문제는 공인인증서가 아니라 '플러그인 방식의 공인인증 프로그램'이다.
"기존 사이트에 설치된 플러그인 방식의 공인인증 프로그램과 연동돼 사이트에서 별도의 프로그램 수정 없이 사용자가 인터넷 뱅킹과 전자계약, 전자조달 등을 사용할 수 있다."
공인인증서의 문제는 해킹에 의한 노출의 문제를 난 별로 크게 보지 않는다. 해킹과 보안은 쥐와 쥐덧의 문제로 계속 서로의 꼬리를 무는 게임이기 때문이다.
"CPU에 공인인증서 저장" 한국정보인증, 새 보안 플랫폼 개발 중에서..
진짜 문제는 '플러그인 방식의 공인인증 프로그램'이다.
그것도 그 프로그램이 보안 취약성 문제가 아니라, 사용자로 하여금 보안에 대한 인식을 현저하게 낮추기 때문이다.
지금 공인인증은 인증서 단독으로 움직이지 않고, '플러그인 방식의 공인인증 프로그램'과 함께 움직인다. 그래서 한국의 사이트를 이용하기 위해서는 이 '플러그인 방식의 공인인증 프로그램'을 설치해야만 한다. 그것도 한두개가 아니다. 사이트 하나당 4~5개씩 깔아야하고, 그에 대한 정보활용 동의서도 모두 승인해야 한다.
여기서 가장 큰 문제가 발생한다. '플러그인 방식의 공인인증 프로그램'이 자신의 컴퓨터에 중요 권한을 취득하기 위한 승인을 요청할 때 사람들은 당연하다는 듯이 이 요청을 승인해 버린다는 거다.
물론 신뢰할 수 있는 사이트에서는 큰 문제가 없을 수 있다. 진짜 문제는 신뢰하지 못하는 사이트에서 이런 요청이 있을 경우 사람들은 '당연하게' 요청을 승인하게 된다. 피싱사이트는 사용자들의 이런 심리를 이용해 은행이나 카드사와 같은 비슷한 사이트를 만들어 해킹툴을 심는다. 지금 문제가 되고 있는 국정원의 RCS프로그램도 같은 방식으로 심어진다.
만일 이런 '플러그인 방식의 공인인증 프로그램'이 없다면, 사람들에게 그런 요청이 있을 경우 절대로 승인을 누르지 말라고 하면 되지만, 지금은 그럴 수 있는 상황이 아니다. 일반인들은 어떤 요청이 불순한 의도로 접근하는지 알 수 없기 때문이다.
메일도 마친가지다. 통신사, 신용카드사, 보험사의 보안 메일은 당연하다는 듯이 '플러그인 방식의 공인인증 프로그램'을 설치하도록 유도하고 있고, 해커들은 이런 방식을 모방해 사용자들의 컴퓨터를 노린다.
CPU에 공인인증서를 넣는 것도, 결국은 프로그램을 통해서 운영되는 것이고, 프로그램은 어떤 방식으로든 보안이 뚫릴 수 밖에 없다. 결국 누군가 그 프로그램을 해킹해 CPU안에 있는 공인인증서를 복사해 가져갈 수 있다. 읽을 수 있다면 어떤 방식으로든 복사할 수 있다는 가능성을 안고 있다.
지금 국내에서 일어나는 대부분의 해킹은 '플러그인 방식의 공인인증 프로그램'을 폐지하는것과, 특정 권한을 요청하는 프로그램은 절대 승인하지 말라는 캠페인으로 해결할 수 있는 문제다.
얼마나 안전하게 '공인인증서'를 보관하는냐는 부차적인 문제일 뿐이다.