한곡 공인인증서와 보안에 대한 짤막한 생각

1990년대 후반, 한국에서도 점차 네트워크 시대가 다가오게 되었지요...
그러자 전자네트워크를 통해 공공업무를 볼 수 있어야한다는 필요성과, 과거 공무원들의 인감증명이 곡 필요하다고 하는 한국 고래의 구식 사고방식이 합쳐져서 나온 게 바로 공인인증서입니다.

즉 인감도장을 파일로 옮긴다는 개념 하에 만들어진 것으로, 기술적인 방식은 분명 1990년대 후반 당대 기술로는 최신의 것이었으나, 그것의 기본적인 개념은 시대에 맞지 않는 한국 고유의 수구적인 개념에서 나왔다는 거 자체가 이미 실패의 가능성을 내포하고 있었는 지도 모르지요.

게다가 당대 기술로는 적절한 암호화 기술과 방식이 존재하지 않아(정확히 말하면 미국의 기술수출제한) 표준적인 방식이 아닌 편법에 가까운 방식으로 구현하였는데, 이게 바로 표준적이지 않은 SEED알고리즘과 ActiveX의 사용이라는 비극의 단초였습니다. 미국의 수출 제한으로 인해 128bit 암호화기술을 사용할 수 없으니 기술자들을 갈아서 대신 만들어낸 게 128bit SEED 알고리즘이었으며, 당시에는 적절한 기술이 없었으므로 ActiveX에 편법으로 SEED알고리즘을 적용할 수 있도록 해서 만들었지요.

애초에 시작부터가 고루한 인감도장의 개념으로 만들었던 공인인증서는, 이후 소수 정부 관료들과 관련 회사들의 돈벌이 수단이 되면서 외국의 기술 발전과 더 좋은 대체기술의 발전에도 불구하고 한국의 국수주의와 맞물려서 10년이 넘는 세월동안 계속 내려오게 된 거에요.
외부 기술은 계속 발전하는데, 고루한 한국의 기술은 눈에 띄는 발전이 없으니 수년이 채 안 지나서 구식 기술이 되고 중국 해커들의 장난감이나 공공재처럼 되어 버린 것.

http://openweb.or.kr/?p=3047 - 공인인증서 부인방지에 대해 다루고 있는 글입니다. 한번 보실 분은 보세요.

공인인증서 옹호론자들은 이론적으로는 공인인증서의 부인방지(컴퓨터 보안 용어인데, 통신 사실을 차후에 부정하기 어렵게 한다라는 것)기능이 있으므로 쓸모가 많다고 주장하는데, 실제로는 공인인증서 자체가 사용자의 컴퓨터에 있어 탈취하기가 매우 쉬운데다가, 현 한국의 인증방식상 탈취한 인증서와 원본을 구분하는 것이 불가능하여 탈취한 인증서를 사용하면 통신사실 자체를 조작하는 것도 매우 쉬우니 정말 멍청한 발상일 뿐이지요.
아예 키 자체를 빼앗기 쉬우니, 이론적인 구조는 그냥 공염불에 불과한 것.
쉽게 탈취가 가능하다는 점 때문에 오히려 일반 사이트에서 사용하는 ID - password기반의 인증방식보다도 더 위험합니다.

한국의 공인인증서 전문가들이 주장하는 것과 같이 개개인을 완전히 식별할 수 있는 기술적인 수단은 현재로서는 존재하지 않습니다.
구태여 실행하자면 홍채나 지문 데이터를 강제적으로 데이터베이스화하여(물론 지금도 주민등록증에 날인하고 있으나, 이런 조잡한 방식 이외에 더 정교한 디지털 방식으로 식별이 가능하도록 할 필요가 있지요) bio information기반의 강제인증제도가 아니면 어렵습니다.

게다가 더 웃긴 것은, 공인인증서 자체는 암호화 되어 있으나, brute force 같은 단순무식한 방법으로 무한히 키를 대입시키면 결국 풀리기 때문에 그 보안이라는 것도 껍데기에 불과하지요.
아예 차단 매커니즘이라는 게 존재하지 않습니다.


아마도 제가 생각하기에는 이러한 공인인증서가 계속 유지되는 이유는 아무래도 정부와 관련 업자들의 돈벌이 때문인 거 같네요.
실제 공인인증서를 만드는 데에는 공짜로 발급받는 거 같는 은행거래용도 실제로는 4400원의 수수료를 받아 가며,  전문거래용이나 정부 납품용 등 전문용도로는 10만원이 넘는 거금을 수수료료 가져갑니다.
이러한 사업을 정부와 관련 업자가 독과점하다보면 1년에 벌리는 돈도 수백억에 달합니다. 관련 업자들에게는 짭짤하지요.

애초에 무인자동차는 공인인증거 같은 거 없이도 잘 달립니다. 만약 정부에서 무인자동차의 데이터를 알아야 한다면 차량의 고유 ID와 GPS, 주행값만 알면 되는데 거기에 대체 왜 공인인증서가 필요한 것일까요? 오히려 이 정도만 아는 것도 개인 사생활 침해의 요소가 많습니다.

조만간 공인인증서를 무인자동차의 영역까지 넓혀, 1년마다 수수료를 내게 하는 돈벌이의 수단으로 삼으려고 하는 거 같다고 생각되네요.

ps. 이 글은 대략 1년전에 작성한 글인데요.
요즘에는 무인자동차 공인인증서라는 이야기는 나오지 않는 것 같으니 그나마 마음이 놓이네요.