잘못된 보안정책, 공인인증서를 개정하라

최근의 카드정보 유출 대란을 보면서 우리들은 그동안 관행처럼 행해진 잘못된 보안정

책과 보안의식이 앞으로도 더 큰 사건을 야기할 수 있을 것이라는 우려 속에 공인인증서

등 금융보안 방식의 근본적인 개선을 요구한다.

현재 우리나라는 전 세계적으로 정부가 공인한 공인인증서 하나만을 사용하도록 규제

하는 독특한 전자금융 제도를 가지고 있으며, 이는 안전하지 않은 불편으로 사용자들의

불만을 증대시키고 있다. 한국은 최대의 인터넷 보급 국가이면서 또한 최대의 인터넷 표

준 비준수 국가라는 왜곡된 양상을 보이고 있는데 이는 공인인증서가 사용하고 있는

ActiveX 기술 때문이다. 13년 전 우리나라가 미국 이외에서 처음으로 128bit 보안방식의

공인인증서를 개발하기 위하여 사용한 ActiveX 기반 보안기술은 더 진보된 기술이 등장

하면서 이제는 ActiveX 기술을 개발한 마이크로소프트까지 보안에 사용하지 말라는 낙후

된 기술이다. 결국 우리는 공인인증서를 사용하기 위하여 보안이 강화된 윈도8과 인터넷

익스플로러(IE11) 등 최신 OS와 브라우저를 사용하지 못하고 이전 버전을 사용해야하는

아이러니가 발생하고 있다.

또한 개인보안 위주의 공인인증서 방식은 SSL 표준 서버 인증과 보안을 포함하고 있지

않아 피싱과 파밍이라는 해킹이 급증하게 되고, 결국 전 세계 악성코드의 70%가 한국을

경유하는 보안 취약국, 해커들의 활동 무대가 되고 있다. 이번의 카드 대란도 금융권의

이와 같은 서버 보안에 대한 불감증에 따른 것이다. 결국 정부의 보안규정은 강화해도 보

안 사고가 증가하는 것은 정부의 최소 기준만 지키면 된다는 금융권의 안일한 의식과 보

안과 편리성을 추구하는 신기술 도입을 태만했기 때문에 야기된 것이라고 볼 수 있다.

결국 플러그인, ActiveX의 숙주인 공인인증서의 무분별한 사용은 결국 외국에서 한국

사이트의 인터넷 상거래를 불가능하게 만들어 한국의 심각한 온라인 무역 역조를 야기하

고 있다. 외국은 아마존의 One-Click과 PayPal 등 간편한 거래로 가고 있는데 한국은 이

에 역행을 하고 있고, 결국 우리나라의 무역 경쟁력을 약화시키고, 한국이 인터넷 진화에

서 고립된 갈라파고스가 될까 우려된다.

이와 같이 한국이 보안 취약국이 된 문제의 본질은 간단하다. 안전하지 않은 오래된

기술인 플러그인(ActiveX) 방식의 공인인증서가 사용자의 보안 불감증을 유발하고 있기

때문이다. 공인인증서 보안 모듈을 무조건적으로 ‘설치하시겠습니가?’에 ‘예’로 길들여진

마비된 보안의식은 전체적인 PC의 보안 레벨 하락과 ‘관리자 모드 운영’이라는 보안의

기본을 위반하는 행동을 강제하고 있는 것이다.

또한 규제 위주의 금융 제도도 문제이다. 정부 주도의 규제는 최소 규정만 준수하면

책임이 회피된다는 금융권의 의식이 만연되도록 만들고 있다. 전자 금융에 대한 바젤 협

약에 따르면, ‘기술의 진보에 대응하기 위하여 당국이 하나의 제도를 강요해서는 안되고,

생체인증과 OTP(일회성 비밀번호)와 보안토큰 등 각종 기술을 반드시 금융기관이 결정하

도록 해야 한다’는 것이다. 이는 금융기관의 자율적 적극적 노력을 강조한 것이고, 사고

의 책임도 은행이 져야 한다는 것이다.

해킹과 보안은 창과 방패의 관계로, 국가의 규제는 오히려 실시간으로 진화하는 해커

에 유리하고, 국가 인증이 없이는 최신 기술을 사용할 수 없도록 방패를 묶어두는 행위하

고 할 수 있다. 결국 보안 사고가 터져도 금감원 규정만 준수하면 면책이 되기 때문에 악

순환이 반복되고 있다. 금융권이 자율적 적극적으로 신기술을 도입하고 보안을 강화하는

노력을 태만하여 사고가 발생했을 경우에는 징벌적 배상이라는 조치를 취해야 한다.

그동안 이와 같은 공인인증서 문제를 해결하기 위한 노력이 있었으나 유명무실화 되었

다. 2010년 공인인증서 이외 인증방법을 평가하는 위원회를 금감원에 설치하는 조치가 마

련되었으나 30만 원 이하 모바일 거래를 허용하는 2건만 처리하였을 뿐, 4년간 실질적인

대안을 내놓지 못했다. 규제기관이 규제 해소 위원회를 주도하는 운영의 한계를 노출하고

있다. 인증방법 평가위원회를 금감원에서 독립하여 미래부 등 타 부처로 이전하던가 민간

에 이전해야 한다. 박근혜 대통령도 “글로벌 표준에 맞는 다양한 공인인증서비스 허용”을

공약으로 밝힌바 있다.

그동안 한국의 잘못된 보안정책과 공인인증서 문제를 해결하고, 한국이 인터넷 갈라파

고스에서 벗어나 다양한 인터넷 서비스가 세계로 진출할 수 있도록 하기 위한 우리의 요

구는 다음과 같다.

◦인증방법 평가위원회의 실질적인 독립 운영,

혹은 전자금융법 개정안(이종걸의원 발의) 통과

◦ 전자금융 국제 협약인 바젤 협약 준수

- 기술의 발전을 감안하여 국가는 특정 기술 강요 금지

- 은행이 적극적 자율적으로 금융보안 방식을 결정하고, 책임도 은행이 짐

◦ 세계적인 인터넷 표준 준수의 로드맵 구축

- ActiveX 과다 사용 제한, 특히 보안용 사용 금지

- 강제적인 플러그인 사용 축소, 다양한 브라우저 지원

- 서버 인증을 위한 SSL 표준 사용, 서버 보안 강화

- 한국 공인인증서를 차기 인터넷 표준에 반영

이와 같은 요구 사항이 해결될 때까지 우리 청년창업포럼 회원 일동은 다양한 방법을

동원하여 적극적인 노력을 기울일 것을 천명한다.

2014년 2월 6일

서울시 강남구 논현로 28길 12 명선빌딩 3층 Tel: 02-577-8301

Fax: 02-577-8302 / 담당: 윤예지 연구원(kcern@kcern.org) http://www.kcern.org

「제 5 차 창조경제연구회 공개 포럼 안내」

‘공인인증서라는 갈라파고스적 규제를 타파하라!’

(사)창조경제연구회(이사장 이민화)는 매달 창조경제의 핵심 주제에 관한 포럼을 주최하고 있습니다. 지난

해 12 월 ‘기업가정신 교육 혁신’에 이어 올해 첫 포럼인 5 차 포럼(2 월 25 일 오후 2 시, 디캠프)의 주제는

최근에 이슈가 되고 있는 ‘공인인증서와 인터넷 개방성’으로, 창조경제연구회의 연구결과 발표와 더불어

전문가분들의 토론으로 진행됩니다.

창조경제에서 온라인 거래는 대세이지만 수출과 IT 강국이라는 한국의 온라인 무역은 적자일 수밖에

없습니다. 공인인증서, 인터넷 실명제 등 글로벌 스탠더드와 분리된 한국의 쇄국 IT 정책 때문입니다. 한국은

앞선 인터넷 기술로 세계 최초로 128 비트 보안 모듈을 개발하였지만, 이후 웹 브라우저들이 액티브 X 없이

안전한 인증서 보관은 물론, 서버까지 인증하는 새로운 인증체계를 선보였습니다. 그러나 한국은 이를

무시하고, ‘갈라파고스적 제도’인 공인인증서 제도를 유지하며, 사용자의 인터넷 보안을 일시적으로 활짝

열어주는 액티브 X 를 국민들에게 친숙하게 만들어 줘 국민들의 인터넷 보안 의식을 떨어뜨리고 말았습니다.

결과적으로 한국은 액티브 X 를 개발한 마이크로소프트에서도 만류하는 액티브 X 사용의 압도적 세계

1 위이며, 웹 표준 비준수 1 위 국가인 동시에 온라인 거래가 가장 어려운 국가가 되었습니다. 연말정산을 한

번 하고 나면 국민들의 PC 는 무수한 금융 모듈들이 설치되고, 국민적 인내의 한계를 넘어서는 불편한

금융거래에도 사기 피해를 막지 못하고 있습니다. 이제는 글로벌 스탠더드를 따라 전 세계가 사용하는

‘SSL+OTP’ 인증방식과, 페이팔, 알리페이 등으로 입증된 페이게이트의 구축이 대안입니다. 세계가 온라인

무역으로 향하는 지금, 거꾸로 외국의 구매를 막고 있는 한국의 인터넷 규제와 폐쇄성을 극복하고 인터넷

개방성을 확대하는 전략을 모색하는 열띤 토론의 장에 여러분을 초대합니다.

◈ 포럼 개요 ◈

□ 일 시: 2014. 2. 25(화) 14:00~16:00

□ 장 소: D.Camp 6층 다목적실 (서울시 강남구 역삼동 683-34 새롬빌딩)

□ 주 제: 공읶읶증서와 읶터넷 개방성

□ 공인인증서 개정 10만 국민 청원 운동: http://bit.ly/1covTJV

□ 세부일정

시 간 내용 사회 및 발표자

14:00～14:10 개회(취지, 참석자 소개 등) 이명호 이사

14:10～14:40 공읶읶증서와 읶터넷 개방성 이민화 이사장

14:40～15:40 패널 토론

김짂형 교수(좌장, KAIST), 오승곤 과장(미래부),

조규민 단장(KISA), 강우짂 본부장(금융보안연구원),

김승주 교수(고려대), 김읶성 교수(한양대),

조광수 교수(연세대), 윤석찬 대표(Mozilla 한국

커뮤니티), 이창원 기술고문(세마포어솔루션)

15:40~15:50 서명운동 결과발표

15:50~16:00 마무리 이명호 이사

□ 참여하기: http://onoffmix.com/event/23497

□ 참 조: 1차포럼(창업자 연대보증과 국가편익) 결과링크: http://goo.gl/9E9Z5j

□ 참 조: 2차포럼(상생형 M&A와 혁신거래소) 결과링크: http://goo.gl/XxLmMX

□ 참 조: 3차포럼(정부3.0과 스마트 직접민주제) 결과링크: http://goo.gl/eBpm7L

□ 참 조: 4차포럼(기업가정신 교육 혁신) 결과링크: http://goo.gl/ijU4yy

창조경제연구회 이사장

인사말

2009년 창조경제 연구회라는 스터디 그룹을 통하여 새로운 국가 경제 패러다임 도출을 시도한 바 있었다. 이제 국가 차원의 창조경제 시대를 맞아 새롭게 사단법인으로 재출범 하고자 한다.

한국의 최대의 위협은 북핵이 아니라 성장 동력의 상실이라 하지 않는가. 노령화 사회, 양극화로 인한 사회 갈등해소 비용, 복지와 사회 안젂망의 투자 등의 경제적 부담을 감당할 새로운 국가 성장 동력이 고갈되고 있다. 청년들은 도젂보다는 안젂한 직업을 선호하여 과반수가 공무원이 되고자 청춘을 바치고 있다. 실패에 대한 사회적 무관용으로 기업가 정신이 사라짂 것이다.

노령화 사회 짂입을 앞둔 한국의 마지막 도약의 기회가 창조경제가 아닌가 한다. 철도혁명, 인터넷 혁명보다 훨씬 더 거대한 스마트 혁명은 인간을 호모 모빌리언스로 짂화시킨다. 이러한 스마트와 소셜 혁명은 빅데이터와 결합하여 인류역사 최대의 변곡점이 될 것이다. 대한민국이 이 기회를 맞이하기 위하여 국민 모두의 힘을 결집해야 할 것이다. 바로 한국의 창조경제라는 스마트 혁명을 맞이하는 국가비젂이 필요한 이유다. 한강의 기적을 이어갈 새로운 국가 성장 동력으로 국가의 모든 힘을 결집하기 위한 공유된 비젂이 필요한 때이기 때문이다.

벤처 1.0이 유선 인터넷 혁명을 기반으로 발젂했다면, 이제 벤처2.0은 스마트 혁명을 기반으로 꽃 피울 것이다. 우리의 강점인 IT 경쟁력과 스마트폰 보급율이 기초 체력이다. 향후 5년이 대한민국의 국가 흥망을 결정짓는 중차대한 시기가 될 것이다.

시대의 소명은 과연 한국의 창조경제가 성공할 것인가 하는 방관자가 아니라 어떻게 성공시킬 것인가 하는 적극적 참여자의 입장을 가지는 것이 아닌가 한다. 창조경제는 자율을 기반으로 한다는 점에서 정부 주도의 창조경제맊으로는 한계가 있다. 이러한 관점에서 수 맋은 민간 차원의 창조경제 연구 조직들이 다양한 목소리를 낼 필요가 있다는 판단으로 순수 민간 차원의 연구 모임을 뜻있는 붂들을 중심으로 결성하였다.

월간 모임을 통하여 주제 토론을 하고 연간 행사로 정책 발표를 하고자 한다. 사무국은 열정을 가짂 소수정예의 젊은이들이 참신하게 뒷받침할 것이다. 연구는 개방적으로 수행될 것이다. 그 결과들은 보고서와 책 그리고 언론과 SNS를 통하여 이 사회와 개방 공유하고 발젂시켜 나갈 것이다.

궁극적으로 영국의 호킨스 센터를 앞서는 세계적인 창조경제 싱크네트워크(Think Network)가 되고자 한다. 한국의 창조경제는 젂 산업 붂야를 아우른다는 점에서 문화 산업 중심의 타국의 사례와는 다른 짂화를 시작하고 있다. 먼저 출발한 영국보다도 한국이 새로운 세계 경제 패러다임의 선구자가 될 수 있다는 의미다. 국가 경제 정책으로 산업, 금융, 교육, 사회, 문화, 공공조직 등 젂 붂야의 창조경제 구현 정책을 선도할 수 있을 것이다.

제 1 한강의 기적을 이룩한 KIST, 경부 고속도로, 포항제철에 견줄 수 있는 메타기술, 혁신 생태계, 개방 플랫폼 구축을 통하여 제 2 한강의 기적을 이룩하여, 대한민국의 일류국가 짂입에 일조 하고자 한다.

이사장 이 민 화

Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

창조경제연구회

비전 및 사업

1)정책연구, 2)월간/연간 포럼을 통해 민간의 정책니즈를 모으고 이를 사회 및 정부와 공유하여 창조경제 구현과 발전에 기여

비전

운영 원칙

주요 업무

세계를 선도하는 창조경제의 『Open Think Network』

1. 최소 인력, 최소 비용으로 자율적 운영 2. 개방과 공유의 원칙하에 플랫폼화 3. 연구물은 OSMU(One Source Multi Use)화

이민화 교수님의 창조경제 강연

이민화 교수님과 존 호킨스의 대담현장

포럼’이들’과 함께한 첫 번째 weekly 세미나

Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

창조경제연구회

이사회 구성

Copyrightⓒ(사)창조경제연구회(KCERN). All rights reserved.

서울과학종합대학원 총장 김일섭

소호진흥협회장 박광회

넥스트소사이어티재단 이사장 김성택

카이스트 교수 정지훈

이노비즈협회장 성명기

에이팩스 대표 변호사 박종백

카이스트 교수 정지훈

이노비즈협회장 성명기

에이팩스 대표 변호사 박종백

㈜ 쏠리드 대표 정준

핚국엔젤투자협회장 고영하

핚국과학기술기획평가원 기획실장 차두원

아스팩 미래기술 경영연구소장 차원용

(사)창조경제연구회 상근이사 이명호

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

•

•

Lee Min Hwa

•

•–––

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

Lee Min Hwa

창 조 경 제 연 구 회5차 포럼 보고서

공인인증서와�인터넷�개방성�

2014. 2. 23

- i -

이 보고서는 인터넷기업협회, 벤처기업협회, 이노비즈협회,

소프트웨어협회, 여성벤처협회, 프리보드협회, 소호진흥협

회, 엔젤투자협회의 후원으로 작성되었습니다.

2014년 5차 포럼 보고서

보고서명: 공인인증서와 인터넷 개방성

발행처: (사)창조경제연구회

서울시 강남구 논현로 28길 12 명선빌딩 3층

발행인: 이민화

발행일: 2014. 2. 25.

