[머니투데이 진달래 기자][편집자주] 올해 금융권과 보안업계에서 화두로 떠오른 '공인인증서'. 지난 20일부터는 전자상거래에서도 30만원 이상 결제시 공인인증서를 의무적으로 사용하지 않는다. 하지만 아직까지 전자상거래 뿐 아니라 인터넷뱅킹, 전자민원서비스, 각종 공과금 수납 등 넓은 영역에서 사용되고 있는 것이 현실이다. 일부 의무사용제도는 사라졌지만 여전히 경제활동인구 대부분이 소지하고 활용하는 공인인증서. 보안전문가들은 공인인증서를 더 안전하게 사용하려면 이용자들의 주의도 필요하다고 말한다.
[[디지털라이프] 공인인증 안전 사용법…PC 하드에 저장하면 해킹 유출 가능성↑]
#A씨는 얼마전 사용중인 공인인증서를 폐기해야한다는 전화를 받았다. 현재 공인인증서가 유출되면서 범죄에 악용될 가능성이 높아졌다는 것. A씨가 재발급을 받으면서, 어디서 유출된 것이냐고 은행에 따져묻자 돌아온 대답은 A씨의 개인용 컴퓨터(PC)였다. 알고보니 A씨가 공인인증서를 저장해둔 PC가 해킹당했던 것. 해킹 피해를 까맣게 몰랐던 A씨는 부랴부랴 공인인증서를 USB에 저장하고, PC 악성코드 검사 등을 진행했다.
최근 이러한 방식으로 공인인증서가 대규모로 해커 손에 넘어간 사실이 적발됐다. 보안회사 빛스캔에 따르면 지난달 PC를 통해 공인인증서 7000여건이 유출됐다. 불과 1주일 사이에 일어난 일이다. 지난 한 해 유출사고 건수(777건)를 감안하면 급증한 규모다.
빛스캔에 따르면 해커 서버에 저장됐던 공인인증서 6947건은 대부분 그대로 쓸 수 있는 유효한 인증서였다. 해커들은 국내 보안에 취약한 웹사이트를 해킹한 후 해당 페이지에 방문하는 접속자에게 악성코드를 심도록 덫을 만들었다. 사용자가 모르는 사이 PC 하드디스크에 악성코드가 침입해 공인인증서 등 주요 정보를 빼돌리는 방식이다.
이번에 발견된 악성코드는 공인인증서를 빼돌린 이후에도 PC에 숨어서 사용자들이 자신들이 만든 거짓 사이트로 접속하도록 유도해 비밀번호 유출까지 시도할 계획이었던 것으로 드러났다. 해당 사건으로 인한 금전적 피해는 신고되지 않았지만, 공인인증서에 대한 이용자들의 불안감을 키웠다.
전문가들은 A씨처럼 공인인증서를 PC 하드디스크에 저장하면 보안성이 현저히 떨어진다고 말한다. 이용자도 관리방식에 신경써야한다는 지적이다. 공인인증서에 담겨 있는 개인키, 공개키 등에 대한 정보가 PC의 NPKI 폴더에 저장돼 누구나 접근할 수 있게 되면, 해커들의 주 공격대상이 될 수밖에 없다.
한 보안전문가는 "이번 악성코드도 변형되어 또다시 공격에 사용될 수 있다"며 "PC 하드디스크에 공인인증서를 저장해두면 이렇게 갈수록 교묘해지는 악성코드로 인해 유출 피해를 입기 쉽다"고 설명했다.
특히 공인인증서는 대부분 온라인상 거래에서 최종 열쇠로 사용되기 때문에 유출시 금전피해와 직결될 가능성이 높다. 경찰대학 치안정책 연구소 '치안전망 2014'에 따르면, 지난해 1월에서 10월까지 스미싱, 파밍, 메신저피싱 등 3가지 금융보안사기는 3만1000건에 이른다. 메모리해킹은 지난해 6월부터 10월까지 426건으로 나타났다.
파밍으로 인한 피해액은 148억4000만원에 이르고, 스미싱(54억5000만원), 메모리해킹(25억7000만원), 메신저피싱(4억6000만원) 등 총 피해규모는 약 233억원으로 조사됐다. 공인인증서 유출은 이러한 피해 규모를 기하급수적으로 늘릴 수 있다. 그만큼 관리에 신경써야하는 것.
현재 공인인증서 이용자 수는 경제활동인구와 맞먹는 3000만건에 이르지만, 보안의식은 아직 낮다. 한국인터넷진흥원(KISA)의 2012년 조사에 따르면 공인인증서 보관 매체별 이용률(복수응답) 가운데 USB가 71.9%로 가장 높았지만 PC 하드디스크로 54.3%로 높은 이용률을 보였다.
이밖에도 휴대폰(29.1%), 스마트카트(3.6%), 보안토큰(1.5%), 이메일, 웹하드, 게시판(1.3%) 순이었지만 미미했다. 웹메일, 웹하드 등에 공인인증서와 보안카드를 함께 보관하는 경우도 웹메일 해킹시 동시 유출될 수 있어 위험한 방식이다.
조사에 따르면 하드디스크를 사용하는 이유는 이동매체의 경우 휴대나 컴퓨터 연결 등이 불편하기 때문에(49.2%), 데이터 삭제/파손 위헙(30.5%) 등이었다. 특히 공인인증서 유효기간 1년 동안 비밀번호를 변경한다는 응답자는 전체의 47.6% 불과했다.
한 보안업계 관계자는 "공인인증서 자체만으로 보안이 완벽하다고 말할 수는 없다"며 "안전한 관리와 사용방식 등이 함께 이뤄져야 보다 강력한 보안수단으로 작용할 수 있는 것"이라고 강조했다.
[내 삶을 바꾸는 정치뉴스 'the 300' 바로가기]['스페셜 걸' 포토][손안의 경제뉴스 머니투데이 모바일웹]['소비자가 뽑는 올해의 차' 경품 이벤트!]
진달래기자 aza@
머니투데이
