일부 언론이 스마트폰에서 공인인증서 없이 인터넷뱅킹이 가능하게 될 것이라고 보도했으나 금융위원회가 사실무근이라고 해명했다. 금융위는 공인인증서를 포기할 수 없다고 해명자료를 냈다.
한국경제는 7일 온라인 판 기사에서 “앞으로 아이폰과 옴니아 등 스마트폰 이용자들도 인터넷뱅킹이나 전자상거래 결제를 자유롭게 이용할 수 있게 된다”면서 “정부가 전자금융거래 때 공인인증서를 의무적으로 사용하도록 하고 있는 규제를 없애고 다른 보안 프로그램을 통해서도 전자금융거래를 할 수 있도록 허용할 예정이기 때문”이라고 보도했다. 이 기사는 포털 사이트에 주요 기사로 올라오면서 수많은 스마트폰 사용자들을 설레게 했다.
한국경제는 “정부가 공인인증서만 보안 프로그램으로 인정하고 있는 현행 규제를 폐지하면, 액티브엑스 기능을 사용하지 못하는 스마트폰에서도 표준 웹브라우저에서 쉽게 다운 받을 수 있는 ‘SSL(Secure Socket Layer) 보안 서버 인증서’ 등을 통해 전자금융거래를 할 수 있게 된다”면서 “행정안전부 금융위원회 등 관련 부처 간 논의를 거쳐 조만간 전자금융거래법 시행령을 개정할 예정”이라고 설명했다.
그런데 8일 아침 금융위가 해명자료를 내고 “금융위는 공인인증서 이외의 다른 보안 방법을 검토한 바 없으며 다만 마이크로소프트 이외의 운영체제를 사용하는 스마트폰 사용자들도 공인인증서를 사용할 수 있도록 이용기술 표준을 마련하고 있다”고 밝혔다. 금융위 기획조정관실 의사운영팀 관계자는 미디어오늘과 전화 통화에서 “공인인증서 보다 더 확실한 보안 방법이 있다면 모르겠지만 현재로서는 공인인증서를 대신할 방법이 없다”고 말했다.
금융위 관계자는 “인터넷뱅킹과 전자상거래 보안은 우리나라가 세계에서 가장 앞서 있다고 할 수 있다”면서 “굳이 외국 사례를 따라할 필요가 있는지 의문”이라고 밝혔다. 이 관계자는 “SSL 보안 서버 인증 방식에는 부인 방지 기능이 없어 본인이 거래를 안 했다고 주장하는 경우에는 이를 증명할 수가 없다”고 덧붙였다. 해외 사례가 어떻든 지금보다 보안 수준을 더 낮추는 쪽으로 갈 수는 없다는 이야기다.
이 관계자는 마이크로소프트가 아닌 다른 운영체제 사용자에 대한 배려는 없느냐는 질문에 “마이크로소프트 사용자가 90%를 크게 웃도는 상황에서 금융회사들이 공공기관이 아닌 이상 모든 운영체제를 지원할 수는 없는 일”이라고 밝혔다. 금융위가 보안 표준을 제시할 수 있는 것 아니냐는 질문에는 “금융위 소관은 아닌데 스마트폰 사용자가 늘어나면 은행들이 자체적으로 준비하지 않겠느냐”면서 “요청이 있으면 그때 검토하겠다”고 덧붙였다.
처음에 금융위가 공인인증서 의무화를 해제한다고 하기에 깜짝 놀랐습니다. 수정안도 아니고, 갑자기 폐지를 발표하는 건 말이 안 되잖아요
그나저나 나머지 10%는 고려 대상이 아니라는 말은 우리나라이기에 가능한 발상 같습니다. 그나마 다행으로 지원 의지가 충분한 금융권도 여럿 있으니 이렇게 표준안이 마련된 사실만으로도 희망적이네요
kirrie// 말씀하신 부분 중 ‘이에 반해 공인인증서는 통신 패킷을 암호화 함과 동시에 서버를 인증하는 것에는 SSL과 다름이 없지만 여기에 하나 더 추가해서 실제 서버에 통지한 ‘나’라는 신분증명을 공인인증기관 (yessign같은) 에서 보장한다는 것이 골자입니다. 금융위가 이야기하는 ‘부인방지’ 같은 내용이 이에 해당하는 것이죠.’란 내용은 반만 맞고 반은 틀립니다. 🙂
금융위가 이야기하는 ‘부인 방지’ 기능은
1. 거래 내역에 대한 해쉬값을 만들고,
2. 이 해쉬값을 공인인증서(비밀키)로 암호화합니다.
3. 2번 과정에서 나온 문자열을 원 거래내역에 덧붙여 전송
이런 식의 전자 서명을 의미합니다. EnigMail 등의 플러그인에서 내가 메일을 발송했다는 사실을 증명하기 위해 사용했던 방법이기도 하지요. 😉