연구책임자: 이민화 (창조경제연구회 이사장)

공동연구원: 이명호 (창조경제연구회 상임이사)

진동우 (창조경제연구회 연구원)

김영지 (창조경제연구회 연구원)

윤예지 (창조경제연구회 연구원)

외부연구원:

- ii -

목 차

요 약 ····················································································································1

Ⅰ. 공인인증서, 왜 문제인가? ········································································2

Ⅱ. 공인인증서의 역사와 현재 ·····································································15

1. 전자금융과 인증 문제 ······················································································15

2. 공인인증서 제도의 정착 ··················································································21

3. 공인인증서 기술의 문제점 대두 ····································································25

4. 1차 공인인증서 개혁 ························································································37

Ⅲ. 외국의 전자거래 인증 및 기술 현황 ···················································42

1. 전자금융과 바젤 협약 ······················································································42

2. 외국의 전자금융 이용 현황 ············································································45

3. 새로운 전자금융 방식과 보안 기술들 ··························································52

4. 보론: 전자거래와 본인확인 문제 ···································································58

Ⅳ. 공인인증서 개선 방향 ·············································································74

1. 전자금융거래법 개정 ························································································74

2. 인증방법 평가위원회의 독립 ··········································································76

3. 공인인증서를 브라우저에 표준으로 내장 ····················································78

4. 페이먼트 게이트 방식의 허용 ········································································79

참고문헌 ·······················································································································82

부록

패널 발표 자료

신문 기고문(이민화, 남민우)

신문 기사(공인인증서 관련 보도)

2010년도 호민관실 자료(1차 공인인증서 개선운동)

바젤협약(Basel Committee on Banking Supervision)

전자금융거래법 일부개정법률안(이종걸의원 대표발의)

전자금융법 시행세칙 금감원 규칙 시행령

- iii -

◆ 요 약 ◆

ㅇ 최근의 카드정보 유출 대란 속에서 그동안 관행처럼 행해진 잘못된 보안정책과 보안의식이 앞으로도 더 큰 사건을 야기할 수 있을 것이라는 우려 속에 공인인증서 등 금융보안 방식의 근본적인 개선책이 요구됨

ㅇ 한국은 전 세계적으로 정부가 공인한 공인인증서 하나만을 사용하도록 규제하는 독특한 전자금융 제도를 가지고 있으며, 이와 같은 갈라파고스적 규제는 안전하지 않은 불편으로 사용자들의 불만을 증대시키고 있음

ㅇ 개인보안 위주의 공인인증서 방식은 SSL 표준 서버 인증과 보안을 포함하고 있지 않아 피싱과 파밍이라는 해킹이 급증하게 되고, 결국 한국은 전 세계 악성코드의 70%가 경유하는 보안 취약국, 해커들의 활동 무대가 되었음

ㅇ 또한 외국에서 한국 사이트의 인터넷 상거래를 불가능하게 만들어 한국의 온라인 무역 역조가 심화되고 있고, 외국은 아마존의 One-Click과 PayPal 등 간편한 거래로 가고 있는데 한국은 이에 역행을 하고 있고,

결국 우리나라의 무역 경쟁력을 약화시킬 수 있기 때문임

ㅇ 한국이 보안 취약국이 된 문제의 본질은 안전하지 않은 플러그인(ActiveX) 방식의 공인인증서가 사용자의 보안 불감증을 유발하고 있는 것임

ㅇ 또한 정부 주도의 금융 규제는 최소 규정만 준수하면 책임이 회피된다는 금융권의 안일한 의식이 만연되는데 책임을 피할 수 없음

ㅇ 전자 금융에 대한 바젤 협약에 따르면, ‘기술의 진보에 대응하기 위하여 당국이 하나의 제도를 강요해서는 안되고, 각종 기술을 반드시 금융기관이 결정하도록 해야 한다’고 규정하고 있는데, 이는 금융기관의 자율적 적극적 노력과 책임 준수를 강조한 것임

ㅇ 2010년 공인인증서 이외 인증방법을 평가하는 위원회를 금감원에 설치하는 조치가 마련되었으나 유명무실화 되었던 과거 관행을 극복하고, 박근혜 대통령도 공약으로 밝힌 바 있듯이 “글로벌 표준에 맞는 다양한 공인인증서비스 허용”을 위한 제도가 마련되야 함

ㅇ 이제는 그간의 한국의 잘못된 보안정책과 공인인증서 문제를 해결하고,

한국이 인터넷 갈라파고스에서 벗어나 다양한 인터넷 서비스와 기술이 세계로 진출할 수 있도록 적극적 노력을 기울여야 할 것임

- 1 -

Ⅰ. 공인인증서, 왜 문제인가?

(1) 다시 생각해보는 공인인증서

□ 그간의 노력들

ㅇ 2010년 2월 기업 호민관실에서는 다가오는 인터넷 시대 한국의 최대 위협

인 ‘공인인증서 강제’로 인한 ‘인터넷 갈라파고스 현상’ 타파를 위한 긴박한

투쟁을 전개한 바 있음

- 당시 한국은 ‘액티브X’를 공인인증서 설치를 포함한 모든 보안 프로그램의

다운로드에 필수적으로 사용토록 하는 등 전 세계가 경악할 제도를 시행

하고 있었는데, 개발사인 마이크로소프트조차도 보안 목적으로는 사용 금

지를 권고하고 있었음

- 이러한 한국만의 ‘갈라파고스적 규제’를 휴대폰까지 확산하려는 정부 당국

의 정책 발표는 모든 네티즌의 분노를 폭발시켰는데, 국가의 부조리한 규

제 해소를 목적으로 한 호민관실이 이 문제 해결에 앞장서게 된 이유임

- 금융위원회, 행정안전부 등 정부 부처와 두 달여간에 걸친 치열한 공방전

의 결과 휴대폰에서는 공인인증서를 강제하지 않는다는 것으로 결론짓고,

공인인증서 외에 추가적 인증을 위한 위원회를 구성토록 하였음

ㅇ 이후 위원회의 실질적인 추가 인증이 없었다는 것이 다시금 불거지는 공인

인증서 문제의 핵심이고, 이제는 휴대폰이 아니라 인터넷 전반의 개방으로

재확산돼야 할 때임

□ 공인인증서 잔혹사

ㅇ 문제의 시작은 벤처 붐으로 인한 한국의 앞선 인터넷 기술이었음

- 벤처 혁명으로 인해 1997년부터 폭발적으로 증가한 한국의 인터넷 기술과

보급률은 2000년 세계 최고 수준으로 올라서면서 보안의 필요성이 급증,

- 2 -

세계 최초로 128비트 보안 모듈을 개발한 것은 세계적 성과임

- 당시로서는 웹 브라우저에서 제공하지 못하는 보안 기능 구축을 위해 편

법인 액티브X를 동원, 앞선 대한민국의 인터넷 보안 체계를 구축한 것까

지는 앞서가는 성공담이었음

ㅇ 이후 웹 브라우저들은 128비트 보안체계를 액티브X 없이 활용 가능한 동시

에 안전한 인증서 보관은 물론, 서버까지 인증하는 새로운 인증체계를 선보

였으나, 한국은 이를 무시하고 있음

- 액티브X는 사용자의 인터넷 보안을 일시적으로 활짝 열어주는 편법이므로

그 사용은 당연히 매우 제한적으로 이뤄져야 함

- 그러나 한국의 ‘공인인증서 제도’는 한국 국민들에게 액티브X를 너무나도

친숙하게 만들어 줘 국민들의 인터넷 보안 의식을 떨어뜨리고 있음

ㅇ 결과적으로 한국은 액티브X 사용의 압도적 세계 1위로서 웹 표준 비준수 1

위 국가인 동시에 온라인 거래가 가장 어려운 국가가 되어 제도 경쟁력의

한계를 드러냄

□ 안전하지 않은 불편

ㅇ 서버 검증이 없는 한국의 공인인증제도는 ‘국민은행’과 ‘국만은행’을 구분하

지 못하는 실정, 이에 따라 사기 서버들의 피싱 천국이 됐음

- 영국 케임브리지대 앤더슨 교수팀의 논문에서 한국 공인인증서 문제를 명

확히 지적하고 있음

- 편법 기능인 액티브X의 개발사로서 한국 제도의 최대 수혜자인 마이크로

소프트조차 더 이상 이를 반기지 않고 있음1)

