공동인증서

공인인증서 체계는 사실상 보안을 핑계로 대한민국 국민들을 괴롭히기 위해 만든 프로그램이다. 안 그래도 결제 시스템이 매우 이상한 국내 전자 상거래 체계가 암을 유발하다가 최종보스로 공인인증서가 등장하는 것이라고 보면 된다.

우선 국가, 정부 관련 홈페이지 접속이나 인터넷 뱅킹을 사용하려고 하면 늘 만료되어 있다고 할 정도로 유효 기간이 짧은 데 정작 그만한 보안성은 못 갖추었다. SHA3 같은 최신 해싱 알고리즘이나 AES, RSA 및 블록 암호화 등에 비해 ARIA 등의 국산 암호화 알고리즘의 해독 난이도는 민망한 수준으로 낮기 때문이다. 작정하고 대량의 GPU로 병렬 연산 돌리면 뚫는 것이 가능하다.

또 ActiveX 10개 정도는 깔아야 제대로 동작한다. 이 때문에 대한민국을 마이크로소프트 윈도우 및 인터넷 익스플로러 천국으로 만들었단 비판이 존재한다.

보안용으로 설계되었으나 정작 해킹은 서버 쪽이 당하기에 보안에는 도움이 안 된다. 또 인증에 필요한 개인 정보가 워낙 많이 풀려 있어서 대한민국에서는 공인인증서 체계 자체가 힘을 못 쓰는 환경이라는 비판이 있다. 이미 대한민국 국민의 개인정보가 중국 등지에서 개당 몇 원 수준으로 팔리고 있기 때문에 주민등록번호를 인증에 그만 쓰고 대신 주민등록증에 OTP를 붙여서라도 실시간 암호 체계로 넘어가야 한다는 지적이 크다.

인증 체계 플랫폼이 파편화된 것도 문제다. 핸드폰에 저장하고 불러오려 했더니 사이트마다 요구하는 폰 인증서 불러오는 프로그램이 다르다.

요즘은 비밀번호를 없에고 지문인식을 추진하겠다고 한다. 아직까진 시범 단계다. 아예 없에면 안 되냐??

결론적으로 보안 체계 설계를 담당하는 자들이 해야 할 보안을 잘 모르는 대다수 국민한테 다 떠넘기고 자기네들은 손을 털어버리기 위해 만들어졌다고 보면 된다. 진짜로 도입 배경이 이거다. 정부가 공인인증서 체계를 기업들에게 구축하라고 지시할 때 국민들의 의견은 1도 넘겨주지 않으므로 공인인증서 체계를 구축하는 기업들은 정부가 하라는 대로만 하고 국민들의 요구는 무시해도 상관 없기 때문이다.

그나마 오픈뱅킹 및 스마트폰 애플리케이션 기반 인터넷 뱅킹이 활성화되면서 금융 업무는 편해지긴 했는데, 정작 웹 사이트 기반 인터넷 뱅킹은 그대로라 보안 구멍이 뚫린 것은 그대로다. 차라리 웹사이트 뱅킹 기능을 폐쇄하고 스마트폰과 연계한 PC용 뱅킹 프로그램이라도 따로 내놔야 할 것이다. 그런데 그러면 또 윈도우만 지원하고 리눅스나 맥은 방치할 것이 뻔하다. 결국 전자상거래 인증은 카카오톡 같은 국내에서만 쓰는 내수용 인증 플랫폼이 차지하면서 카카오톡을 쓰기 싫어도 써야 하는 등 또 다른 문제를 일으키고 있다.

결국 대한민국이 IT 약소국인 대표적인 이유가 공인인증서 되시겠다.

그런 거 없다.

외국에서는 해싱 알고리즘과 RSA 등을 응용한 최신 대칭형 암호화 알고리즘 채용이 기본이다. 금융 거래 인증은 OTP로 진행한다.

코로나 사태 무렵에 민간인증서가 등장하면서 앞서 말한 문제점들을 겪지 않아도 되게 되었다.

• ActiveX
• 민간인증서