체계 개선이 시급하다는 게 보안 전문가들의 지적은 예전부터 있었는데요. 오늘은 관련된 소식과 공동인증서, 금융인증서가 무엇인지 살펴볼게요.
공동인증서 뚫렸다
21일 보안 당국 및 관련 업계에 따르면 공동인증서 발급기관 중 한곳인 한국정보인증에서 개인용 범용 공동인증서 일부가 부정 발급된 정황이 포착돼 경찰이 수사에 착수했으며, 한국인터넷진흥원(KISA)도 한국정보인증 시스템에 대한 사고조사를 진행 중입니다.
공동인증서란 인터넷 뱅킹·모바일 증권거래·정부 민원 서비스 시 본인임을 확인하는 주요 수단으로, 예전 '공인인증서'로 보면 됩니다. 은행 등 금융기관에서 무료 발급하는 일반 증명서와 공인인증기관에서 유료로 발행하는 범용 인증서로 구분되는데, 이 중 범용 인증서 일부가 누군가에 의해 허위 발급되는 사고가 발생한 것.
한국정보인증은 부정 발급으로 의심되는 인증서를 폐기하는 한편, 이들 인증서를 사용하는 고객사들에 이 같은 사실을 알리는 공문을 발송했습니다.
한국정보인증 공동인증서 발급과정
- 이용자는 약관 동의 이후 기본적인 인적 사항을 기재, 휴대전화·금융계좌 인증을 통해 본인 확인을 하게 됩니다.
- 이후 실물 주민등록증·운전면허증 또는 모바일 운전면허증으로 신분 확인을 진행합니다.
- 실물 신분증 확인은 화면에 보이는 QR코드를 휴대폰 카메라로 대면 신분증 확인을 할 수 있는 웹페이지로 이동하게 되는데, 이동한 화면 지시에 따라 신분증 촬영을 하면 신분확인이 진행됩니다.
- 이 모든 과정을 마치면 신청 완료 메세지가 뜨며 발급이 끝납니다.
○ 공동인증서
공동인증서(구 공인인증서)는 대한민국에서 인터넷을 이용하여 금전거래를 할 때 인증을 위해 필요한 전자서명으로, X.509 V3 기반으로 인증서를 생성하게 됩니다. 전자상거래 시 본인만 해당 인증서를 갖고 있고, 본인만 인증서 비밀번호를 알기 때문에 본인임을 인증할 수 있는 전자서명으로 이용 가능합니다.
많은 사람들이 공인인증서가 진짜 폐지되고 아예 없어진 걸로 오해하는 사람들이 많은데, 사실 좀 더 정확히 말하면 '공인인증서'가 폐지된 게 아니라 인증서에 '공인'이라는 단어가 폐지된 것입니다.
기존에는 금융결제위원회와 한국증권전산 등 지정된 6개의 발급기관에서만 독점적으로 '공인'된 인증서를 발급할 수 있었는데요. 이러한 독점적 지위를 폐지하고 민간에서 발급한 인증서도 사용할 수 있도록 확대하며, 그러한 취지에 맞게 '공인'이라는 단어를 폐기하고 '공동'인증서로 명칭을 변경하는 것이 정부에서 발표한 '공인인증서 폐지'입니다.
정리하면 '공인'인증서는 독점적인 지위만 폐지가 되었지 안 없어졌고 이름이 '공동'인증서로 변경된 것입니다.
○ 금융인증서
금융인증서는 2020년 12월 10일에 정식으로 출시된 금융결제원의 본인인증 서비스다. 기본적으로 브라우저인증서를 고도화한 형태라서 브라우저인증서는 이 이후부터 발급할 수 없다.
보안 전문가가 보는 문제는?
공동인증서 비대면 발급 인증 요건을 보다 강화해야 한다고 주장
특히 이번 부정 발급은 실물 신분증만 있으면 접근할 수 있는 가장 쉬운 인증 방식이 활용됐다고 하며, 보다 안전한 방식으로 보안을 강화하는 방향으로 비대면 발급체계를 바꿀 필요가 있다고 주장하고 있습니다.
또한 비대면 본인인증은 편리함과 안전성이라고 하는 두 가지 측면을 모두 만족해야 하고, 새로운 보안 취약점이나 허점에 노출될 수 있기 때문에 이를 주기적으로 평가해 지속적으로 보완 및 강화해 가는 것이 중요.
본인인증 시 이용자의 서명 동작 또는 행위에 기반한 생체인증 수단을 복합적으로 적용할 필요가 있다고 주장하고 있습니다.
댓글