- 새로운 운영체계인 윈도우8은 액티브X를 원칙적으로 지원하지 않음

ㅇ 그러나 한국의 온라인 거래는 편리하지도 않음

- 아마존의 ‘원 클릭’구매의 편리성을 경험해 본 해외 직접 구매 이용자들은

1) 한국의 윈도와 익스플로어 점유율은 세계 최고 수준임

- 3 -

‘도대체 한국의 극도로 불편한 거래에도 사기 피해를 막지 못하는 이유는

무엇인가’라는 본질적 질문을 던지고 있음

- 연말정산을 한 번 하고 나면 한국인들의 PC는 무수한 금융 모듈을 다운받

느라 소위 ‘걸레’가 됨

- 한국은 가장 불편하고도 가장 안전하지 못하고 비싼 인터넷 보안 체계를

고집하고 있는 ‘온라인 갈라파고스’인 것임

□ 창조경제와 온라인 거래

ㅇ 창조경제에서 온라인 거래는 대세이나, 수출과 IT 강국이라는 한국의 온라

인 무역은 적자일 수밖에 없음

- 현실적으로 외국에서 한국 사이트 접속과 거래는 너무도 어려움

- 공인인증서, 인터넷 실명제 등 글로벌 스탠더드와 분리된 쇄국 IT정책의

당연한 결과임

- 인터넷 개방성은 국민적 인내의 한계를 넘어섰음

ㅇ 대안으로는 전 세계가 사용하는 ‘SSL+OTP’ 인증방식과 페이팔, 알리페이

등으로 입증된 페이게이트의 구축으로, 이제는, 초연결된 세계 경제에서 갈

라파고스적 진화 함정으로부터 벗어날 때임

(2) 금융보안의 원칙 재정립 필요

□ 불안한 금융보안 현실

ㅇ 최근 금융 보안 문제로 국내분위기가 매우 불안해진 상황

- IT강국이라는 자부심은 사라지고, 인터넷 보안의 후진국이라는 사실이 부

각되고 있는 가운데 관련 기관들은 대책 마련에 부산함

- 이러한 과정은 현대 캐피탈 등의 4개의 거대 금융 사고가 터진 2011년 이

후 매번 반복되어 왔으나, 문제는 개선되지 않고 오히려 악화되고 있음

- 4 -

- 즉 지금까지의 대증요법적인 문제 해결 방법이 아닌 본질적 접근이 필요

하다는 것을 의미하고 있는 것임

ㅇ 주목할 현상은 전 세계 해커들이 한국을 주요 경유지로 활용하고 있다는

것인데, 그렇다면 왜 한국이 악성코드 국가라는 불명예를 얻게 되었는가 진

지하게 반문해 보아야 함

- 한국인터넷진흥원(KISA)에 의하면 전 세계 악성코드의 70%가 한국을 경유

하고 있다고 함

ㅇ 그 이유는 한국의 인터넷 보급률이 높고 전자금융 이용률이 높은 것 때문

이 아니라, 한국의 1)인터넷 보안 불감증이 높다는 것과 2) 보안 레벨이 낮

은 OS와 브라우저의 사용이 높다는 것을 지적할 수 있겠음

- 그런데 이 두 가지 문제는 한 가지 원인에서 비롯되는데, 바로 보안에 너

무나 취약한 플러그인(Plug-in)방식의 한국의 공인인증제도 때문임

□ 문제의 본질

ㅇ 공인인증서에 기반을 둔 한국의 전자금융 제도는 ‘묻지마 플러그인’을 국민

들에게 인지시켰음

- ‘설치하시겠습니까?’라는 질문이 나오면 우리는 무조건 ‘yes’를 클릭하도록

길들여지게 됨

- 각종 보안 모듈들을 심기 위하여 다른 나라에서는 상상하기 어려운 전 직

원 관리자 모드 사용이 일반화되었음

- 보안 레벨이 높아진 상위 OS나 브라우저에서 제한된 액티브X 사용을 풀기

위하여 일부러 보안 레벨을 낮추고 브라우저도 다운 그레이드해야 함

ㅇ 결과적으로 한국의 인터넷 환경은 악성 코드를 심는데 최적의 조건을 제공

하게 된 것임

- 이에 따라, 전 세계 해커들은 악성코드를 심어야 가능한 각종 피싱과 파밍

의 시험무대로 한국을 활용하게 됨

- 5 -

- 작년 한 해도 인터넷 사기는 재작년의 두 배 가까운 8만5천 건을 넘어서

고 있음

ㅇ 이제, 분명히 인지해야 하는 사실은 한국이 전 세계에 가장 악성코드 설치

가 쉬운 나라가 되었고 그 이유는 너무나 광범위한 액티브X와 같은 플러그

인 방식의 설치에 있으며 한국의 공인인증서가 그 바이러스의 숙주라는 것

임

- 스티브 잡스가 애플의 차기 제품에서 자바 애플릿를 포함한 모든 플러그

인 설치를 없애려 한 이유와 마이크로소프트가 액티브X를 보안 목적에 쓰

지 않도록 경고하고 윈도8에서는 원칙적으로 지원하지 않는 이유를 당국

에서는 이해해야 할 것임

- 액티브X를 이용한 플러그인을 악용한 악성코드 유입이 문제의 근원임

ㅇ 다음은 서버 인증을 제대로 하지 않는 전자금융 제도에 있음

- 가짜 사이트로 유도하는 피싱과 파밍은 서버 인증을 하지 않는 제도의 허

점을 해커들이 악용하기에 가능해 짐

- SSL이라는 표준 통신 암호화가 일반화되지 않은 공인인증 기반의 전자금

융제도가 피싱과 파밍 피해를 초래한 것임

- 통신과 저장 단계에서 암호화는 너무나도 상식적인 보안의 기본이나, 우리

는 통신 암호화는 물론 저장 단계에서도 암호화하지 않아 작금의 초대형

개인정보 유출 사고가 터지게 된 것임

ㅇ 보안은 몇 명 이상의 보안 기술자 등 형식적 규제가 아니라 확실한 책임

과 권한의 명확성으로 유지되는 것이며, 보안과 해킹은 창과 방패와 같이

경쟁적 진화를 하고 있다는 사실을 주지해야 함

- 규제로 특정 기술을 강요하면 해커들에게는 오히려 기회를 주게 되는 것

임

□ 보다 근원적 처방이 필요

ㅇ 문제의 본질이 파악되면 임시방편적 대안이 아니라 근원적인 처방을 해야

- 6 -

하는데, 이러한 맥락에서 단계적으로 공인인증서를 포함한 플러그인 방식의

보안 규제를 개혁해야 함

- 이미 2010년 호민관실과 합의하여 설립된 인증방법평가위원회가 4년간 실

질적인 개점 휴업한 것은 분명히 심각한 문제로 받아들여야 함

ㅇ 전자 금융에 대한 국제 협약인 바젤협약은 분명한 원칙을 제시하고 있음

- ‘기술의 진보에 대응하기 위하여 당국이 하나의 제도를 강요해서는 안되

고, 생체인증과 OTP(일회성 비밀번호)와 보안토큰 등 각종 기술을 반드시

(must) 금융기관이 결정하도록 해야 한다’는 것임

ㅇ 다양한 보안기술들이 금융기관의 책임하에 활용되어야 하며 금융 기관이

징벌적 배상을 포함하여 모든 책임을 분명히 지게 하는 것이 원초적 대안

이 될 것임

(3) 해커와 금융보안

□ 해커와 금융보안의 관계

ㅇ 해커와 금융보안의 관계는 창과 방패의 관계와도 같은데, 자연 생태계와 같

이 끝없는 생존경쟁의 진화가 치열하게 일어나고 있는 분야임

- 해커들의 해킹기술은 날이 다르게 진화하고 있으며, 이에 대응하는 금융기

관의 방패 역시 진화적 경쟁에 적합한 구조가 되어야 함

- 특정한 기술과 특정한 제도를 감지하는 획일적인 규제가 해커와 금융기관

의 싸움을 해커들에게 유리한 위치를 차지하게 하고 있음

- 이미 공인인증서들은 유출되고 전 세계 최대 규모의 악성코드가 뿌려져

있는데, 보안 모듈 하나 추가한다고 대세는 바뀌지 않을 것으로 전망

- 정부가 하나의 규제를 강제하면 공격자인 해커들은 전략이 단순해지는데,

간단히 그것만 뚫으면 되기 때문임

- 이와 같이, 사후약방문식의 기술적 규제는 더욱 문제를 악화시켜갈 뿐임

- 7 -

ㅇ 2011년 현대캐피탈 등의 금융대란으로 소위 557 규정이 만들어졌음

- 금융당국은 5%의 기술료, 5%의 예산 7% 인력 등의 세부규정을 가뜩이나

복잡했던 규정에 추가하였으나, 결과적으로 금융 사태는 줄어들기는커녕,

그 반대로 빠른 속도로 늘어나고 있음

ㅇ 획일적 규제는 마치 포커에서 상대방에게 패를 다 보여주고 게임을 하는

것과 유사함

ㅇ 여기서 전자금융에 관한 국제협약인 바젤협약을 들여다보면, 기술의 진보에

대응하기 위해서는 위원회는 정부가 특정기술을 획일적으로(one size fits

all) 강요하지 않아야 한다고 제시

- 비밀번호, 일회성 비밀번호, 생체신호, 보안토큰 등 다양한 보안기술들을

금융기관이 자율적으로 반드시 결정해야(must determine) 함

- BIS로 유명해진 국제금융협약인 바젤협약에서 이와 같이 너무나도 강력한

어조로 반드시 하나의 등의 최상급 용어를 쓰는 이유는 무엇인지 되새겨

보아야 할 필요가 있는데, 바로 수많은 정부기관이 이와 같은 획일적 규제

의 유혹에 빠져들 것을 걱정했기 때문임

- 다행히도 모든 국가들이 이와 같은 획일적 규제를 실시하지 않고 있으나,

단 하나의 국가, 한국만이 바젤협약을 준수하지 않고 있는 상황임

□ 보안은 제도의 문제

ㅇ 이제 한국의 금융보안의 문제는 2010년 한국을 방문했던 브루셔 슈나이어

박사의 충고를 간과하지 말아야 하겠음

- 보안은 특정기술이 아니라, 국가와 조직의 제도와 문화임

- 기술은 날로 발전하는데 이제 해킹기술은 전통적인 피싱, 파밍을 넘어 정

밀 타격을 하는 스피어 타겟팅(Spear Targeting)으로 발전함

- 통신선로에서 정보를 낚아채던 MIB 단계에서 PC 안에 들어가는 MIPC 단

계를 거쳐, 이제는 브라우저 안으로 파고드는 MITB 단계로 진화하고 있음

- 8 -

- 그 의미는, 우리가 액티브X 라는 보안에 취약한 플러그인 기술을 이용하면

서 수없이 내려 받았던 보안모듈들이 유효하지 않게 된다는 것임

ㅇ 이에 대비해서 보안기술은 새롭게 발전하고 있는데, 가장 주목되는 분야는

사용자의 사용행태에 따른 분석임

- 흔히 FDS라고 얘기하는 이 프로파일 분석기술은 기술적 보안단계에서 인

간 행태적 보안단계로 넘어서고 있으며, 이 단계에서는 특정기술의 강요는

있을 수 없고 있어서도 안 됨

- 가장 중요한 것은 전체 보안사고의 압도적 다수가 기술적인 문제가 아니

라, 사람에 의한 보안 정보유출이라는 것인데, 이번 카드대란 사태와 같음

- 바로 제도와 문화적인 문제로 귀결되어 가는 것이며, 카드 대란은 서버 보

안의 대표적인 문제임

- 특정인이 전체 정보를 파악하지 못하게 하는 제도가 필요한 것이다

ㅇ 이제라도 금융거래 형태에 맞추어 다양한 금융인증방법을 금융기관에 넘겨

주면, 그리고 그 책임은 징벌적 배상제를 포함하여 금융기관에 부담하게 하

는 것이 바람직 함

- 징벌적 과징금이 아니라 징벌적 배상제가 되어야 하겠음

ㅇ 자율을 주고 결과에 대해서 엄격한 책임을 묻게 되면 선진금융과 같이 쉽

고도 보안이 유지되는 구조로 발전하게 될 것임

(4) 공인인증서 문제의 근본적 해법

□ 진전 없는 규제개혁

ㅇ 앞서 언급한 바와 같이, 기업호민관실이 2010년 1월 시작한 ‘1차 공인인증

서 규제 해소 운동’은 엄청난 격론 끝에 같은 해 5월 31일 행안부, 금융위,

금감원, 방통위와 중기청 공동의 ‘금융기관에 인증방법 선택권 부여’라는 희

- 9 -

망찬 보도자료를 총리실 명의로 발표하며 마무리됐음

- 공인인증서 외에도 다른 거래 방법을 다양하게 허용하겠다는 발표에 대해

수많은 네티즌들이 환영의 글을 올리고 기대에 부풀었음

ㅇ 그러나 4년이 지난 지금, 막상 바뀐 것이 없을 뿐 아니라, 국민들의 공인인

증서 규제에 대한 불만은 폭발 직전인 상황

ㅇ 당시 호민관실이 도출한 가이드라인은 이용자 인증, 서버 인증, 암호화, 무

결정, 부인방지 등 5가지 요건을 충족하면, 인증방법평가위원회의 평가를

받아 금융거래를 할 수 있게 하였으나, 문제는 평가위원회를 금융감독규정

시행세칙에 규정하고 공인인증서 금융 규제의 주무기관인 금감원에 설치한

것에서 시작됨

- 평가위원회는 2년간 개점휴업을 하다가, 30만원 이하의 거래에 한해 두 개

의 공인인증서 비사용 거래방법을 인증했으나, 30만원 이하는 원래 공인인

증서 예외 대상이었다는 점에서 규제는 줄어든 것이 아니라 늘어난 셈이

되었음

- 더 이상한 문제는 평가위원회가 인증하고 국제 기준에 부합하는 두 개의

대안도 지금까지 금융기관이 보안 규정을 이유로 사용을 거부하고 있다는

점임

ㅇ 더욱 이상한 점은 애플스토어(한국), 구글플레이(한국)와 어도비(한국)는 공

인인증서를 사용하지 않고도 100만원 넘는 결제를 간편하게 하고 있다는

사실임

- 영어 페이지로 된 대한항공, 아시아나도 공인인증서 없이 거래가 가능함

ㅇ 그렇다면 당시 문제 삼았던 한국 공인인증서의 약점들은 해소되었는지 그

여부를 확인결과, 서버 인증이 없어 수많은 피싱 피해를 야기하는 문제는

여전하였음

- K은행, C은행 등과 대다수의 보험사들은 여전히 보안이 안 되는 상태에서

인증작업을 하고 있음

- 10 -

- 암호화만 제대로 됐어도 작금의 개인정보 유출의 문제는 극소화됐을 것임

- 한국의 공인인증 거래는 아직도 당시 제시된 기준에 미흡한 것이 사실임

ㅇ 문제는 ‘소나기가 오면 피하고 보자’는 식의 일부 국가기관의 편법 대응 때

문임

- 공인인증서 강제 규제는 없앤다고 보도자료를 낸 후, 문제 제기자가 물러

나기를 기다린 뒤 평가위원회를 방패로 실질적 규제 개선은 미뤘는데, 대

표적 사례가 바로 현재 공인인증 기반의 금융거래 규제임

□ 규제혁신을 향하여

ㅇ ‘글로벌 표준에 맞는 다양한 공인인증 서비스 허용’은 박근혜 대통령의 공

약집에 엄연히 수록돼 있는 구절이며, 대선 당시 안철수 후보는 더 나아가

아예 공인인증서 기반인 ‘액티브X’의 폐지를 공약한 바 있음

ㅇ 다보스포럼에서 대통령이 천명한 규제 개선을 통한 창조경제 구현에 있어,

‘전자금융거래의 갈라파고스 규제 타파’는 절대적이라 볼 수 있겠음

- 다양한 서비스를 막는 근거는 법률도 아니고 시행령도 아니고 시행세칙도

아닌데, 금감원 내부의 금융감독규정 하부의 금융감독규정시행세칙에 근거

한 전 세계에 유례없는 혹독한 실질적 규제로 작용 중임

ㅇ 한국을 뒤덮는 공인인증서 대란의 해법은 의외로 간단한데, 국회의 법률 개

정도 국무회의 시행령 개정도 필요 없으며, 단지 금감원 내부 규정의 하부

세칙만 손보면 될 것으로 판단

ㅇ 지난 4년간의 경험에서 규제 해소는 규제 기관에 맡기면 안 된다는 사실을

기초로, 현 정부가 공약한 다양한 인증방법의 평가위원회는 금감원의 관리

를 벗어나야 함

- 분명 2010년 당시 민간 평가기관의 의견을 수용하겠다는 약속을 하고 이

행하지 않는 규제 기관에 계속 관리를 맡길 수는 없겠음

ㅇ 전자금융에 대한 국제기준인 ‘바젤 협약’은 ‘국가는 특정 기술을 강요하지

- 11 -

않아야 하고 금융기관이 반드시 선택해야 한다’는 선언을 담고 있는데, 그

이유가 무엇인지 규제 당국은 곰곰이 생각해 봐야 할 것임

(5) 안전하고 편리한 금융거래

□ 금융거래의 본질

ㅇ 금융거래는 안전성과 편리성이 갈등구조 속에 있음

- 동네 슈퍼에서 생필품을 살 때마다 주민등록증과 인간증명을 요구하는 것

은 타당하지 않으며, 비밀번호 하나만으로 수십억의 돈을 빼내갈 수 있는

것도 뭔가 불안함

ㅇ 안전성과 편리성이 양 극단으로 치우쳐진 문제가 바로, 금융거래의 갈등구

조임

- 안전성을 강조하게 될수록 보안의 단계는 강화되고, 단순한 비밀번호에서

일회성 비밀번호로 생체인증과 강화된 보안토큰 등으로 레벨업 되면서 단

일인증이 아닌 복합인증을 요구하게 됨

ㅇ 한국은 공인인증서와 더불어 보안카드 혹은 SMS 문자를 통한 일회성 비밀

번호를 사용하고 있는데, 공인인증서 또한 비밀번호를 요구하여 보안단계를

높이고 있음

□ 해외 금융기관의 현황

ㅇ 전 세계 금융기관들은 금융거래의 측정에 맞추어 보안레벨을 서로 다르게

적용하고 있음

- 간단한 거래에는 심지어는 카드 서명도 받지 않는데 문제가 생기면 업주

가 책임진다는 것임

ㅇ “한국의 전자금융은 편리한 것인가?” 라는 질문에 대해서 답은 분명히 아니

- 12 -

라는 것임

- 해외교포가 한국에 와서 온라인 물품구매를 하려고 두 시간 동안 각종 인

증서와 보안모듈을 다운받고 다시 컴퓨터의 OS를 다운 그레이드하고 익스

플로어 레벨을, 브라우저의 레벨을 낮추고, 심지어는 64비트에서 32비트로

체계 변경한 다음에 포기하는 사례들이 숱하게 보고되고 있음

ㅇ 이와 같이, 한국의 금융거래는 복잡한 구조를 띠고 있는데, 과연 안전성은

문제가 없는지 의문시 됨

- 보안 이론의 측면에서 보면 전 세계의 대부분의 국가가 통상적으로 사용

하는 SSL+OTP 방식에 대해서 전혀 안전하지 않음

- 오히려 피싱과 파밍과 같은 서버인증 부재에 의한 위험도에 무방비하게

노출되어 있을 뿐임

ㅇ 그렇다면 편리한 것이 특징인 아마존의 원클릭(one click)은 안전하지 않은

것인지, 전 세계 23개 통화에 사용하는 페이팔은 어떻게 운영되는지 질문할

수 있겠음

- 바로 편리하고 안전하기 위하여 수많은 기술적 뒷받침의 노력이 뒤따르고

있으며 책임도 해당업체가 지는 형태

ㅇ 전 세계의 카드사들의 새로운 보안체계는 FDS 라고 하는 행태분석 보안인

데, 이것은 사용자에게는 편리성을 제공하고 안전성을 보장하는 지능형 금

융보안기법임

- 평소의 행태와 다른 거래가 이루어지면 통보가 오는데2) 이와 같이 평소와

다른 행태의 지출이 확인되면 이를 통보하고 경우에 따라 보류하는 것이

첨단기법들인 것임

- 문제는 이러한 안전하고 편리한 금융 방어기법일수록 이를 개발하는 사람

들에게는 지인의 금융거래 형태들이 낱낱이 분석되게 되고, 정보가 금융기

관에 빅 데이터로 쌓이면 쌓일수록 안전하고 편리한 금융거래는 가능해지

게 됨

2) 있었던 자동이체 대규모 인출사건에서도 핵심이 된 것은 문자알림 서비스였음

- 13 -

ㅇ 그러나 이와 같은 보안으로 엄격하게 관리되어야 할 개인정보들이 빠져나

가게 되면 편리한 칼은 흉기가 되어 돌아올 수 있다는 것도 간과해서는 안

될 것임

□ 새로운 보안기술의 방향

ㅇ 지능형 보안과 철저한 내부 서버 보안 제도가 새로운 보안기술의 방향임

- 이 기술에서는 어떤 거래형태만 이상 형태로 지목하게 될 경우 상대에게

나의 패를 노출시키게 됨

- 마치 각종 검색 사이트들이 자신의 최종적인 검색 알고리즘을 밝히지 않

는 이유와도 같음

ㅇ 자율과 경쟁이 문제를 해결할 때 통제와 보호의 사고는 문제를 악화시켜갈

뿐이며 이제는 한국 금융기관들에게 자율을 주고 책임을 묻는 방식을 채택

하는 것이 국가적으로 바람직 할 것으로 전망

- 정부가 통제한다면 금융 사고의 책임은 정부가 져야 한다는 것이 법리적

인 귀결임

- 다시 한 번 바젤 협약을 상기해 보면서 정부의 획일적 규제는 지양해야

하며, 금융기관이 결정하고 스스로 책임지게 하는 것이 바람직하다는 것을

강조하는 바임

□ 전자금융 보안에 대한 근본적인 대책

ㅇ 다시 한 번 강조하지만 한국이 전자금융과 보안의 선진국이 되기 위해서는

다음과 같은 조치가 취해져야 함

ㅇ 금감원으로부터 인증방법 평가위원회를 분리 독립시켜서 자율적 운영 보장

ㅇ 전자금융법을 개정하여, 공인인증서 강제 규제 근거를 철폐

- 14 -

Ⅱ. 공인인증서의 역사와 현재

1. 전자금융과 인증 문제

(1) 전자금융 인증의 필요성 등장

□ 전자서명과 인증3)

ㅇ 인터넷 상에서 거래 당사자들이 인증기관을 매개로 하여 신뢰관계를 구축

하고, 이 신뢰를 바탕으로 거래를 할 수 있도록 도와주는 방안으로 개발된

것이 전자서명과 인증 방법임

- 인증기관은 불특정 다수인의 전자서명정보(키)의 인증을 효율적으로 수행

하고, 인증의 공신력을 제고하여 전자문서 이용관련 분쟁을 최소화하기 위

한 기능을 수행함

ㅇ 일반적으로 전자서명이란 서명인의 인증(신원의 동일성 확인), 문서에 대한

원본확인(무결성4)), 그리고 전자문서 송수신 사실에 대한 부인방지(부인봉

쇄5))의 요건이 충족될 때, 수기서명과 동일한 효력을 갖게 됨

ㅇ 전자서명에 있어서 인증(Certification)이란, ‘인증기관이 전자서명에 사용된

서명자의 전자서명생성정보(키)가 일반에 공개된 전자서명검증정보(키)에 상

응하는 것으로 서명자로 표시된 자의 것임을 신원확인 등의 방법을 통해

확인하고, 이러한 내용을 일반인 누구나 쉽게 알 수 있도록 공개·공시하는

일련의 행위’를 말함

- 우리나라 전자서명법에서는 “인증”이란 전자서명생성정보(개인키)가 가입

자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다

(법 제2조 제6호)고 규정하고 있음

3) 부분은 이정현(2012)의 논문을 참조로 작성되었습니다.

4) 전자서명 작성자가 작성한 내용이 송신과정에서 위조, 변조 되었는지 여부를 확인하는 기능을 말한다(이정현,

2012).

5) 전자문서를 서명하여 보낸 사람이 나중에 그러한 내용을 보낸 바가 없다고 부인할 때 원문과 전자서명을 모두

제시하면 그러한 원문으로부터 그러한 전자서명을 만들 수 있는 사람은 그 사람 본인이라는 사실로부터 그 부

인을 방지(봉쇄)할 수 있는 기능을 말한다(이정현, 2012).

- 15 -

[그림� 1]� 대면거래와�전자거래�비교

자료:� 라온시큐어� (http://blog.raonsecure.com/50)

□ 인증서와 공인인증서6)

ㅇ ‘인증서’란 “전자서명정보가 가입자에게 유일하게 속한다는 사실 등을 확인

하고 이를 증명하는 전자적 정보”(전자서명법 제2조 제7호)를 의미하며, ‘공

인인증서’라 함은 “공인인증기관이 발급하는 인증서”(전자서명법 제2조 제8

호)를 의미함

- 즉, (공인)인증서로 전자서명을 하면 상대방이 서명한 사람이 누구인지를

확인할 수 있고, 전자 문서의 위조나 변조를 예방할 수 있으며, 거래사실

을 증명할 수 있도록 되어 있음

ㅇ 우리나라는 전자서명법에 따라 공인인증서 체계를 도입하여 운영하고 있으

며, 공인인증서는 공인인증기관이 발행하는 일종의 사이버 거래용 인감증명

서라고 할 수 있음

- 공인인증서는 인감증명서의 소유자와 인감도장, 발급자, 발급자의 도장 등

6) 부분은 이정현(2012)의 논문을 참조로 작성되었습니다.

- 16 -

인감증명서와 유사한 내용을 담고 있음

[그림� 2]� 인감증명서와�공인인증서의�비교

자료:� 인터넷진흥원(2010)

(2) 우리나라의 공인인증 기술 개발

□ 강화된 암호화 모듈의 필요성과 독자 보안모듈의 개발

ㅇ 인터넷 뱅킹이나 인터넷을 이용한 다양한 금융 거래들이 활발해지면서 이

에 대한 보안에 대한 요구가 높아지면서, 취약한 웹 브라우저들의 암호화

모듈의 문제점이 제기됨

- 1990년대 말 웹 브라우저들은 암호화 모듈을 40bit로 제공하였는데, 전자거

래에 있어서 40bit 방식은 해킹될 가능성이 높기 때문에 보안의 취약성이

문제됨

- 미국은 암호화 알고리즘이 국가 기반 암호화 기술이라고 자국 내에서만

128bit 암호화 모듈을 허용하고, 타국이 사용하는 것을 제한하여 외국은

40bit만 허용함)

- 17 -

ㅇ 따라서 정부는 전자서명 및 전자상거래법 제정을 위한 준비를 하면서, 금융

보안을 강화하기 위하여 취약한 웹 브라우저의 암호화 모듈 대신 자체적으

로 128bit 암호 모듈을 개발하기로 함

ㅇ 128bit 암호 모듈 방식의 전자서명 수단을 개발하기 위하여 정부는 당시

ETRI(한국전자통신연구원)에 기술 연구를, NIP(정보통신산업진흥원)에 운영

을 요청하여 공인인증서 개발을 시작함

- 암호 모듈이 보안과 관련이 되면서 국정원이 보안에 대한 지침을 내려 암

호화 알고리즘을 우리의 기술로 된 것으로 한정하고, 당시에는 SEED, 지

금은 ARIA라는 국내 암호화 기술을 암호화 방식으로 사용하도록 함

□ 공개키 기반구조의 보안모듈

ㅇ 우리나라에서 개발한 암호 모듈은 공개키 기반구조(PKI: Public Key

Infrastructure)를 기초로 한 디지털 서명(Digital Signature)으로 이는 대표

적인 전자서명 방식임

ㅇ 공개키 기반구조(PKI)란 비대칭 암호화방식을 이용하여 인터넷상의 안전성,

신뢰성을 보장해 주기 위한 정보기술로 거래 당사자의 신원확인과 거래 사

실을 보호하기 위한 기술임

- 이는 공개키와 개인키를 통해 데이터를 암호화 및 복호화하는 과정으로,

거래 당사자가 똑같은 비밀키를 공유해야 하는 전통적인 암호화 방식에서

의 불편함을 최소화하고자 만들어진 것임

ㅇ 이에 따라 우리나라의 공인인증서는 국가 공개키(National PKI: NPKI)를 기

반으로 하는 비대칭 암호화방식의 공개키와 전자서명을 관리하는 공인인증

제도가 마련이 됨

□ 공개키 암호모듈 작동 원리

ㅇ 사용자는 RA(registration authority)에 인증서 발행요청 RA는 CA(certificate

authority)에 요청하고 CA는 사용자에게 인증서를 발행함

- 18 -

ㅇ 사용자는 발행된 인증서로 물품구매 등을 시행하는데 이때 인증서는

VA(validation authority)에서 확인해주고, VA는 CA로 부터 정보를 확인함

ㅇ PKI라는 이름은 이 인증서 시스템이 개인키/공개키 기반의 암호화 알고리

즘을 사용하기 때문임

- 암호화 메시지를 보낼 때: 상대방 공개키로 암호화, 상대방은 자신의 개인

키로 해독

- 전자서명을 할 때: 자신의 개인키로 암호화, 상대방은 내 공개키로 내가

보낸 것임을 확인

[그림� 3]� 공개키�기반구조(PKI:� Public� Key� Infrastructure)

자료:� 김인성(2013)� 자료�재구성

□ 암호 모듈의 웹 브라우저 이식: 플로그인 방식

ㅇ 당시 인터넷 거래의 기반이 되는 웹 브라우저(Web browser)가 마이크로소

프트의 인터넷 익스플로러(IE: Internet Explorer)가 대다수였고 그 외의 웹

브라우저 역시 외국 웹브라우저였기 때문에 국내 암호화 알고리즘을 자체

적으로 지원해줄 수 있는 방법이 없어, 결국 플러그인 방식을 도입하여 사

- 19 -

용자용 공인인증서(암호화 모듈)을 설치하기로 함

- 따라서 당시 가장 많이 사용하는 윈도 기반의 IE에서 동작하기 위해

ActiveX라는 플러그인 기술을 쓸 수밖에 없게 됨

ㅇ 이러한 방식의 우리나라 공인인증서는 ‘클라이언트’(접속 고객)의 신원확인

(인증; authenticate)을 위한 인증서임

[그림� ]� 플러그인의�취약성

자료:� 김인성(2013)� 자료�재구성

ㅇ 이후 1999년 말 미국 정부는 128bit 암호기술 수출을 허용하고, 2000년에는

웹 브라우저에서 128bit 보안 모듈이 내장되고, 산업 표준처럼 사용하고 있

는 AES의 128bit 암호화 기술이 오픈되면서 플러그인 방식의 암호화 모듈

필요성이 사라지게 됨

- 20 -

2. 공인인증서 제도의 정착

(1) 정부 주도의 공인인증서 보급

□ 전자금융거래에서의 공인인증서 사용 확대7)

ㅇ 1999년 7월 신한은행이 공개키기반구조(PKI)의 전자서명을 이용한 인터넷뱅

킹을 시작한 이후 각 은행별로 사설인증서를 발행하면서 비밀번호에만 의

존하던 보안이 강화되기 시작함

ㅇ 이후 정부는 2000년부터 전자거래의 안전성과 신뢰성을 확보할 수 있다는

취지로 2001년부터 공인인증서 1,000만 이용자 확보정책을 추진하는 한편,

지침으로 2003년 3월부터 온라인 증권거래 서비스에 공인인증서를 의무적

으로 사용하도록 하고, 2004년에는 전자금융거래법 및 전자금융감독규정에

따라 모든 전자금융거래에서는 공인인증서를 의무적으로 사용하도록 함

- 전자금융거래에서의 공인인증서 사용 의무화는 당시 전자서명법의 주무부

처인 정보통신부가 아니라 금융감독위원회(금융감독원)에서 주도함

ㅇ 2001년 공인인증서 1,000만 이용자 확보정책을 추진하면서 정부는 당시 공

인인증서의 1장당 가격은 1만원으로 책정하였으나 우선은 시장이 정착하는

것이 급선무라는 정책적 판단에 따라 1천만 이용자 확보시까지 무료로 발

급하는 것을 공인인증기관간 합의하여 추진함

ㅇ 이후 2005년 2월말에 공인인증서 총 발급건수가 1,000만 건을 달성하게 되

었고, 무료로 보급된 공인인증서를 유료화하지 않는 경우 공인인증기관의

생존이 곤란하다는 문제에 봉착함에 따라 개인용 공인인증서의 유료화가

추진됨

- 개인 공인인증서 발급 유료화 관련하여 당시 정보통신부, 금융감독원, 행

정자치부, 소비자단체 등 관련 기관간 이견사항이 발생하여 결국 국무조정

실이 조정(안)을 제시하여(2004.8.20.), 5개 공인인증기관은 범용 공인인증

7) 부분은 이정현(2012)의 논문을 참조로 작성되었습니다.

