보안 알고리즘은 '훌륭', 문제는 함께 설치되는 플러그인들
액티브X·EXE 등이 보안성 하락·컴퓨터 성능저하의 원인
'구라제거기'가 알려주는 폐단, 웹 표준 준수의 중요성
[오피니언뉴스=김상혁 기자] 그동안 많은 논란이 있었던 공인인증서의 독점적 지위를 폐지하는 내용이 담긴 전자서명법 전부개정안이 국회를 통과했다. 그러나 진짜 불편을 초래했던 각종 '플러그인 설치 절차'들은 그대로 남아 반쪽짜리 결과라는 비판이 제기된다.
이번 개정안을 꼼꼼히 따져보면 실제로는 '공인인증서'를 폐기하는 것이 아니다. '공인인증서'의 '공인'이라는 단어를 폐기한 것이다. 그래서 업계에선 '공인인증서'폐기가 아닌 인증서의 '공인' 폐기라는 얘기가 나오고 있다. 그동안 과학기술정보통신부가 지정한 한국정보인증·코스콤·금융결제원·한국무역정보통신·한국전자인증 등 5개 기관에서 발급한 인증서만 '공인' 자격이 주어졌다. 그러나 이제는 '공인' 자격을 없애고 다른 사설 전자서명과 같은 지위를 갖게 된다.
따라서 현재 공인인증서를 사용하고 있는 공공기관이나 기업이 향후에도 전자서명 방식을 교체하지 않는다면, 사용자도 굳이 다른 전자서명으로 바꾸지 않고 계속 사용할 수 있다.
하지만 장기적으로 현재의 공인인증서 방식은 시장에서 도태될 가능성이 있다. 바로 공인인증서를 사용하기 위해 반드시 설치해야하는 각종 '액티브X'나 'EXE' 프로그램 등 플러그인 프로그램 때문이다. 그리고 이를 강제하는 비표준 웹브라우저의 퇴출이 다가오고 있다.
◆ 문제는 '공인인증서' 아닌 '액티브X'
먼저 '웹 표준'이란 개념을 짚을 필요가 있다. 간단하게 말하면 웹 브라우저가 화면에 내용을 표시할 때 사용하는, HTML5·TLS(옛 SSL) 같은 일종의 '약속'을 뜻한다. 만약 웹 표준이 없다면 각 브라우저에 맞게 사이트를 전부 다르게 만들어야하는 엄청난 비효율이 발생하게 된다.
그동안 한국의 인터넷은 MS의 윈도우 운영체제에 기본 탑재된 '인터넷 익스플로러(IE)'를 기반으로 발전해왔다. 그런데 문제는 IE는 '비표준' 웹 브라우저라는 것이다.
때문에 IE는 넷스케이프로부터 시작해 크롬, 파이어폭스, 사파리 등 웹 표준 기술을 사용하는 브라우저에 맞게 설정된 웹사이트틀을 제대로 표시하지 못했다. 그래서 낸 궁여지책이 액티브X 같은 외부 프로그램 설치다. 이를 통해 호환이 되게끔 억지로 이어붙인 것이다.
작동이 안 되는 걸 강제로 작동하게 만드는 것이다보니 당연히 부작용이 따라온다. 대표적인 문제가 바로 해킹 같은 보안 문제와 컴퓨터의 속도 저하다.
사실 공인인증서가 선택한 PKI 기반 공개키 인증 방식 자체는 40년 넘게 사용된 오래된 알고리즘이지만 보안성은 여전히 뛰어난 기술로 평가받는다. 이제 사설 전자서명 시장에 뛰어드는 네이버도 PKI방식의 전자서명을 적용한다.
때문에 공인인증서의 보안 문제로 지적받는 것은 구체적으로 '액티브X'다. 이를 통해 해커들이 침입하는 경우가 많았기 때문이다. 워낙 보안 문제를 많이 일으킨 '액티브X'는 서서히 퇴출되는 분위기지만, 그 빈자리를 파고 든 것이 'EXE'로 대변되는 보안프로그램 설치파일이다.
◆ '구라제거기'로 알 수 있는 '액티브X·EXE'의 문제
하지만 IE의 고질병인 'EXE' 역시 외부 플러그인의 남발이라는 문제에서 자유롭지 못하다.
해당 프로그램들은 컴퓨터의 리소스를 잡아 먹어 성능 저하를 일으킨다. 한 두개 정도는 크게 체감하기 어렵지만 은행·쇼핑몰·통신사마다 다른 프로그램의 설치를 필요로 하는 경우가 많기 때문에 어느덧 많은 플러그인 프로그램들이 컴퓨터에 쌓이게 된다.
특히 이 프로그램들은 기본적으로 윈도우 시작부터 자동으로 실행되기 때문에 성능 저하 현상을 체감 하기 쉽다. 또 프로그램들끼리 충돌을 일으켜 설치를 했는데도, 제대로 작동하지 않는 경우가 적지 않다.
카카오 인증이라든가 통신3사가 합동으로 제공하는 '패스(PASS)' 같은 사설 전자서명이 인기를 끌고 있는 이유가 여기있다. 모바일로 인증하기 때문에 별다른 프로그램을 따로 설치할 필요 없이 간편한 데다 성능 저하 같은 부작용도 없기 때문이다.
그래서 등장한 프로그램이 '구라제거기'다. 2013년 '블루앤라이브'라는 닉네임을 사용하는 개발자가 만든 이 프로그램은 악질 프로그램들을 한번에 제거해주는 기능을 담고 있다.
과거 한 매체의 인터뷰에서 그는 액티브X, 보안 프로그램들이 동시에 돌아가면 컴퓨터 리소스 충돌로 성능이 느려지기 때문에 '구라제거기'를 만들게 됐다고 개발 동기를 밝힌 바 있다. 장난스러운 이름이지만 효과만큼은 확실해 컴퓨터를 어느 정도 다룰 줄 아는 사람들에겐 워낙 유명한 프로그램이다.
이런 모든 문제는 IE 같은 비표준 웹브라우저를 고집하는 것에서 비롯된다. 문재인 정부는 액티브X 제거를 국정과제로 내세웠고 어느 정도 효과를 보고 있다. 하지만 업계에선 이것이 근본적인 대책은 아니라고 지적한다.
한 보안업계 관계자는 "MS조차 IE를 버리고 표준 웹브라우저인 '엣지'를 내놓는 만큼 공공기관이나 은행들도 하루 빨리 흐름을 따라가야 한다"면서 "웹 표준인 HTML5과 TLS 등의 암호화 수준은 꽤 높다. 이와 함께 지문이나 얼굴인식 같은 생체인증처럼 다양한 인증 방식을 도입하는 것이 좋다"고 말했다.
저작권자 © 오피니언뉴스 무단전재 및 재배포 금지
