공동인증서 뚫렸다…비대면 발급체계 이대로 괜찮나

등록 2024.02.21 15:09:08수정 2024.02.21 17:08:03

한국정보인증 공동인증서 부정 발급 정황 포착…비대면 인증 악용

보안 전문가들 "비대면 본인 인증체계 개선과 강화가 필요한 시점"

(사진=유토이미지) *재판매 및 DB 금지

[서울=뉴시스]송혜리 기자 = 공동인증서(구 공인인증서)가 뚫렸다. 공동인증서가 비정상 발급됐고 부정 사용된 일부 정황이 포착돼 당국이 수사에 나섰다.

구체적인 사건 경위는 현재 수사당국의 조사가 진행 중이지만, 실물 신분증(주민등록증·운전면허증) 촬영본 인증 등 공동인증서의 비대면 발급 절차에 허점이 있을 가능성에 무게가 실리고 있다. 공동인증서 비대면 발급체계 개선이 시급하다는 게 보안 전문가들의 지적이다.

경찰-KISA, 한국정보인증 공동인증서 부정 발급 정황 조사 착수

21일 보안 당국 및 관련 업계에 따르면 공동인증서 발급기관 중 한곳인 한국정보인증에서 개인용 범용 공동인증서 일부가 부정 발급된 정황이 포착돼 경찰이 수사에 착수했다. 한국인터넷진흥원(KISA)도 한국정보인증 시스템에 대한 사고조사를 진행 중이다.

공동인증서란 인터넷 뱅킹·모바일 증권거래·정부 민원 서비스 시 본인임을 확인하는 주요 수단으로, 예전 '공인인증서'로 보면 된다. 은행 등 금융기관에서 무료 발급하는 일반 증명서와 공인인증기관에서 유료로 발행하는 범용 인증서로 구분되는데, 이 중 범용 인증서 일부가 누군가에 의해 허위 발급되는 사고가 발생한 것.

한국정보인증은 부정 발급으로 의심되는 인증서를 폐기하는 한편, 이들 인증서를 사용하는 고객사들에 이같은 사실을 알리는 공문을 발송했다. 회사 측은 이와 관련 "현재 외부에 설명할 수 없다"며 조심스러워 하는 입장이다.

보안 당국은 현재 한국정보인증 인증 시스템에 허점이 있는지, 공동인증서 비대면 발급 체계에 문제가 있는지 구체적인 사고 경위를 파악 중이다. 한국인터넷진흥원(KISA) 관계자는 "모든 가능성을 열어두고 현재 조사가 진행 중"이라며 "외부로부터 해킹 가능성도 확인 중이나, 인증 시스템 자체에 침투했을 가능성은 낮다"고 설명했다.

비대면 발급 허용하며 우려됐던 일…"발급체계 개선돼야"

보안 전문가들은 공동인증서 비대면 발급이 허용되면서 우려돼왔던 일이라고 지적한다. 과거 공인인증서의 경우 의무적으로 금융기관·우체국 등에서 대면 발급해야 해서 부정 발급사례가 드물었지만 공동인증서로 전환되고 비대면 발급을 허용하면서 여러 취약점에 노출됐을 가능성에 무게가 실리고 있다.

현재 한국정보인증의 공동인증서 발급과정을 살펴 보면, 이용자는 약관 동의 이후 기본적인 인적 사항을 기재하고 휴대전화·금융계좌 인증을 통해 본인 확인을 하게 된다.

이어 실물 주민등록증·운전면허증 또는 모바일 운전면허증으로 신분 확인을 진행한다. 실물 신분증 확인은 화면에 보이는 QR코드를 휴대폰 카메라로 대면 신분증 확인을 할 수 있는 웹페이지로 이동한다. 이동한 화면 지시에 따라 신분증 촬영을 하면 신확인이 진행된다. 이 모든 과정을 마치면 신청 완료 메세지가 뜬다.

행정안전부는 전날 해명자료를 통해 공동인증서 부정발급건은 모바일신분증과는 무관하게 실물 신분증 촬영 방법으로 발생했다고 설명했다. 그러나 다른 여러 가능성도 배제할 수 없는 만큼, 당국은 공동인증서 발급을 위한 신원 확인 전 과정에 걸쳐 세밀한 조사를 진행 중이며, 다른 발급기관들에 대해서도 이와 유사한 문제가 없는 지 점검하겠다는 입장이다.

보안 전문가들은 공동인증서 비대면 발급 인증 요건을 보다 강화해야 한다고 제언한다. 업계 관계자는 "이번 부정 발급은 실물 신분증만 있으면 접근할 수 있는 가장 쉬운 인증 방식이 활용됐다"면서 "보다 안전한 방식으로 보안을 강화하는 방향으로 비대면 발급체계를 바꿀 필요가 있다"고 말한다.

정부당국은 현재 비대면 공동인증서 발급 시 ▲신분증 사본제출 ▲영상통화 ▲접근매체 전달과정에서 확인 ▲금융계좌를 이용한 소액 이체 ▲지문인식 등 생체인증 중 2가지 이상을 중첩해 본인임을 확인할 수 있도록 했다. 하지만 대부분 금융기관에서는 신분증 사본과 기존 계좌 인증을 주로 활용하고 있다.

인증 분야 전문가인 홍기융 시큐브 회장은 "비대면 본인인증은 편리함과 안전성이라고 하는 두가지 측면을 모두 만족해야 하고, 새로운 보안 취약점이나 허점에 노출될 수 있기 때문에 이를 주기적으로 평가해 지속적으로 보완 및 강화해 가는 것이 중요하다"고 언급하면서 "본인인증 시 이용자의 서명 동작 또는 행위에 기반한 생체인증 수단을 복합적으로 적용할 필요가 있다"고 말했다.

◎공감언론 뉴시스 [email protected]