- 21 -

서의 수수료를 개인 4,400원/년(부가세 포함)으로 책정하여 신고하게 됨

- 이에 따라 공인인증서는 개인과 법인을 대상으로, 이용범위에 제한이 없는

‘범용’과 이용범위에 제한이 있는 ‘용도제한용(은행용, 금융투자요, 신용카

드용)’인증서로 이원화되고 전자민원 서비스와 같은 경우 국민편의를 위하

여 모든 공인인증서에 기본적으로 무료 제공되도록 됨

(2) 공인인증서 제도

ㅇ 우리나라의 공인인증체계는 아래와 같으며, 2000년에서 2002년 사이에 한국

정보인증, 코스콤, 금융결제원, 한국전자인증, 한국무역정보통신 등 5개의

공인인증기관이 지정되어 2종(범용 및 용도제한용)의 공인인증서를 발급해

주고 있음

- 범용 공인인증서가 모든 이용분야에서 이용할 수 있는 인증서로, 인터넷뱅

킹, 온라인증권, 전자상거래, 전자정부 민원서비스, 4대 사회보험, 국세청

홈텍스, 전자세금계산서, 전자입찰/조달, 온라인교육, 예비군 등 다양한 분

야의 업무를 하나의 공인인증서로 이용할 수 있음

- 용도제한 공인인증서는 인터넷뱅킹 등 특정분야에서만 이용할 수 있도록

해당 기관이 고객에게만 발급하는 인증서임

[그림� 4]� 한국의�전자서명�인증관리�체계

자료:� 인터넷진흥원(http://www.kisa.or.kr/business/public/public3.jsp)

- 22 -

□ 공인인증서 발급 및 이용 절차8)

ㅇ 공인인증서를 발급받기 위해서는 주민등록증 등 공인 신분증(외국인의 경우

외국인등록증, 재외 국민의 경우 여권)을 지참 하여 공인인증기관 또는 등

록대행기관을 직접 방문하여 공인인증서발급 신청을 하여야 함

- 등록대행기관: 공인인증기관을 대신하여 신청자의 신원을 확인하고 이에

수반되는 각종 인증서비스를 대행하는 기관으로 은행, 증권사, 우체국, 상

공회의소, 재외공관(재외 국민의 경우) 등이 있음

ㅇ 등록대행기관은 신원을 확인한 후 전산등록을 통해 관련 정보를 공인인증

기관에 전송하고, 공인인증기관은 수신한 정보를 이용하여 신청자의 참조번

호와 인가코드를 등록대행기관에 전송하고 등록대행기관은 이를 신청자에

게 직접 전달함

- 일부 공인인증기관의 경우에는 전자적으로 참조번호와 인가코드를 전달하

고 공인인증서 생성단계에서 자동으로 입력하도록 하고 있어 가입자가 참

조번호와 인가코드의 존재를 인식하지 못하기도 함

ㅇ 참조번호와 인가코드를 수령한 신청자는 자기 집이나 사무실 등 네트워크

를 이용할 수 있는 컴퓨터 단말장치를 통해서 온라인으로 공인인증기관 또

는 등록대행기관 홈페이지에 접속하여 참조번호와 인가코드를 입력하고 절

차를 진행하면 공인인증기관은 신청자의 공인인증서와 전자서명 생성정보

를 생성하여 가입자의 인증서 저장매체(하드디스크, USB 등)에 저장함

- 전자서명 검증정보는 공인인증서의 저장소(디렉토리 서버 :Directory

server)에 저장·게시함

ㅇ 공인인증서를 발급받은 가입자는 발급받은 공인인증서를 이용하여 전자거

래 기관(인터넷 뱅킹, 온라인쇼핑, 증권사 등), 전자정부 민원사이트 등을

방문하여 자금이체, 상품구입후 전자결제, 증권의 매매, 민원서류의 열람·발

급 등을 할 수 있게 됨

8) 부분은 이정현(2012)의 논문을 참조로 작성되었습니다.

- 23 -

ㅇ 전자거래 기관은 공인인증서를 이용하여 자신의 웹사이트에서 거래행위를

한 자의 신원 등을 공인인증기관에 검증 요청함으로써 정당한 권리자인지

여부를 판단할 수 있음

ㅇ 현재 공인인증서 사용 및 발급의 가장 큰 문제점은 우리나라 사이트에서

전자거래를 하려면 공인인증서가 있어야 하고, 공인인증서는 발급기관을 방

문해서 신청해야 하는 문제임

- 해외에 체류하고 있는 재외 국민의 경우 각 나라에 한 두 개 밖에 없는

영사관이나 대사관 등 재외 공관을 몇 시간이나 걸려 방문해야만 공인인

증서를 받을 수 있음

[그림� 5]� 공인인증서�발급�절차�및� 전자거래�이용

자료:� 소프트웨어진흥원(2008)9)

9) , “디지털콘텐츠 거래인증제도 확대를 위한 유사절차 연계방안 연구”, 2008.9.

- 24 -

3. 공인인증서 기술의 문제점 대두

(1) 액티브X 기술의 보안 취약성 문제

□ 액티브X 기반의 공인인증서 기술

ㅇ 웹 브라우저는 외부의 프로그램을 실행하는 창이기 때문에 웹 브라우저가

실행하는 프로그램(즉 웹페이지)가 사용자의 PC(로컬) 정보를 접근하거나

수정하게 되면 보안 상 심각한 위협이 될 수 있기 때문에 기본적으로 웹

브라우저는 웹 페이지가 사용자의 컴퓨터에 접근하지 못하도록 철저히 차

단하는 방식으로 작동함

ㅇ 이는 웹 브라우저 상에서 다양한 기능을 실행하는 것을 제한하게 됨으로써,

웹 브라우저가 표준적으로 제공하지 않은 기능을 구현하여 사용하기 위해

개발된 기술이 플러그인 기술임

ㅇ 이렇게 웹 브라우저가 표준적으로 제공하지 않은 기능을 구현하여 웹 브라

우저에 이러한 기능할 제공하기 위해 사용자의 PC에 추가로 설치하거나 구

동되도록 하는 프로그램을 플러그인(plug-in)이라고 하는데 플러그인의 대

표적인 구현 기술이 자바 애플릿(applet)과 MS사의 액티브X(ActiveX)임

- 자바 애플릿은 자바 가상 머신 (Java Virtual Machine, JVM) 위에서 작동

하기 때문에 거의 모든 플랫폼(platform)10)에서 실행할 수 있지만 ActiveX

구성 요소는 공식적으로 MS사의 IE 웹 브라우저와 MS 윈도 운영체제에

서만 동작함

- 자바 애플릿은 모든 플랫폼에서 작동하는 장점이 있지만 속도가 느린 단

점이 있고, 액티브X는 윈도우 운영체제의 인터넷 익스플로러에서만 작동

하는 단점이 있지만 속도가 빠른 장점이 있음

□ 액티브X 기술의 보안 취약성

10) 용어는 응용프로그램이 실행될 수 있는 기초를 이루는 컴퓨터 시스템을 의미한다.

- 25 -

ㅇ 그러나 이러한 액티브X 기술은 컴퓨터 바이러스와 스파이웨어(Spyware)와

같은 악성 코드(code)도 사용자를 속여 사용자의 PC에 설치될 수 있다는

문제점이 제기되면서, 마이크로소프트사도 액티브X의 사용 자제를 권고하

고, IE8과 윈도우 7부터는 액티브X를 공식적으로 지원하지 않고 있음

[그림� 6]� 가장�위험한�플러그인,� ActiveX

자료:� 김인성(2013)� 자료�재구성

ㅇ 따라서 공인인증서를 사용하기 위해서는 액티브X를 설치해야 되고, 이를 위

해서는 액티브X를 설치할 수 있도록 사용자 PC의 보안 등급을 낮추거나

“다음 프로그램이 이 컴퓨터를 변경할 수 있도록 허용하시겠습니까?”라는

보안 경고창이 떠도 어쩔 수 없이 “예(Y)”를 해야 하는 문제가 발생함

ㅇ 결국 스파이웨어 숙주나 악성 코드가 액티브X의 형식으로 관리자 모드에서

사용자의 PC에 설치되고 대다수의 사용자는 악성 코드가 시스템 폴더에서

작업을 하더라도 이를 인식하지 못하는 문제가 발생함

- 무차별 살포 방법: 보안이 허술한 웹 서버를 공격하여 보안 회사들이 배포

하는 ActiveX와 이름이 유사한 해킹 앱을 ActiveX로 포장하여 배포하면,

사용자들은 ActiveX 보안 경고가 나오면 무조건 "예"를 누르도록 습성화

되어 있으므로 쉽게 해킹 툴을 배포하는데 이용됨

- 26 -

- 타켓팅 공격: 공격해야 되는 대상의 이메일을 알아내어 금융회사에서 보내

는 보안 메일 등으로 위장한 메일을 보내면, 보안메일을 열기 위해서는

ActiveX를 설치하는 것이 당연하므로 대부분의 사용자가 속아서 해킹앱을

설치하게 됨

ㅇ 외와 같은 액티브X 방식의 공인인증서 보안 취약성 때문에 또 다시 액티브

X 방식의 스파이웨어 방지, 키보드 해킹 방지, 백신, 방화벽 프로그램을 제

공해야 하는 보안의 모순이 계속됨

□ 공인인증서 보관의 문제

ㅇ 현재 한국의 공인인증서는 “NPKI”라는 이름의 폴더를 만들고 그 속에 공

인인증서(사용자 인증서)와 개인키를 저장하도록 되어 있고 액티브X 프로그

램이 인증서와 개인키 파일을 읽는 방식임

- 한국 내에서만 통용되는 위치(NPKI 폴더)와 파일명칭(signCert.der,

signPri.key)으로 저장되어 있음

- 따라서 국제 규격을 준수하여 인증서와 개인키 “파일 자체”을 만들었다

해도, 그 파일들이 저장되는 위치와 방법이 전 세계 어떤 웹브라우저도 인

식 못하는 “한국형”이라는 문제가 발생

ㅇ 아무리 암호화되었다고 하지만 인증서와 개인키를 특정 “NPKI” 폴더라는

눈에 보이는 폴더에 저장하는 것은 해커에 목표를 노출시키는 것과 다름없

음

- USB에 저장하였을 경우, USB폴더 안을 보면 NPKI라는 폴더가 있음

- 하드디스크에 저장했다면, C:\Program Files\NPKI 또는

%UserProfile%\AppData\LocalLow\NPKI\ 에 있음

ㅇ IE, Chrome, Firefox 등은 인증서를 key isolation 이라는 기술을 이용하여

key chain 등으로 임의의 폴더에 저장하여 찾기 어렵게 하고 있음

ㅇ 숨겨진 폴더가 아니 눈에 보이는 폴더에 공인인증서가 저장되어 있어 단순

- 27 -

복사 기능으로 다른 매체로 전송이 가능하여 유출에 대한 방비가 없음

- 일반적으로 사용자들이 다른 계정 암호와 인증서 암호를 같게 정해두고

쓰는 경우가 대부분이고, 다른 계정 암호는 쉽게 유출됨

- 이미 2007년에도 5,000장 이상 유출된 적이 있고, 2013년에도 700장 가량

유출된 것이 발견되었음

ㅇ 공인인증서는 유저의 계좌번호, 계좌비밀번호, 보안카드번호를 알면 누구든

지 온라인상으로 재발급 받을 수 있고, 인증서 암호도 재설정이 가능

- 따라서 공인인증서를 ‘재발급’ 받는데 필요한 정보를 고객으로부터 받아내

기 위한 보이스피싱, 파밍 등의 해킹 표적이 되고 있음

[그림� 7]� 인증서�보관�방법

□ 공인인증서 보완 강화 수단의 등장11)

ㅇ 공인인증서와 함께 인터넷뱅킹 인증의 한 부분을 담당하고 있는 수단이 보

안카드12)로 2004년부터 인터넷뱅킹에서 보안카드 사용이 의무화 됨

11) 부분은 이정현(2012)의 논문을 참조로 작성되었습니다.

12) 일반적으로 사용하는 보안카드는 35칸에 4개씩의 숫자가 배열되어 있는 일종의 난수표로, 계좌이체를 할 때

무작위로 요구하는 숫자를 입력함으로써 인증이 이루어진다. 또한 카드 상단에는 10자리의 보안카드번호가 있는

데, 이는 공인인증서 재발급 등 특수한 경우에 인증수단으로 사용된다(이정현, 2012).

- 28 -

ㅇ 보안카드는 35개 이내의 난수가 적혀진 카드로, 전자금융 거래시 사용자가

카드에 인쇄된 번호를 직접 입력하고, 응답번호와 일치여부를 판단하여 전

자금융거래를 수행함

- 보안카드는 비밀번호의 약점을 보완할 수 있는 쉽고 저렴한 인증방법으로,

카드 형태로 휴대가 용이하여 텔레뱅킹(Telebanking) 때부터 부분적으로

사용되어 온 방식임

- 현재 모든 은행과 대부분의 증권사가 전자금융거래를 위해 사용하고 있으

며 인증을 위해 사용된다는 점은 같지만 안전카드, 시크릿카드 등

명칭이 각기 다름

ㅇ 그러나 각 금융기관의 보안카드를 모두 휴대해야 하는 번거로움 때문에 PC

에 보안카드 이미지를 저장해 놓았던 파일이 유출되거나 해킹프로그램 등

을 이용하여 사이버 사기에 사용되는 사례가 나타나면서, 금융감독원에서

OTP(One Time Password)13)와 HSM(Hardware Security Module)의 사용을

장려하고, 본인인증수단에 따라 보안등급을 설정하여 이 등급에 따라 거래

한도를 차등화 하도록 하는 조치가 이루어짐

ㅇ OTP란 인터넷, 휴대폰, 전화 등을 다양한 매체를 이용하여 은행, 증권, 선

물사의 전자금융 거래 시에 고정된 비밀번호 대신 사용되는 매번 새롭게

바뀌는 비밀번호 생성기임

- 보안카드의 경우 35개 이내의 비밀번호가 반복적으로 사용되므로 재사

용할 수 있지만, OTP는 일회용비밀번호로써 재사용이 불가능하고 생성된

OTP를 통해서 사용자의 비밀정보를 유추할 수 없음

- OTP의 경우 생성되는 값은 의미 없는 숫자로 구성되며, 생성되는 숫자

패턴 또한 100만개 이상의 임의 숫자를 조합하여 생성하는 특성이

있어서 다음에 생성할 OTP를 유추하는 것은 수학적으로 불가능하고, 오

프라인 추측공격 및 사전공격에도 안전함

13) One-Time Password( )는 매번 OTP발생기가 만들어내는 무작위의 비밀번호로 이용자를 인증

하는 방법으로, 각 금융권에서 따로 사용하던 OTP발생기를 현재는 OTP통합인증센터를 통해 하나의 OTP발생

기로 여러 은행·증권사·저축은행 등 금융기관에서 사용이 가능하게 되었다(이정현, 2012).

- 29 -

[그림� 8]� OTP와� 보안카드

(2) 인터넷 기술의 종속성 심화

□ 특정 브라우저의 종속성으로 글로벌 호환성 제한

ㅇ 액티브X 방식의 공인인증서가 개발될 당시 웹 브라우저의 대부분이 MS사

의 IE 였으나, 최근에는 전 세계적으로 구글(Google)사의 크롬(Chrome)이

더 많이 사용되고 있지만, 여전히 우리나라는 MS사의 IE 점유율이 높은 것

은 공인인증서를 사용하는 액티브X를 MS사의 IE 만 지원하기 때문임

- 세계 정보기술(IT) 시장조사업체 스탯카운터에 따르면 2014년 1월 한국 브

라우저 시장에서 인터넷 익스플로러의 점유율이 78.83%를 기록하였고,

구글의 크롬은 2012년 8월 점유율 20%대를 돌파하였다가 다시 낮아져 점

유율은 17.76%에 그침

- 반면, 2014년 1월 세계 브라우저 점유율은 크롬이43.67%, 익스플로러가

22.85%, 파이어폭스가 18.90%, 사파리가 9.73%임

ㅇ 따라서 공인인증서를 사용하여 업무를 보아야 하는 행정기관, 관공서, 금융

기관 등의 사이트를 이용하기 위해서는 MS사의 IE 만 사용해야 하고, 다른

기업에서 만든 웹브라우저에서는 이용이 불가능하여 정보통신시장에서 특

정기업의 독점이 심화되고 있음

- 30 -

[그림� 9]� 특정�웹� 브라우저�종속성

자료:� StatCounter

□ 인터넷 개방성 저하고 갈라파고스화

ㅇ 또한 파이어 폭스(Firefox,모질라), 크롬(Chrome, 구글), 사파리(Safari, 애플),

오페라(Opera, 오페라)등 타 브라우저를 사용하는 사용자들의 행정정보 접

근성을 제약하는 심각한 문제가 발생함

- 미국과 유럽 등에서는 대부분의 공공기관이나 은행 등 금융기관에서 웹

브라우저와 관계없이 차별 없이 서비스를 이용할 수 있도록 하고 있음

ㅇ 결국 국내 인터넷 생태계는 인터넷 익스플로러 의존성으로 글로벌 흐름을

따라가지 못하는 고립 현상(갈라파고스 현상14))을 겪고 있음

- 액티브X 등이 익스플로러에서만 제대로 열리는 기술에 의존해 서비스가

개발돼, 국내외 다른 브라우저 이용자들의 국내 서비스 이용과 유입에 걸

림돌로 작용함

- 또 한국은 인터넷 익스플로러 사용자를 노린 사이버 공격에 특히 취약할

수밖에 없음

14) 증후군(신드롬)[Galapagos Syndrome] 또는 갈라파고스 현상이란 세계시장의 추세와 동떨어진 채

자신들만의 표준을 좇다가 고립을 자초했다는 뜻으로, 1990년대 이후 일본 제조업 특히 IT산업이 자국 시장에

만 안주한 결과 경쟁력이 약화되어 세계시장에서 고립된 현상이나 우리나라가 핸드폰에 WIPI만을 표준으로 고

집하여 iPhone의 도입이 지연되면서 스마트폰 시장에 대한 대응이 몇 년 늦은 경우를 설명하는 용어이다.

- 31 -

[그림� 10]� 한국의�인터넷�갈라파고스화

□ 인터넷 갈라파고스화에 따른 온라인 무역 역조

ㅇ 이와같은 공인인증서로 인한 우리나라의 인터넷 갈라파고스화는 온라인 무

역 역조로 이어지고 있음

ㅇ 한국 인터넷 이용자의 해외 직접 구매 규모는 2010년 318만회, 2억4200만

달러에서 2013년에는 1115만9000건에 10억4000만 달러(약 1조1029억 원). 4

배 이상 급증

- 2012년의 794만4000건, 7억720만 달러(약 7499억 원)에 비해 건수로는

40%, 금액으로는 47%나 늘음

- 최대 쇼핑 대상국은 미국(75%)이 압도적이었고 중국(11%), 독일(4%) 순이

었음

- 관세청에 집계되지 않는 소액구매까지 감안하면 실제시장 규모는 2배이상

될 것으로 추정되며, 이 속도라면 5년 후 8조원을 뛰어넘을 전망

ㅇ 문제는 한국 이용자가 많아질 뿐 외국인이 한국 사이트에서 직구를 하는

행태는 거의 없다는 점임

- 32 -

- 외국인도 30만 원 이상 금융거래를 하려면 공인인증서와 액티브X를 설치

하고 추가로 관련 보안 프로그램을 설치해야 하기 때문임

ㅇ 이처럼 한국 전자상거래 글로벌화는 발목이 잡혀있고, 전자상거래 국제 경

쟁력을 잃어버릴 가능성이 커지고 있음

- 한류 붐을 타고 외국인의 한국 사이트 접속 비율도 높아지는 상황에서 정

부의 기술적인 규제 때문에 매출이 일어나지 못하는 상황이 발생함

ㅇ 반면 해외 온라인 쇼핑 업체는 액티브X 장벽에 막혀있는 한국과 대조적인

으로 아마존 원클릭과 페이팔은 고객에게 돈을 쓰도록 편한 결제를 지원

- 원클릭이나 페이팔은 익스플로러 뿐만 아니라 크롬, 파이어폭스, 사파리

등 다양한 웹 브라우저와 OS를 지원하여, 그야말로 한 번 클릭으로 안방

쇼핑이 가능한 셈임

[그림� 11]� 해외�직구�현황

- 33 -

한국에서의 온라인 쇼핑 경험기

ㅇ 새해 초에 한 보안업체 보안전문가와 식사를 했다. 화제는 자연스럽게 사용하기에 너무나도 복잡한 한국의 온라인 금융과 쇼핑 사이트에 대한 이야기로 옮아갔다. 나는 미국의 아마존에서 단 한번의 클릭으로 사고 싶은 물건을 쇼핑하고,

피시든 맥이든 스마트폰이든 태블릿 컴퓨터에서든 별 불편 없이 온라인 은행거래를 하고 신용카드 사이트를 이용하던 경험을 말했다. 그리고 이제 한국에 돌아오니 새로운 사이트에 가입할 때마다 매번 휴대전화 본인인증을 통해 주민등록번호 등 과도하게 개인정보를 입력해야 하며 피시에서만 실행되는 공인인증서, 액티브엑스 설치 등을 요구해 이용이 너무 불편하다는 불만을 토로했다. 십여년간 이런 시스템에 익숙해진 한국인들에게는 문제가 아닐지 모르지만 내게는 명백한 ‘비정상’인 것이다. 그리고 내 생년월일 등 개인정보가 고스란히 드러난 주민등록번호를 넘겨줄 때마다 마음이 불편하다는 말도 했다. 그러자 그분은 이런 이야기를 해주셨다.

ㅇ “사실은 아마존처럼 고객 입장에서 사용하기에 간단하고 쉽게 만드는 것이 업체에게는 더욱 어려운 것입니다. 아마존이라고 왜 보안 문제를 걱정하지 않겠습니까. 하지만 고객은 느끼지 못하게 하는 한편 뒤에서는 다양한 첨단 보안기술을 적용해 각종 해킹 시도를 막는 것입니다. 반면 우리나라 사이트들은 겉으로 보기에는 이중 삼중으로 고객이 복잡하게 인증을 하도록 해서 보안 강화를 한 것 같지만 사실 내부적으로 보안 기술은 별것이 없고 정보보호 관리체제도 허술합니다. 보안에 나름 투자하지만 정말 중요한 부분에 집중하기보다는 겉에 보이는 것만 보안을 강화하는 느낌이 있습니다. 그러다 보니 실제 보안 기술이 다양하게 잘 발전하지 못하는 편입니다.”

ㅇ 이 이야기를 듣고 고객에게만 복잡한 보안인증절차를 강요하고 필요 이상으로 과도한 개인정보를 받는 한국의 문화가 고객만 불편하게 하는 것이 아니고 아이티(IT)업계 전반의 혁신과 발전까지도 가로막는 비정상적인 문화라고 생각했다. 고객 중심이 아닌 행정편의적 문화다.

ㅇ 불신에 사로잡힌 한국의 온라인 쇼핑족들은 해외 직접구매로 고개를 돌리고 있다. 가격이 싸다는 장점도 있지만 이용하기도 편한 해외 온라인 쇼핑몰을 통한 ‘직구’ 규모가 지난해 1조원을 넘어섰다. 한국 고객들을 대상으로 엄청난 매출을 올리는 미국 온라인 쇼핑몰들이 회원들에게 미국 휴대전화번호를 통한 본인인증과 사회보장번호를 요구했다면 어떻게 됐을까. 반대로 보면 한국의 온라인 쇼핑몰들은 해외로 진출할 수 있는 길이 막혀 있는 셈이다.

출처: [임정욱의 생각의 단편] IT 비정상의 정상화 (한겨레신문 2014. 1. 20.)

- 34 -

(3) 서버 인증과 보안의 부재

□ 서버 인증없이 사용자용 인증서 배포

ㅇ 안전한 전자거래를 위해서는 서버 인증과 사용자(클라이언트) 인증(현재의

공인인증서)이 동시에 이루어져야 함

- 대부분의 공인인증서는 사용자가 서버 신원확인(서버인증)없이 서버 비인

증 접속(http 접속) 상태에서 서버가 제공하는 인증서, 액티브X 프로그램

을 내려 받아 설치하는 방식임

- 2010년경부터 우리은행(https://www.wooribank.com/)을 시작으로, 지금은

국민은행(https://www.kbstar.com/) 외환은행(https://open.keb.co.kr) 등

이 서버인증 접속을 사용하고 있음

ㅇ “서버” 인증서를 이용한 SSL(Secure Socket Layer)/TLS(Transport Layer

Security) 접속(https 프로토콜 접속)은 전 세계적으로 널리 사용되는 인증

서 기술로 서버의 신원(identity)을 확인하는 기능과 교신 암호화 기능을

모두 제공

[그림� 12]� 서버�인증과�암호화(SSL)

- 35 -

[그림� 13]� 서버�인증의�부재

□ 서버 관리 원칙의 부실

ㅇ 서버 인증과 함께 중요한 것은 서버 보안으로 특정인이 전체 정보를 파악

하지 못하게 하는 제도와 유지관리가 서버 보안의 핵심임

- 보안 관리자의 역할 분할, 보안 관련 조치의 기록 관리, 보안 관리자에 대

한 감사 등

- 암호화는 기초 중의 기초이나 금융기관들은 암호화에 50%의 컴퓨팅 파워

가 더 필요하다고 암호화조차 하지 않고 있으며, 금감원은 이대한 규정을

두지 않고 있음

ㅇ 오히려 사후약방문식의 기술적 규제는 금융 보안의 문제를 악화시키고 있

는데 대표적인 사례가 2011년 현대캐피탈 등의 금융대란 이후 만들어진 소

위 557 규정임

- 금융당국은 정보기술부문 인력을 5%, 정보보호 인력은 정보기술부문 인력

의 5%, 정보보호 예산은 정보기술 예산의 7%를 두도록 하는 소위 ‘557 규

제’를 도입

- 이와 같은 획일적 규제로 금융기관들은 해커의 방어라는 본질보다는 금융

- 36 -

당국의 형식적 규제만 통과하면 법률적 책임을 면할 수 있다는 인식을 키

워옴

[그림� 14]� 주요�금융사�개인정보�유출�사건

자료:� 전자신문(2014.2.18.)

- 37 -

4. 1차 공인인증서 개혁

(1) 새로운 금융보안의 필요성 등장

□ 모바일 혁명에서 시작된 공인인증서 규제 개현 논의

ㅇ 2009년 11월 아이폰 발매와 동시에 스마트폰의 수요와 공급이 폭발적으로

증가하면서, 이에 따라 스마트폰을 이용한 무선인터넷 사용이 증가함

ㅇ 그러나 국내 전자상거래의 경우 과도한 ActiveX 사용과 전자금융거래에서

의 공인인증서 필수 사용 등으로 인해 스마트 폰을 이용한 전자상거래가

제한을 받는 상황이 발생함

- 공인인증서 의무사용 규제가 스마트폰 등 새로운 인터넷 환경에 적용되기

어렵고 사용절차도 복잡하다는 지적에 따라, 다른 보안기술도 병행하여 사

용할 수 있도록 해달라는 요구가 증가함

ㅇ 전자상거래와 금융 서비스 관련 규제 개선에 대한 요구가 증가하면서, 기업

호민관실이 2010년 1월 시작한 ‘1차 공인인증서 규제 해소 운동’이 시작함

□ 공인인증서 이외의 인증 방법 허용 결정

ㅇ 공인인증서를 둘러싼 엄청난 격론 끝에 2010년 5월 31일에는 행안부, 금융

위, 금감원, 방통위와 중기청 공동의 ‘금융기관에 인증방법 선택권 부여’라

는 희망찬 보도자료를 총리실 명의로 발표하며 마무리됐음

- 2010년 3월 7일 행정안전부는 금융거래시 공인인증서만 보안 프로그램으

로 인정하고 있는 규제를 폐지하기로 함

- 정부와 한나라당은 전자금융거래시 공인인증서 의무사용 규제완화 방안

합의(2010.3.31.)

- 금융감독원,방송통신위원회 등은 종전의 법령(전자금융감독규정)을 수정하

거나 가이드라인 등을 제시하여 스마트폰에서 전자상거래가 가능하도록

추진을 함

- 38 -

- 국무총리실 주관 민관협의체에서 결정된 '전자금융 인증방법 가이드라인'

에 따라 공인인증서 의무사용 규제가 완화됨((2010.5.31.)

- 금융위원회는 전자금융감독규정을 개정하여 공인인증서 외 인증방법의 허

용 및 인증방법평가위원회 설치 근거를 마련함(2010.6.30.)

- 금융감독원은 2011.1월 인증방법 세부 기술평가기준을 확정해 발표하고 금

융권 및 전자거래 업체들을 대상으로 공인인증서 외 인증방법에 대한 기

술 평가 기준 설명회를 개최

ㅇ 이로 인해 2010년 4월부터 공인인증서를 사용하지 않고도 스마트폰을 이용

한 30만원 미만의 소액 결제가 가능하게 되었고, 2010년 하반기 부터는 e-

뱅킹과 30만원 이상의 전자결제에도 공인인증서 이외의 인증방법이 적용될

수 있도록 한다는 방침이 정해짐

- 액티브X가 실행되지 않는 스마트폰에서도 인터넷 뱅킹이 가능하게 되고,

공인인증서 외에도 다른 거래 방법을 다양하게 허용하겠다는 발표에 대해

수많은 네티즌들이 환영의 글을 올리고 기대에 부풀었음

(2) 실질적 개혁은 이루어지지 않음

□ 규제 기관이 규제 해소는 못함

ㅇ 지난 2010년 만들어진 인증방법 평가위원회에서는 본래의 목적과 달리 다

양한 인증방법의 도입을 유도하지 못함

ㅇ 평가위원회는 2년간 개점휴업을 하다가, 30만원 이하의 거래에 한해 두 개

의 공인인증서 비사용 거래방법을 인증했으나, 30만원 이하는 원래 공인인

증서 예외 대상이었다는 점에서 규제는 줄어든 것이 아니라 늘어난 셈이

되었음

- 더 이상한 문제는 평가위원회가 인증하고 국제 기준에 부합하는 두 개의

대안도 지금까지 금융기관이 보안 규정을 이유로 사용을 거부하고 있다는

- 39 -

점임

ㅇ 문제는 ‘소나기가 오면 피하고 보자’는 식의 일부 국가기관의 편법 대응 때

문임

- 공인인증서 강제 규제는 없앤다고 보도자료를 낸 후, 문제 제기자가 물러

나기를 기다린 뒤 평가위원회를 방패로 실질적 규제 개선은 미뤘는데, 대

표적 사례가 바로 현재 공인인증 기반의 금융거래 규제임

[그림� 15]� 심의완료�인증방법

자료:� 금융감독원�홈페이지�내� 인증방법평가업무

- 40 -

□ 인증방법 제목 : Amount authentication version 1.0

□ 적용 전자금융 거래형태 : 온라인 신용카드 결제

□ 전자금융 거래규모 : 30만원 미만(보안 나군)

□ 인증방법 승인서 발급일자 : 2012. 9. 7.

□ 인증방법 유형(요약)

- 전자금용거래 이용자가 인터넷 쇼핑몰 등에서 구매한 제품의 신용카드 승인을

요청하면 정보처리시스템은 6자리의 난수(000000 ~ 999999)를 생성하며, 이 때 생

성된 난수가 본인확인을 위한 인증키로 사용된다. 정보처리시스템은 생성된 난수

(6자리)의 앞 3자리에 1,000을 더한 값과 뒤 3자리에 2,000을 더한 값을 금액으로

하여 신용카드 승인을 처리하고, 이용자에게 승인금액(난수의 앞 3자리와 뒤 3자

리)의 입력을 요청한다.

- 승인금액 입력을 요청받은 이용자는 신용카드 거래내역 SMS 문자메시지, 신용

카드사 웹사이트, 신용카드사의 전용 응용프로그램 또는 신용카드사에 직접 전화

확인을 통해 신용카드 승인금액(인증정보로 사용하는 난수)을 확인하고 결제창에

입력하여 본인임을 검증하게 된다.

- 이용자가 입력한 난수의 유효성을 검증한 정보처리시스템은 본인 확인을 위해

기 처리하였던 신용카드 결제를 취소하고, 이용자가 요청한 원래의 금액으로 신용

카드 결제를 처리함으로써 전자금융거래를 완료한다.

출처: 금융감독원 홈페이지 내 인증방법평가업무

- 41 -

□ 인증방법 제목 : 일회성 인증 방식을 이용한 스마트폰 간편결제

□ 적용 전자금융 거래형태 : 온라인 신용카드 결제

□ 전자금융 거래규모 : 30만원 미만(보안 나군)

□ 인증방법 승인서 발급일자 : 2013. 3. 7.

□ 인증방법 유형(요약)

○ 회원가입

- 전자금융거래 이용자가 스마트폰에 간편결제 앱을 설치하고, 가입 절차에 따라

본인인증과 소유기기 확인과정을 수행한 후 6자리 이상의 PIN(비밀번호)을 설정함

으로써 회원등록을 완료한다. 이후 일회성 인증값 처리를 위한 비밀키를 생성하고

앱과 인증서버에 해당 키를 공유하며, 이는 각각 암호화되어 저장한다.

○ 결제수단 등록

- 이용자는 간편결제 앱에서 결제수단 등록 기능을 통해 결제수단 인증에 필요한

정보를 입력하고, 이 결제수단정보는 인증서버를 통해 금융사에 전송하여 정상 여

부를 확인한 후 간편결제 앱과 인증서버에 나누어 암호화되어 저장된다.

○ 일회성 인증 및 결제진행

- 온라인 쇼핑몰 웹페이지 또는 온라인 쇼핑몰 앱에서 신청된 결제요청정보와 가

맹점 정보가 인증서버를 통해 이용자의 간편결제 앱으로 전송되면 이용자는 PIN

(비밀번호)을 입력하여 결제요청정보를 확인하고, 기 등록된 결제수단을 선택함으로

써 결제를 진행한다. 이때, 간편결제 앱은 결제요청정보와 간편결제 앱의 일회성

인증값 비밀키 등을 활용하여 일회성 인증값을 생성하여 인증서버로 전송하며, 인

증서버는 전송된 일회성 인증값을 검증한 후 간편결제 앱과 서버에 나누어 저장되

었던 결제수단정보를 결합하여 전자지급결제대행업자를 통해 결제를 처리한다.

출처: 금융감독원 홈페이지 내 인증방법평가업무

- 42 -

Ⅲ. 외국의 전자거래 인증 및 기술 현황

1. 전자금융과 바젤 협약

(1) 외국의 전자금융 인증제도

□ 외국의 전자서명 및 인증제도15)

ㅇ 종래에는 PKI방식을 이용한 디지털서명만을 대표적인 전자서명 방식으로

인정하고 법제화하여 왔으나 2001년 7월 유엔국제상거래법위원회

(UNCITRAL)가 기술중립주의의 원칙(Principle of media-neutrality)과 기능

적 등가물(functionale quivalents)방식에 입각한 전자서명모델법(Model

Law on Electronic Signature)의 제정 후 디지털서명 외에 지문인식, 홍채인

식 등 다양한 전자서명기술이 발달하면서 전자서명의 개념을 확대하고 있

음

- 미국․독일 및 일본 등 각국도 디지털서명과 다른 전자서명기술의 이용을

억제하거나 제한하지 않는다는 기술중립주의를 수용하였고, 또한 대부분의

입법례에서 법령이 정한 일정한 요건을 갖춘 전자서명에 대해 법적 효력

을 부여하는 경향임

ㅇ 유럽연합은 1999년 12월, ‘전자서명입법지침’(EU Electronic Signatures

Directive)을 채택하여 법적 효과를 가진 전자서명을 위한 유럽연합 기준을

정함

- EU 전자서명 입법지침은 인증서비스 제공자는 당국의 사전 허가 없이 자

유로이 제공할 수 있는 자발적 인정제도(voluntary accreditation)를 채택하

고 있는데 이는 서비스제공의 수준 향상을 목표로 인증서비스 제공자들

사이에서의 모범사례(best practice) 개발을 장려하는 것임

- 전자서명의 효력을 인정하기 위한 ‘이단계 접근방법(two tier approach)로

‘(일반)전자서명’과 ‘고급전자서명’의 두 가지 종류를 두도록 하고 있음

15) 부분은 이정현(2012)의 논문을 참조로 작성되었습니다.

- 43 -

- 한편 공인(인정)된 인증기관(accredited certification-service-provider)의 수

를 제한할 수 없고, 공인인증서(qualified certificate)를 발급하는 인증역무

제공자(certification-service-providers)의 감독을 인정하는 적절한 제도를

구축할 수 있도록 하고 있음

□ 외국의 전자서명 인증기관

ㅇ 인증기관에 대한 규제를 살펴보면, 미국과 영국과 같이 인증기관에 대한 규

정이 없는 방법에서부터 우리나라와 같이 공인인증기관을 지정(허가와 유사

성격) 하는 방식까지 다양한 방식이 있음

- 한국은 전자서명법에서 요건을 구비한 자를 공인인증기관으로 지정(허가와

유사 성격)

- 미국의 연방전자서명법은 인증기관에 대한 규정이 없음

- 영국 전자통신법은 인증기관 규정 없음(자율적 비영리기구인 tScheme에

의한 자발적 승인시스템으로 운영)

- 독일의 전자서명법은 법에서 정한 요건을 구비한 인증기관이 주무관청에

신고, 주무관청 확인 후 확인필증 수여(임의적 CA 인정제도)

- 일본 전자서명 및 인증 업무에 관한 법률은 요건을 구비한 자를 특정 인

증업무를 수행할 수 있도록 인정(특정 인증업무자격 인정제도)

(2) 전자금융 국제협약: 바젤협약

□ 바젤협약

ㅇ 국제결제은행(BIS)의 바젤위원회(Basel Committee on Banking Super

vision)는 2001년 1월 BIS 자기자본규제제도의 리스크 민감도를 높이고 개

별 은행의 리스크 측정 시 재량권을 부여하는 신자기자본협약(BaselⅡ) 초

안을 발표

- 44 -

□ 획일적 방법의 규제 지양

ㅇ 바젤협약 본문 중 위기관리원리에 따르면, 전자금융거래에 있어서 획일적

방법으로 대응하는 것은 적절하지 못하다고 금융보안의 기본 원칙을 천명

함

- “One size fits all” approach to e-banking risk management issues may

not be appropriate.

ㅇ 금융기관에 따라 혹은 거래의 종류에 따라 위기의 종류가 다르고 또한 거

래의 규모에 따라서도 그 대응방법이 같을 수 없기 때문에 획일적 방법의

규제를 지양함

□ 금융보안은 금융기관이 스스로 결정

ㅇ 금융기관 스스로 위기관리 방식에 따라 인증방법을 결정하도록 인증방법

결정의 원칙을 제시함

- The bank must determine which authentication methods to use based

on management’s assessment of the risk posed by the e-banking

system.

ㅇ 계좌이체, 세금납부, 대출 등 금융기관이 다루고 있는 금융정보에 따라 그

보안을 달리 해야 할 필요가 있고 그 방법은 금융기관 스스로 결정해야 함

- 45 -

2. 외국의 전자금융 이용 현황

(1) 외국의 전자금융 이용환경

□ 전자금융거래를 위한 절차적 환경16)

ㅇ 이용자의 계좌개설 절차 : 외국 주요국의 계좌개설에는 통상 1~2주의 기간

이 소요되며, 신원확인은 이용자의 신분증 뿐 아니라 주소지를 확인할 수

있는 증명서를 제출하는 등의 절차가 추가됨

- 외국의 계좌개설은 대면확인의 신청절차를 통해 인터넷뱅킹에 필요한 정

보 등이 이용자에게 우편물로 배송되며, 인터넷뱅킹을 이용하기까지 약

1~2주 정도의 기간이 소요됨

- 이들 국가는 계좌개설을 위한 이용자의 신원확인으로 이용자의 신분증, 운

전면허증 등과 함께 주소지 확인을 위해 전기세 또는 가스비 고지서, 납세

증명서 등을 추가로 확인함

- 우리나라의 경우, 계좌개설은 대면확인으로 즉시 계좌가 개설되며 이때 주

민등록증, 운전면허증, 여권 등을 통해 이용자의 신원확인이 이루어지고

계좌개설 시 인터넷뱅킹을 신청하면 바로 인터넷뱅킹 이용이 가능함

ㅇ 입금계좌 사전지정제 : 대체적으로 타행이체 시에 수신자 정보를 사전에 금

융회사의 홈페이지 등을 통해 등록하고, 등록한 계좌로만 이체를 허용하는

입금계좌 사전지정제를 시행하고 있음

- 미국의 경우, 타행이체를 위해서는 타행이체 이전에 직불카드번호, CVC17)

등을 사용하여 수신자 이름, 은행명, 계좌번호, 수신은행 주소 등을 홈페이

지에서 등록하도록 하고 있고, 일부 금융회사는 지점 방문을 통해서만 수

신계좌를 지정 등록하도록 하고 있음

- 영국, 일본, 싱가포르의 경우에도 타행이체 시에 보안이 강화된 인증수단

을 사용하여 수신계좌와 수신은행 주소 등의 정보를 사전에 등록하도록

16) 부분은 조혜숙, “외국 전자금융거래 이용환경 분석 및 시사점 –인터넷뱅킹 중심-”, 금융보안리포트 Vol.

2014-01, 금융보안연구원, 2014.1.을 참조로 작성되었습니다.

17) 카드마다 부여되는 카드뒷면의 숫자로 카드의 위․번조를 확인할 때 사용되기도 함

- 46 -

하고 있음

- 입금계좌 사전지정제는 전자금융 사고가 발생한 경우라도 궁극적으로 해

커의 계좌로 자금이 이체되는 것을 일정부분 방지하는 효과가 있어, 여러

국가의 금융회사가 해당 제도를 전자금융에 활발히 도입하고 있음

ㅇ 실시간이체와 수수료: 일부 국가를 제외하고 외국 주요국에서는 실시간 타

행이체에 제약이 따르며, 이체수수료와 계좌유지비 등의 추가적인 비용을

지불해야 함

- 우리나라의 경우, 전자자금이체는 특별한 제약 없이 실시간으로 자행․타

행이체가 가능(본인이 이체 금액 및 횟수의 한도를 정할 수 있음)

- 미국의 경우, 자행이체는 실시간으로 가능하지만 타행이체의 경우는 1~3일

의 시간이 소요되며, 타행이체가 불가능한 금융회사도 있음

- 독일의 경우, 자행․타행이체 모두 2~3일 정도 소요됨

- 싱가포르의 경우, 자행이체는 실시간으로, 타행이체는 2~3일 정도 소요됨

- 일본의 경우, 자행이체는 평일 19시 전, 타행이체는 평일 15시 전에 이체

한 경우에 한하여 당일 이체가 가능하며, 그 외 시간 및 공휴일에는 다음

영업일에 이체가 완료됨

- 영국의 경우는 국내와 유사하게 자행․타행 실시간 이체가 가능함

□ 외국의 전자금융 인증방식18)

ㅇ 앞에서 살펴본 바와 같이 외국 주요국들은 전자금융 인증방식에 있어서 브

라질과 인도 이외에 공인인증서를 의무화한 경우가 없고, 대부분 사설인증

서를 활용하고 있음

ㅇ 미국의 경우 Bank of America(BOA)와 US Bank는 각각 IS와 비밀번호 이

외에 Sitekey와 ID Shield라는 문답식 로그인 인증을 하고 있으며, 계좌이체

시에는 BOA가 SMS OTP와 카드 OTP서비스인 SafePass 방식을, Citi Bank

18) 부분은 조혜숙(2014)와 심우민, “국내 공인인증제도의 문제점과 외국사례”, 입법조사회답(2013.5.6.), 국회

입법조사처를 참조로 작성되었습니다.

- 47 -

는 이메일을 통한 Secure Authorization Code 서비스로

2-Factor-Authentication 방식을 제공하고 있음

ㅇ 영국의 경우 Barclays Bank와 Royal Bank of Scotland는 로그인과 계좌이체

시 ID와 비밀번호 및 스마트카드 리더기 OTP를 사용하여

2-Factor-Authentication 방식을 제공하고 있음

- 48 -

- 49 -

(2) 외국의 새로운 전자금융 인증기술

□ 전자금융 보안을 위한 강화된 인증 기술19)

ㅇ 전자금융거래 시 사용되는 인증수단 : 외국 주요국에서는 고액이체 등 고위

험 거래에는 ID/PW, 보안카드, OTP발생기, SMS인증 등 이외에 보안이 강

화된 인증수단(ChipTAN, BestSign, 거래연동OTP 등)을 사용하고 있음

ㅇ 최근 메모리해킹 등의 거래정보를 직접 변조하는 공격이 출현하면서, 미국

을 제외한 대부분의 외국에서는 국내에는 아직까지 도입되지 않은 거래서

명기술(ChipTAN, BestSign, 거래연동OTP 등)을 고액이체 등 고위험의 전

자금융거래에 활발히 사용하고 있음

- 메모리해킹이란 이용자의 PC를 악성프로그램 등으로 감염시켜, 이용자가

19) 부분은 조혜숙, “외국 전자금융거래 이용환경 분석 및 시사점 –인터넷뱅킹 중심-”, 금융보안리포트 Vol.

2014-01, 금융보안연구원, 2014.1.을 참조로 작성되었습니다.

- 50 -

인터넷뱅킹 하는 과정에서 입력한 계좌번호, 이체금액 등을 무단으로 변경

하여 해커의 계좌로 돈을 이체시키는 수법임

- 거래서명기술이란 별도의 장치에 이용자가 수취인 계좌번호 등의 거래정

보를 직접 입력하거나, 장치에 부착된 디스플레이 화면을 통해 거래정보를

이용자가 직접 확인하고 거래를 최종적으로 승인하는 인증기술로 전자금

융거래의 일반적인 해킹 뿐 아니라, 최근 심각한 위협으로 대두되고 있는

메모리해킹까지 매우 효과적으로 방지할 수 있는 것으로 알려져 있음

[그림� ]� 외국의�거래서명기술�적용�인증수단

자료:� 조혜숙(2014)

ㅇ 이용자 보호를 위한 보안프로그램 : 대부분의 외국 주요국에서는 이용자의

전자적 장치를 보호하기 위한 키보드해킹방지프로그램, 개인방화벽 등의 다

양한 보안프로그램을 이용자에게 제공하며, 일부 국가는 보안프로그램의 구

입에 다소의 비용이 수반되기도 함

- 국내의 경우, 금융회사는 공인인증서 보안프로그램을 이용자가 설치해야만

로그인, 계좌이체 등의 전자금융거래 이용이 가능함

- 외국의 경우는 대체적으로 이용자가 보안프로그램을 금융회사의 홈페이지

등을 통해 다운로드 받아 선택적으로 설치할 수 있으며, 이용자에게 보안

프로그램에 대한 설치를 권장하고는 있지만 의무사항은 아니어서 설치 여

부와 관계없이 전자금융거래의 이용이 가능함

- 보안프로그램이 설치되지 않은 이용자의 전자적 장치에서는 해킹의 위협

이 증가될 수 있으며, 이러한 이용자의 부주의로 인해 중요 정보가 노출되

어 발생한 사고에 대해서는 국내와 외국이 동일하게 금융소비자에게 일부

- 51 -

책임을 부과하고 있음

(3) 외국의 전자금융거래 제도에 대한 시사점

ㅇ 외국의 전자금융거래 이용환경을 보면, 금융회사가 일반 및 전자 금융사고

리스크를 최소화하고 사고 예방을 위한 여러 가지 절차적, 기술적 제약을

두는 방식으로 보안성을 강화하고 있음

- 외국 금융회사는 계좌개설 시에 신원확인 뿐 아니라 신용도, 거주지 확인

등을 철저하게 수행하고 있으며, 이를 통해 금융회사가 이용자의 계좌개설

을 거부할 수도 있고, 계좌개설에도 약 2주의 기간이 소요되므로 해커(공

격자)에 의한 불법계좌(일명 대포통장) 개설이 어려워 사고 예방에 도움이

되고 있음

- 절차적 이용환경으로, 타행이체가 완료되기 까지 1~3일이 소요되므로 이용

자와 금융회사가 사고 발생을 인지한 후 거래취소와 지급중단 등의 사고

대응이 가능하여 전자금융 사고 리스크가 크게 감소될 수 있음

- 이용자가 최초로 타행이체를 시도 할 때 수신계좌를 금융회사에 사전에

등록하도록 하거나 지점방문을 통해서만 이체가 가능하도록 하여, 해커(공

격자)의 계좌로 자금이 이체되는 것을 예방하고 있음

ㅇ 외국의 전자금융거래 기술적 환경을 보면, 일정금액 이상의 자금이체 시에

는 거래서명기술이 적용된 거래연동 OTP 발생기 등의 보안이 강화된 인증

수단을 사용하도록 하여 사고 발생 가능성을 최소화하고 있음

ㅇ 이러한 외국 이용환경은 사고 리스크를 줄이기 위한 예방 조치로 보안성은

강화되지만 이로 인해 이용 편의성의 측면에서는 다소간 불편이 따르고 추

가비용이 수반되는 트레이드오프(Trade-off) 관계가 있다고 볼 수 있음

ㅇ 우리나라의 경우 주민등록증 등의 신원확인만으로 즉시 계좌개설과 인터넷

뱅킹이 가능하고 타행이체에 대한 제한이 없이 획일적인 인증수단(공인인증

서)만으로 고액의 즉시 이체가 가능한 금융환경에 대한 재검토가 필요함

- 52 -

3. 새로운 전자금융 방식과 보안 기술들

(1) 페이먼트 게이트

□ 페이먼트 게이트 방식의 개념20)

ㅇ 다수의 국내외 금융회사, 인증회사 등 전자상거래에 필수적인 서비스들에

대하여 고객이나 상점에게 쉬운 Gateway 역할을 하는 것이 페이먼트 게이

트(PG: Payment Gateway) 방식임

ㅇ PG가 없는 경우, 상점은 다수의 금융회사들과 일일이 계약체결하고 복잡한

기술적인 연동과정을 거쳐야 함

- 국내의 경우, 상점은 국내 8개 카드사와 일일이 연동작업이 필요하고, 만

약 해당 금융회사가 해외에 있다면 상점은 국외에까지 법인을 설립하거나

인력을 보내야함

ㅇ 결제과정에서 개인정보를 전달하는 상점의 신뢰성이나 보안성에 대한 걱정

을 담보하는 역할을 함

- 온라인 상점들은 전자상거래를 함에 있어서 PG를 사용함으로써 상당한 비

용과 노력을 절약할 수 있음

- 고객의 경우, PG를 통해 상점을 신뢰하고 전자상거래를 할 수 있음

ㅇ 우리나라는 전자금융거래법에서는 PG는 전자금융업자로 호칭되며 은행, 카

드사로 대표되는 금융회사와는 구분됨

- 전자금융거래법 전반에 걸쳐서 전자금융업자나 금융회사는 사실상 동일한

법적인 의무와 권한이 부여되고 있지만 실상은 그렇지 못함

20) ( )페이게이트 이동산 이사의 자료를 바탕으로 작성되었습니다.

- 53 -

[그림� 16]� 페이먼트�게이트�방식의�개념도

자료:� 이동산

□ 해외의 페이먼트 게이트

ㅇ 이미 세계적으로 전자상거래 시장은 그 규모가 급격히 커지고 있으며 경쟁

이 심화되고 있음

- 대표적인 페이먼트 게이트 방식은 아마존의 원클릭 서비스, 이베이의 페이

팔, 중국 기업 알리바바의 알리페이가 있음

ㅇ 아마존의 원클릭 서비스의 경우, UX를 극단적으로 간편하게 만들어 아마존

의 성장에 큰 역할을 함

- 소비자들에게는 편리한 쇼핑을 제공하고 그 방식이 쉽기 때문에 판매자들

에게도 이득이 됨

- 원클릭 버튼을 누르는 순간 주문 접수부터 등록되어있던 카드결제, 배달까

지 한번에 이루어지는 서비스임

ㅇ 페이팔은 미국 내 결제 서비스 1위로서 온라인 쇼핑 외에도 기부, 송수금

등 다양한 방면으로 활용되고 있음

- 54 -

- 추가적인 정보의 입력없이 사전에 등록해놓은 신용카드 정보를 활용하여

은행을 거치지 않고 송수금을 할 수 있음

- 구매자가 온라인 쇼핑을 하면서 자신의 개인정보를 업체마다 주지 않고

페이팔을 통해 진행할 수 있음

ㅇ 중국 기업 알리바바의 자회사 알리페이는 중국 내 시장에서 아마존의 원클

릭과 이베이의 페이팔을 누르고 중국 전자상거래 시장을 점유하고 있음

- 중국에서는 상거래에 있어서 신뢰가 가장 중요함을 파악하고 구매자가 물

품을 받은 뒤 승인을 해야 대금이 판매자에게 전달되는 에스크로 시스템

을 도입함

- 최근 홈페이지에서 한국어 서비스를 제공하기도 하고 미국에도 서비스를

시작하는 등 전 세계 시장으로 진출하고 있음

[그림� 17]� 알리페이의�한국어�서비스

- 55 -

□ 새로운 결제 방식의 등장과 은행의 변화21)

ㅇ 은행이 침체를 회복하고 있는 동안 비은행계 기업들은 공격적으로 디지털

혁신을 이어가고 있으며 더 많은 은행업무의 가치 사슬을 차지하고 있음

- 중국의 Amazon인 Alibaba는 채 3년이 되기도 전 160억 불을 보유한 대출

기관이 되었고 7개월 만에 단기금융자산투자신탁의 가장 큰 판매자가 됨

- Accenture는 비은행계 회사들의 경쟁이 2020년까지 기존 은행 수입의 3분

의 1을 하락시킬 것으로 추정하고 있음

ㅇ 기존 은행 수입의 최대 4분의 1을 차지하고 있는 결재 분야는 가장 경쟁이

치열한 분야임-

- PayPal은 현재 일부 국가에서 1위를 기록하고 있는 온라인 결재 방법이며

Square와 Stripe 같은 스타트업 기업들은 수십억 달러의 가치의 수익을 올

리고 있음

- 소매업자들 또한 결재 분야에 뛰어들고 있으며, 3분의 1에 달하는

Starbucks의 미국 수입은 Starbucks 고객카드를 이용해 결제됨

ㅇ 비은행계 기업들은 당좌 예금과 보통 예금과 같은 다른 핵심 분야에 도전

장을 내밀고 있음

- Google은 최근 Google Wallet을 위해 플라스틱 직불 카드를 도입

- T-Mobile은 스마트폰 앱과 ATM 카드와 함께 새로운 예금 서비스를 공개

- Walmart는 직불 선불카드를 선보이기 위해 American Express와 협업을

결심함

ㅇ 첨단 기술 기업, 통신회사, 그리고 소매업자들이 은행의 상품과 서비스에

맞서 경쟁하기에는 아직 갈 길이 멀고, 많은 사람이 규제 장벽이 붕괴를 약

화시길 것이라고 믿고 있음

- 그러나 이미 새 진입자들은 서비스 기대치를 높이고 은행과 소비자들 사

21) HBR, Banks’ New Competitors: Starbucks, Google, and Alibaba (2014. 2. 20)

- 56 -

이에 거리감을 조성하면서 은행에 위협을 가하고 있음

ㅇ 새로운 경쟁자들이 은행을 비영업 부서 사업에 국한된 역할로 한정 지어

은행은 위험에 처해있지만 비은행계 기업들은 고객들의 경제생활에서 두각

을 나타내고 있다

ㅇ 은행은 지점을 폐쇄하고 더 나은 모바일과 온라인 금융 서비스를 출시하는

것과 같이 단순히 더 디지털화된다고 이 위협을 피할 수 없음

- 만약 은행이 Google과 PayPal 같은 기업들에 대항해서 자기 영역을 지키

고 싶다면, 고객 상업생활을 더 분석해야 할 것이며, 금융거래 전과 후에

도 더 큰 역할을 해야만 함

(2) FDS(Fraud Detection System, 이상 금융 거래 탐지 시스템)22)

□ 이상 금융 거래란?

ㅇ 이상 금융 거래는 이용자가 전자 금융 거래를 이용할 때 이용하는 금융 거

래 이용 환경과 금융 거래 패턴, 거래 사전 행위들이 정상적인 범위를 벗어

난 비정상적인 금융 거래를 의미함

ㅇ 이용 환경의 변화

- 이용자의 하드웨어 고유정보, 네트워크 이용정보, 소프트웨어 이용정보가

정상적인 금융 거래의 이용 환경과 다르게 이용된 경우 이의 감시를 통하

여 이상 금융 거래로 볼 수 있음

ㅇ 거래 패턴의 변화

- 거래금액의 급격한 증가와 거래회수의 증가, 일정 금액의 지속되는 거래

행위 등의 금융 거래 행위가 정상적인 범위를 벗어난 비정상적인 행위가

발생하는 경우 감시를 통하여 이상 금융 거래로 봄

22) , 이상 금융 거래 탐지 및 대응 프레임워크(2011)을 참조로 작성되었습니다.

- 57 -

ㅇ 거래의 사전 행위

- 금융 거래를 위한 로그인, 정보 변경의 사전 행위의 분석을 통하여 이상

금융 거래가 정의되어야 함

- 급격히 증가된 로그인 위치, 로그인 시간, 정보 변경, 인증수단 변경의 행

위가 금융 거래를 위한 사전 행위 분석에 사용 할 수 있음

□ 이상 금융 거래의 탐지 및 대응 방법

ㅇ 이상 금융 거래의 탐지 정책 및 방법은 이용 환경, 거래 패턴, 거래 사전

행위에 의해 종합적으로 결정이 되어야 하며, 각각의 허용 범위에 따라 이

상 금융 거래 여부를 판별하는 탐지 방법이 결정되어야 함

[그림� 18]� 이상�금융�거래�탐지�개요

자료:� 한국정보통신기술협회(2011)

ㅇ 이상 금융 거래의 최종 결정은 정상적인 이용자의 금융 거래 활동을 차단

할 수 있는 위험을 내포하고 있음

- 58 -

- 이용자 추가 인증을 통해 이상 금융 거래의 최종 결정을 하여야 하며, 신

속하고 효과적인 금융 거래 사고 예방을 위해 탐지 정보를 타 도메인의

이상 금융 거래 탐지 시스템과 연동하여 이상 금융 거래에 대한 공동대응

이 필요함

□ 이상 금융 거래 탐지·대응 시스템

ㅇ 이상 금융 거래 탐지·대응 시스템은 타 도메인 정보 공유 시스템과 이상 금

융 거래 탐지 관련 정보를 교환하는 탐지정보 공유 모듈과, 금융 거래 차단

정보 관리 모듈, 탐지 정책 관리 모듈, 이상 금융 거래 탐지 모듈, 금융 거

래 분석 모듈, 이용정보 수집모듈, 이용자 추가인증 모듈, 통계 분석 모듈

및 금융 거래 패턴 정보 저장소, 금융 거래 이용정보 저장소, 금융 거래 차

단 정보 저장소로 구성되어 있음

ㅇ 만약 공격자에 의한 금융 거래 시도가 이상 금융 거래 탐지 정책을 기반으

로 하여 각각의 저장소에 저장된 정보와 비교분석을 통해 이상 금융 거래

에 대한 징후로 판단이 되고, 이용자의 추가인증을 통하여 이상 금융 거래

로 탐지가 된다면, 이러한 탐지 정보는 타 도메인 정보 공유 시스템과 연계

하여, 공격자가 타 도메인의 금융 거래에 대한 공격시 이를 사전에 차단 할

수 있게 됨

- 59 -

4. 보론: 전자거래와 본인확인 문제

(1) 전자거래와 본인확인

□ 인터넷 거래의 본인확인 문제

ㅇ 인터넷의 특성인 비대면성과 익명성은 일반적인 오프라인 거래와 다른 구

매자와 판매자의 상호 확인과 신뢰의 문제가 대두됨

- 일반적으로 거래는 현금을 이용한 물품의 구매와 같이 판매자와 구매자가

대면한 상태에서의 익명의 거래에서부터 소유권 이전을 위한 서로간의 본

인확인23)이 필요한 거래에 이르기까지 다양한 형태의 거래가 이루어지고

있으나, 인터넷을 이용한 전자거래24)는 익명성과 비대면성으로 판매자와

구매자가 어떻게 상호 확인하고 거래를 할 수 있을 것인가 하는 문제가

대두됨

- 이는 전자거래에 있어서 신뢰를 높이기 위한 판매자와 구매자의 신원과

거래를 확인해주는 제3자 인증의 필요성이 제기됨

ㅇ 일반적으로 인터넷 이용자가 사이버몰을 통해 재화 등을 구매하는 경우에

통상 본인확인절차를 두 차례, 즉 사이버몰에 회원으로 가입하는 과정상의

본인확인절차(회원가입용 본인확인)와 재화 등의 구매대금을 신용카드로 결

제하는 과정상의 본인확인절차(대금결제용 본인확인)를 거침25)

□ 전자거래에 관한 법적 효력 부여

ㅇ 따라서 전자거래에 대하여 전통적 상행위와 동일한 수준으로 법률적 효력

을 부여하는 한편, 이용자가 신뢰하고 안전하게 전자상거래를 활용할 수 있

도록 우리나라는 1999년 2월 전자거래기본법을 제정하고 그해 7월부터 시

행함(전자거래기본법은 2012년 6월에 전자문서 및 전자거래 기본법으로 명

23) 사용자를 대면확인을 통하여 본인임을 증명하는 것으로 우리나라의 경우 주민등록번호가 일반적으로

사용됨

24) 전자거래기본법에 따르면, "전자거래"란 재화나 용역을 거래할 때 그 전부 또는 일부가 전자문서에 의하여 처

리되는 거래를 말함(2조 5항)

25) 조인우(2011), "전자상거래에서 본인확인제도의 문제점과 개선방안", 한양대학교 박사학위논문, 2011년.

- 60 -

칭이 변경됨, 이하 전자거래기본법으로 용어를 통일하여 사용)

- 전자거래기본법은 전자문서에 의하여 이루어지는 거래의 법적 효력을 명

확히 하여 그 안전성과 신뢰성의 확보 및 거래의 공정성을 기함으로써 건

전한 거래질서를 확립하고, 전자거래를 촉진하여 국민경제의 발전에 이바

지함을 기본 목적으로 하고 있음(제1조)

□ 전자서명의 인증 방법

ㅇ 전자거래기본법에 따른 전자문서의 안전성과 신뢰성을 보장하기 위하여 우

리나라는 전자거래기본법과 동시에 1999년 2월에 전자서명법을 제정함

- 전자서명법은 전자문서의 안전성과 신뢰성을 확보하고, 그 이용을 활성화

하기 위하여 전자서명에 관한 기본적인 사항을 정함으로써 국가사회의 정

보화를 촉진하고 국민생활의 편익을 증진함을 목적으로 함(제1조)

- 일반적으로 서명은 넓은 의미로는 행위자의 자기 동일성을 표시하는 것으

로써 이름이나 그 밖의 자기만의 부호를 쓰는 것을 의미함26)

ㅇ 전자서명법은 전자거래의 기본적 토대라 할 수 있는 전자문서 및 전자서명

에 법적 효력을 부여하기 위한 법이라고 할 수 있으며, 기본적으로 다음과

같은 서명인의 인증, 문서에 대한 원본확인, 그리고 송수신 사실에 대한 부

인방지 등의 기능으로 구성됨(이정현, 2012)

- 전자서명은 서명자의 신원확인기능과 서명자가 당해 전자문서를 작성하였

음을 승인하는 기능

- 전자서명 검증은 전자서명 검증키가 개인 또는 법인이 소유하는 전자서명

생성키에 합치한다는 사실을 확인․증명하는 행위를 말하며 기술적으로는

전자서명키와 그 키의 소유자의 신원을 확인하는 과정

- 불특정 다수인의 전자서명키 인증을 효율적으로 수행하고 공신력 제고를

위해서는 인증기관(CA :Certification Authority)의 존재가 필요

ㅇ 즉, 전자서명은 신원을 확인하거나 거래를 증명하려 할 때 주민등록증, 인

26) (2012), "전자서명․인증제도에 관한 법적 연구", 경희대학교 박사학위논문, 2012년.

- 61 -

감증명, 서명 등이 필요하듯 전자문서에 있어서 작성자의 본인확인

(authentication), 비밀보호(기밀성, confidentiality), 위․변조 여부 확인기능

(무결성, integrity)및 부인방지(non-repudiation)를 할 수 있도록 하는 고유

정보를 포함한 디지털 서명27)을 말함(이정현, 2012)

ㅇ 이에 따라 전자서명법은 전자서명을 한 전자문서에 대한 인증을 위하여 공

인인증서를 사용하도록 하고 있으며, 다음과 같이 용어 정의를 하고 있음

- 전자문서: 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수

신되거나 저장된 정보

- 전자서명: 서명자를 확인하고 서명자가 당해 전자문서에 서명을 하였음을

나타내는데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결

합된 전자적 형태의 정보

- 공인전자서명: 공인인증서에 기초한 전자서명

- 공인인증서: 공인인증기관이 발급하는 인증서(전자서명이 서명자에게 유일

하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보)

□ 전자서명과 개인정보 보호 문제

ㅇ 전자서명법은 전자거래 이용자, 주로 구매자의 본인확인을 위한 개인정보의

확인 절차를 필요로 하게 됨

- 전자서명법에 "개인정보"라 함은 생존하고 있는 개인에 관한 정보로서 성

명·주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호·문자·음

성·음향·영상 및 생체특성 등에 관한 정보(당해 정보만으로는 특정 개인을

알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는

것을 포함한다)로 정의함(제2조 13항)

ㅇ 이는 결국 주민등록번호 등 개인정보의 보호 문제를 야기하게 되고 전자거

27) “ 전자서명이란 디지털 서명(Digital Signature)을 말하는 것으로 그래픽 기반의 전자서명(Electronic Signature)과는 다르다. 그래픽 전자서명은 일반 종이에 친필로 수기 서명한 것과 동일한 서명을 컴퓨터를 통해 전자적 그래픽으로 구현한 것이다. 예를 들면 전자펜을 이용하여 터치스크린(Touch Screen)에 서명하면 실제 수기 서명한 것과 같은 그림 형태로 나타나는 것이 그래픽 전자서명이고, 수기서명과는 전혀 다른 형태의 암호문으로 나타나는 것이 디지털 전자서명이다.”(정철현, 2005).

- 62 -

래기본법은 전자거래사업자에게 전자거래이용자의 개인정보를 수집ㆍ이용

또는 제공하거나 관리할 때 「정보통신망 이용촉진 및 정보보호 등에 관한

법률」 등 관계 규정을 준수하도록 하고 있음

- 즉, 전자거래의 당사자 등이 개인정보를 수집하는 경우에 그 목적을 본인

에게 명시하여야 하며, 그 정보를 수집목적 이외의 용도로 사용하거나 제3

자에게 제공해서는 안 된다고 하여 그 수집과 사용에 엄격한 제한을 부과

하고 있음

- 예외적으로 본인의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우,

재화 또는 역무의 배달을 의뢰하는 자에게 배달에 필요한 정보를 제공하

는 등의 경우는 예외를 인정함

ㅇ 한편 이와 같은 전자서명 인증제도는 전자거래의 특성상 국제적 상호인증

에 관한 규정들을 포함하여 더 유연하고, 기술 중립적이며, 정부규제의 최

소화를 통해 전자서명의 국제적 활용을 촉진하는 방향으로 나아가고 있는

것이 세계적인 추세임(이정현)

(2) 전자상거래의 본인확인과 개인식별번호

□ 우리나라에서의 전자거래 본인확인 방법

ㅇ 우리나라에서의 전자거래 본인확인 방법은 주민등록번호를 통한 방법,

i-PIN을 이용한 방법, 공인인증서(전자서명)를 이용하는 방법, 휴대전화

SMS를 통한 방법 등의 본인확인 방법이 있음

- 그러나 현재 전자거래에서 주로 이용되고 있는 본인확인 수단은 주민등록

번호를 통한 확인 방법(주민등록번호에 기반을 둔 공인인증서 포함)임

□ 주민등록번호를 이용한 본인확인

ㅇ 우리나라에서 주민등록번호에 의한 본인확인이 광범위하게 이루어지고 있

는데, 주민등록번호는 개인에 대한 핵심적인 신상 정보를 담고 있고, 여러

- 63 -

기관에서 보유하고 있는 개인정보의 식별번호로 이용되기 때문에 연쇄적으

로 민감한 개인정보가 유출될 수 있는 문제를 가지고 있음

- 우리나라는 수집한 주민등록자료를 보유·관리하는 목적 외의 용도로 이용

또는 활용을 처벌하고 있지만, 주민등록자료 수집 자체는 금지하고 있지

않음

ㅇ 이와 같이 시행 자체의 위헌성 여부에 대해서도 논란이 많은 주민등록번호

를 민간에서 회원가입용 본인확인 등을 이유로 무분별하게 수집하고 있으

며, 이에 따라 개인정보 유출과 침해가 사회문제가 되고 있음

[표� 2]� 조사대상�분야별�주민등록번호�수집여부

자료:� 한국인터넷진흥원(2009)28)

□ 아이핀(i-PIN)에 의한 본인확인

28) , “인터넷상의 본인확인과 i-PIN”, 한국인터넷진흥원, 2009. 10. 16.

- 64 -

ㅇ 인터넷 상에서 민감한 주민등록번호가 유통되는 것을 방지하기 위하여 본

인확인의 대체수단으로 나온 것이 아이핀으로 일종의 인터넷 가상 주민등

록번호라고 할 수 있음

- 아이핀은 정보통신부(2008년 폐지)와 한국정보보호진흥원(2009년 한국인터

넷진흥원으로 통합)이 개발한 사이버 신원 확인번호 체계로 2005년 7월

가이드라인이 만들어지고, 2006년 10월 개정을 통해 시행되었으며, 2009년

7월 2일부터는 이용 편의성을 개선한 아이핀 2.0이라는 이름으로 제공되고

있음

ㅇ 아이핀을 이용하게 되면, 각 공인된 아이핀 발급 기관에만 주민등록번호를

제공하고 가상번호를 받기 때문에 민간에 주민등록번호를 제공하지 않고도

본인확인이 가능하며, 아이핀 번호는 변경이 가능하기 때문에 유출되어도

다른 번호로 변경하여 개인정보를 보호할 수 있는 장점이 있음

- 그러나 아이핀을 발급받기 위해서는 기관에 신원확인을 위해 이용자가 직

접 발급 기관에 찾아가 신원확인증표(주민등록증, 운전면허증 등)로 신원

확인을 하는 대면확인, 이용자가 보유한 신용카드 번호, 유효기간을 통해

확인하는 신용카드확인, 공인인증서(비밀번호)의 전자서명을 통한 공인인

증서확인, 휴대전화 번호, 단문메세지 인증정보를 이용하는 휴대전화 SMS

확인을 거쳐야 하는 불편함이 있음

ㅇ 이와 같이 아이핀이 주민등록번호와 동일하다는 인식과 주민등록번호가 있

는데 별도로 발급받아야 한다는 불편 등으로 인하여 아이핀의 보급과 활용

이 활성화되지 않고 있음

□ 공인인증서(전자서명)에 의한 본인확인

ㅇ 전자서명은 전자적 거래의 본인확인, 거래내용의 위변조 금지, 거래내용의

기밀성 유지, 거래사실의 부인방지 등을 갖춘 전자서명의 본인확인 기능을

사용하는 방법임

- 공인인증서는 전자서명뿐만 아니라 본인확인 수단임(법 제18조의 2)

- 65 -

ㅇ 공인인증서와 주민등록번호를 비교하면, 공인인증서는 그 자체가 본인확인

수단이지만, 주민등록번호는 본인확인을 위한 하나의 요소로 간주되고 있음

- 그 효력에 있어서 공인인증서를 통한 본인확인이 이루어진 경우, 인증서

등이 위·변조 또는 도용되었음을 입증하지 못하는 한 공인인증서상의 명

의자가 해당 행위자로 인정되지만(법 제3조 제2항), 주민등록번호의 경우

에는 이러한 효력이 인정된다고 볼 수 없음

ㅇ 최근에는 스마트 폰에 공인인증서를 복사하여 사용할 수 있도록 하여 공인

인증서의 휴대성을 강화하고, 휴대폰 상에서 비밀번호를 입력하기 때문에

키보드 해킹을 통한 보안 사고를 사전에 예방할 수 있도록 함

□ 휴대전화에 의한 본인확인

ㅇ 최근 스마트 폰 보급의 확대와 함께 모바일 환경에서의 전자거래가 증가하

면서 SMS 방식에 의한 본인인증이 사용되고 있음

- 이는 이동통신사의 데이터베이스와 사용자가 입력한 정보를 대조하여 일치할

경우, 일회용 인증번호를 발송하여 인증번호 입력 시 이를 인증하는 방식으

로 기존 일회용 인증만 수행하는 방식에 비해 이동통신사의 데이터베이스

와 대조하는 절차를 추가하여 보안성을 높인 인증 기술로 평가됨

(3) 미국의 전자상거래 본인확인 방법29)

□ 미국의 개인식별번호의 엄격한 사용 제한

ㅇ 미국은 1997년 7월 1일 빌 클린턴 대통령이 ‘세계전자상거래골격’을 발표하

면서 전자상거래의 규범을 구체화하고, 전자상거래에 적용되는 5가지 주요

한 원칙들을 천명함(조인우, 2011)

- 첫째, 민간부문이 전자상거래를 이끌어 가야한다

29) 부분은 주로 조인우(2011)의 논문을 참조로 작성되었습니다.

- 66 -

- 둘째, 정부는 전자 상거래에 대한 과도한 제한을 피해야 한다

- 셋째, 정부의 개입이 필요한 경우에, 그 목적은 예측 가능하고, 최소한도

내에서 일관성 있고 명확한 법적 환경을 강화하고 유지해야 한다

- 넷째, 정부는 인터넷의 독특한 성질을 인식해야 한다

- 다섯째, 인터넷을 통한 전자상거래는 글로벌 기준에 근거하여 촉진되어야

한다

ㅇ 미국의 개인식별번호로서의 사회보장번호

- 미국의 사회보장번호(Social Security Number; SSN)는 원래 1935년 사회보

장법(Social Security Act 1935)의 “조세부과와 납세자의 확인을 위하여 필

요하거나 도움이 되는 적당한 수단이나 장치를 고안할 수 있다”는 규정에

근거하여 행정부가 부여하기 시작함

- 특히 1936년 사회보장시스템의 시행 이후, 세금정보ㆍ신용정보ㆍ학교기록

ㆍ의료기록 등이 연계되어 있는 개인식별번호로서 사용되고 있음

- 사회보장번호는 개인의 신청에 의해서 부여되고 있으며, 일상생활에서 필

수적으로 사용되고 있기 때문에 사회보장번호는 주민등록번호를 부여하는

결과와 실질적으로 유사하다고 할 수 있음

ㅇ 미국의 사회보장번호는 우리나라의 주민등록번호와 달리 번호 자체의 사용

에 대하여 상당한 제한을 가하고 있음

- 사회보장번호와 이에 관련되어 수집되고 보존되는 관련 기록들은 비밀성

이 보장되며, 사회보장번호와 관련 기록을 외부로 공개하는 것은 금지됨

- 2007년에는 사회보장번호의 남용을 방지하기 위한 법률로서 사회보장번호

오용 방지법령(Social Security Number Misuse Prevention Act 2007)을 제

정하였고, 사회보장번호와 사회보장계좌번호를 거래하는 행위와 업무로부

터 개인을 보호하는 연방정부의 권한을 강화하고자 하는 목적으로 사회보

장번호보호법(Social Security Number Pretection Act 2007)을 제정함

□ 개인식별번호를 사용하지 않는 미국의 전자상거래

- 67 -

ㅇ 미국의 대표적인 전자상거래 사이트인 Amazon, Walmart, Target, Sears,

eBay 등은 모두 회원가입 및 물품 배송을 위해 이름, 이메일 주소, 배송정

보 및 결재 정보만을 수집할 뿐 별도의 본인확인절차가 없음(조인우, 2011)

- 여러 주에서 사회보장번호를 사용하는 것을 금지하거나 엄격히 제한하고

있으며, 연방 차원에서도 사회보장번호에 의한 신원확인을 엄격히 제한하

고 있음

ㅇ 결제확인절차에 있어서도 거의 모든 사이트에서 신용카드를 이용하도록 하

고 있고, 신용카드 이외의 결제수단은 직불카드, 상품권 혹은 해당 회사 회

원카드 등이었으며, 회사 회원카드의 경우에도 이를 만들기 위해서는 거의

대부분 신용카드 정보를 제공하면 됨

ㅇ 미국의 전자상거래 사이트 등에서 수집하는 추가적인 개인정보는 해당 사

이트 사용자의 편리성과 필요 욕구를 더 효율적으로 충족시켜 주기 위한

제품 및 서비스 개발 등의 마케팅을 위한 것이라고 볼 수 있음

- 우리나라처럼 상거래에 본인확인이 필요하다고 생각되어 시행하는 실명확

인을 위한 정보 수집은 없음

ㅇ 금융관련 사이트의 경우에는 모두 본인확인을 위해 사회보장번호를 기본적

으로 요구하고, 여기에다 하나 혹은 두 개 정도의 추가적인 신원확인정보

(운전면허증, 주 신원확인증, 군사 신원확인증, 여권, 외국인 신원확인증 번

호 중에서 택하도록 하고 있음)를 요구하고 있음(조인우, 2011)

□ 미국의 사이버 ID 인증 논쟁

ㅇ 미국의 오바마 대통령은 사이버 거래의 신뢰성과 보안성, 효율성 등을 강화

하기 위해 사이버 인증 아이디(ID) 제도 도입을 추진하고 있음30)

- `사이버 ID 인증을 위한 국가 전략(National Strategy for Trusted

Identities in Cyberspace. NSTIC)'으로 불리는 이 제도는 온라인 거래의

30) , “美, 사이버 인증 ID 제도 놓고 찬반 논쟁”, 2011.9.19.

http://news.hankooki.com/lpage/economy/201109/h20110919052542111720.htm

- 68 -

안전성을 높이기 위해 소비자가 인터넷 거래를 할 때 사용할 수 있는 인

증 ID를 제공하는 것임

- NSTIC 사무국(National Program Office, NPO)은 2013년 2월부터 2차 파

일럿 프로그램을 본격화 할 예정이라고 발표31)

ㅇ 즉, 자신의 신분 확인을 통해 안전하게 인터넷 거래를 할 수 있도록 인터넷

신분증을 주겠다는 의미임

- 제도가 시행되면 소비자는 은행이나 기술 회사, 휴대전화 회사 등 정부가

아닌 제3의 기관에 개인 정보를 제공하고 사이버 인증 ID를 받으면 여러

사이트에서 편리하게 온라인 거래를 할 수 있도록 한다는 것임

ㅇ 한편 NSTIC를 통해 온라인 소비자에 대한 보호가 강화되거나 아이디 절도

와 같은 위험이 줄어드는 것은 아니라는 주장들도 나오고 있음

- 사이버 인증 ID를 위해 개인의 민감한 정보를 소수의 은행 등에 집중시키

면, 이곳은 해커들의 집중적인 공격 대상이 될 수 있음32)

- 경찰 등 기관이 집중된 개인의 정보를 법의 허용 범위 밖에서 악용할 가

능성도 제기됨

(4) 유럽 및 일본의 전자상거래 본인확인 방법33)

□ 고유식별번호 제도를 위헌으로 금지하고 있는 독일

ㅇ 독일은 연방 차원의 신분등록제도, 국가신분증제도와 지방정부 차원의 주거

등록제도를 두고 있으나, 각 제도는 서로 분리되어 상호간에 관련이 없으

며, 특히 국가신분증은 엄격하게 독립되어 있어 당연히 국민에 대한 고유식

별번호를 두지 않고 있음

31) KISA, “ , '사이버 ID 인증을 위한 국가 전략(NSTIC)' 차기 파일럿 프로그램 준비 본격화”, Internet &

Security Weekly, 2013. 1. 24

32) 온라인 사생활 보호 단체인 전자사생활정보센터(EPIC)의 릴리 코니 국장은 "모든 자물쇠를 열 수 있는 열쇠를

가지고 있다는 생각을 해보라"고 말했다.(한국일보, 2011.9.11.)

33) 이 부분은 주로 조인우(2011)의 논문을 참조로 작성되었습니다.

- 69 -

- 독일은 연방차원에서 전 국민 개인식별번호의 도입 및 연방과 지방 사이

의 주거등록전산망을 서로 연결하는 것을 목적으로 하는 법률안을 1971년

연방의회에 상정하였지만 연방의회는 개인식별번호를 기초로 한 정보처리

시스템은 헌법상 기본권과 프라이버시권의 침해를 이유로 그에 상응하는

보호조치가 마련되지 않는 한 설치되어서는 안 된다고 하여 개인의 고유

식별번호제도의 도입을 거부하였음

- 또한 1983년에 연방헌법재판소는 행정부가 수집한 데이터를 단순한 통계

자료로 쓰는 범위를 넘어 행정적 목적으로 이용하려 한 사건에 대해 인간

의 존엄성을 규정한 기본법 제1조에 저촉된다는 이유로 위헌결정을 함

ㅇ 독일은 1971년 헷센주가 세계 최초로 개인정보보호법을 제정, 공표한 이후,

1977년 연방 차원의 개인정보보호법인 연방정보보호법(BDSG)이 제정하여

원칙적으로 정보주체의 의사에 반하는 정보처리는 모두 기본권을 침해하는

행위로 보고 있음

- 예외의 경우 입법자가 법에 근거하여 허가하거나 정보주체가 동의했을 때,

가능하도록 규정하고 있다. 이때, 반드시 해당 정보의 종류, 범위, 이용 목

적을 정확하게 명시하도록 하고 있음

ㅇ 따라서 독일에서는 온라인 웹사이트들은 회원가입 및 물품 배송을 위해, 이

름, 이메일 주소, 배송정보 및 결재 정보만을 수집할 뿐 별도의 신원확인절

차가 없고, 따라서 개인식별번호는 전자상거래에서 사용되지 않고 있음

- 웹사이트에서 회원 개인의 식별은 회원 가입 시 기입한 개인의 신용카드

정보 또는 Debit카드 정보, 결제은행 정보를 금융기관을 통해 확인하는 방

식임

- 기입한 주소와 다른 주소로 금융거래를 할 경우에는 현재 주소와 관련된

신분증, 카드전표, 전기요금, 수도요금 영수증 등을 팩스로 송부할 것을 요

구할 수 있도록 되어 있음

□ 프랑스의 자발적 개인식별번호 부여 제도와 사용의 제한

ㅇ 현행 프랑스의 국가신분증명법에 의하면, 신분기록은 성명, 출생일과 출생

- 70 -

지, 일련번호만을 포함하며 개인의 주소, 혼인 여부, 자녀의 이름 등은 기록

에서 제외되도록 되어 있고, 따라서 이러한 신분기록을 사용하도록 허용하

는 규정이 다른 법률들에 존재하지 않는 한 이 기록은 어떤 개인을 찾기

위하여 사용될 수 없음

ㅇ 한편 일련번호는 개인을 확인하는 수단으로 이용되기는 하지만, 이 번호는

사람에게 부여되는 것이 아니라 신분증에 부여되고, 새로운 신분증을 발급

할 때마다 새 번호가 부여되어 각 개인에게 평생 수반되는 고유 식별인자

로서는 기능하지 않음

- 또 일련번호에는 생년월일이나 성별 등의 인적 사항 등을 추정할 수 있는

내용을 담을 수 없음

- 그리고 공공부문은 물론 민간부문에서도 그 일련번호를 개인정보를 추출

하거나 혹은 여러 정보 자료를 연결하는 데 사용할 수 없도록 하고 있음

ㅇ 이러한 프랑스 신분등록시스템은 강제적이지 않고, 국민이 자발적으로 자신

의 정보를 등록하고 개인식별번호를 부여받는 방식이지만, 대부분의 국민들

이 신분등록시스템에 등록하고 있다고 함

ㅇ 프랑스에서도 인터넷 전자상거래를 통하여 물품을 구매하는 경우에 이름,

전화번호, 이메일, 성별 등 기본적인 정보만을 요구 할뿐 별도의 본인확인

절차 없이 이용할 수 있으며, 특히 물품구매의 경우에는 주소 및 신용카드

정보만을 입력하도록 요구하고 있음

□ 일본의 개인식별번호 제도와 사용의 제한

ㅇ 일본은 1999년 주민기본대장법을 개정하여 우리나라의 주민등록번호와 유

사한 형태인 주민표코드를 모든 주민에게 부여할 수 있는 근거를 마련하여

2002년부터 이를 시행하면서, 주민기본대장 네트워크시스템을 도입함

- 주민표코드는 개인식별번호이지만, 우리나라의 주민등록번호와는 달리 무

작위번호로서 주민의 신청에 의하여 언제든지 변경이 가능함

- 그러나 주민표코드의 변경 이력은 모두 전국 센터 등의 서버에 기록되어

- 71 -

있어, 변경 이력을 조사하는 것이 가능하도록 되어 있음

ㅇ 이후 일본은 2003년 플라스틱 IC카드인 주민기본대장 카드를 발급하여 본

인이 사진 첨부를 희망할 경우, 운전면허증 등과 마찬가지로 개인을 확인하

는 공적인 신분증명서로서 이용 가능하게 함

- 주민기본대장 카드는 반도체 집적회로(IC칩)를 내장하여 종래의 카드보다

기억용량이 크고(500자 내지 800자 내장가능), CPU가 탑재되어 있음

ㅇ 그러나 주민표코드의 사용은 엄격히 제한하여 시정촌장 이외의 자는 업무

에 관한 계약 시 당해자에 대해 주민표코드를 제공할 것을 요구할 수 없고,

시정촌 및 도도부현 등의 집행기관이라 할지라도 당해 법률에서 규정하는

업무에 관련된 목적 외에 주민표코드 제공을 요구할 수 없도록 하고 있음

ㅇ 이와 같이 민간부문의 주민표코드 사용이 엄격히 제한되어 있어, 온라인 사

이트에서 회원가입이나 상품 구입 시 본인확인을 요구하지 않고 있음

- 상품 구입 시에도 이름, 주소, 전화번호, 결제 신용카드 등 상품 구입에 필

요한 기본 사항만을 요구

□ 스웨덴의 개인식별번호 제도와 사용의 제한

ㅇ 스웨덴의 개인식별번호는 조합방법이 생년월일로 이루어져 있어 연령을 확

인할 수 있고, 성별 구분이 가능하도록 되어 있으며, 관리체계도 국가가 직

접 관여하도록 되어있는 점, 조세ㆍ사회보장ㆍ병무행정 등 광범위한 분야에

서 사용된다는 점이 우리나라와 주민등록번호와 매우 유사함

ㅇ 스웨덴의 개인식별번호가 우리나라처럼 매칭코드의 역할을 하지만 법으로

그 사용 범위가 명확하게 규정되어 있으며, 전자상거래 시 본인확인에 사용

하지 않으며, 민간에서 일반적으로 사용하지 않고 있음

- 온라인상의 인터넷 게시판에 글을 게재하거나, 물품을 둘러볼 경우에는 회

원가입을 필요로 하지 않음

- 사이버 쇼핑몰의 회원가입 시 이메일 주소 입력만을 요구하며, 상품 결제

- 72 -

시에도 배송받을 주소와 이름, 전화번호, 결제카드번호 등 기본적인 최소

한의 필요사항 입력만을 요구함

(5) 전자상거래 본인확인과 개인정보보호34)

□ 다양한 개인식별번호 제도와 민간사용 금지

ㅇ 미국, 독일, 프랑스, 스웨덴, 일본 등 다른 법적 체계를 가진 주요 국가들을

살펴본 바와 같이 개인식별번호 존재 여부는 다르지만 우리나라를 제외하

고는 전자상거래시 모든 국가들에서 개인식별번호 사용을 금지하고 있음

- 스웨덴만 우리나라의 주민등록번호와 같은 고유 개인식별번호를 부여하고

있으나 주로 사회보장용도로 사용하고 있음

- 프랑스와 일본은 무작위의 개인식별번호를 부여하고 있으나 본인이 원하

면 번호를 바꿀 수 있게 하고 있음

- 미국은 개인의 신청에 의해 사회보장번호를 받을 수 있지만 신분증의 용

도로 사용되지 않고 있음

- 독일은 개인식별번호 제도 자체를 위헌으로 하고 있음

ㅇ 조사한 모든 국가들이 개인정보보호 측면에서 개인식별번호를 행정 용도만

사용하도록 제한하고 있고, 민간부문의 사용은 금지하고 있음

ㅇ 우리나라는 현행법상 주민등록번호에 관한 규제는 유출 시 처벌규정을 두

고 있고, 주민등록번호 자체에 대한 이용을 제한하는 사용범위의 규정이 존

재하지 않음

- 따라서 개인식별별호(주민등록번호)와 본인확인이 민간부문, 특히 인터넷에

서 광범위하게 사용, 유통됨으로써 개인정보가 유출될 수 있는 가능성이

높은 제도가 유지되고 있음

34) 부분은 주로 조인우(2011)의 논문을 참조로 작성되었습니다.

- 73 -

□ 전자상거래시 개인식별번호 사용 및 본인확인 금지

ㅇ 조사한 모든 국가들의 전자거래 사이트에서는 개인식별번호 사용이 금지되

어 있고 따라서 본인확인 절차가 없음

- 우리나라는 대부분의 전자거래 사이트에서 개인식별번호(주민등록번호) 보

다 더 강화된 본인확인 수단인 공인인증서를 사용하고 있음

ㅇ 이는 일반적인 상거래시 구매가 제한된 물건이외에 구매 시 본인확인을 요

구하지 않는 것과 같은 원칙이라고 할 수 있음

- 등기를 요하는 소유권이 이전되는 거래 이외에는 모든 상거래는 익명으로

거래되는 것이 원칙임

- 대면 거래도 현금 거래가 아닌 신용카드 거래에 한해 본인확인을 하는 정

도임

ㅇ 인터넷 상거래가 비대면의 특징이 있더라도 본인확인은 일반적인 상거래의

원칙에 어긋나는 것이기 때문에 모든 국가들이 전자거래 시 본인확인을 요

구하지 않고 있음

ㅇ 익명성이 강한 인터넷에서 본인확인이라는 것은 타인의 개인식별번호 도용

을 오히려 용이하게 하는 것이기 때문에 불법적인 개인정보의 수집과 유출

가능성을 높이는 것이라고 할 수 있음

- 비대면의 인터넷 상에서 개인식별번호를 이용한 본인확인이라는 것은 현

실적으로 실명확인의 기능밖에 없기 때문에 오히려 도용한 타인의 개인식

별번호 이용을 부추키는 효과가 있음

- 74 -

구분 개인식별번호 존부개인식별번호

민간사용 가능 여부

전자상거래시

본인확인 여부

미국 X X X

독일 X X X

프랑스 △(변경가능) X X

일본 △(변경가능) X X

스웨덴 O X X

한국 O O O

[표� 3]� 각국의�개인식별번호�사용�및� 본인확인�현황

출처:� 조인우(2011)에서�재구성

- 75 -

Ⅳ. 공인인증서 개선 방향

1. 전자금융거래법 개정

□ 전자금융거래법 개정안, 공인인증서 강요 근거 조항 개정

ㅇ 국회 정무위원회 소속 이종걸 의원이 대표 발의하는 전자금융거래법 개정

안은 지난 10여 년간 금융위원회가 공인인증서 사용을 강요하는 근거로 오

용돼왔던 현행 제21조 제3항을 개정하고 함

ㅇ 개정안은 금융위원회가 금융회사 등에게 특정 기술이나 서비스 사용을 강

요할 수 없고 인증 및 보안 기술의 공정한 경쟁을 저해해서는 안된다는 점

을 명시하고 있음

- 그동안 금융규제 당국이 보안기술에 개입해 공인인증서 사용을 강요하면

서 국내 보안기술은 90년대 수준의 낙후된 상태에 머물게 됐고, IT산업 전

반의 국제경쟁력을 저해해옴

- 뿐만 아니라 이용자가 이해하지 못하는 추가 프로그램을 컴퓨터에 설치하

도록 강요함으로써 국내 보안상황이 전반적으로 열악해지는 결과를 낳음.

ㅇ 이종걸 의원은 “전자금융거래법 개정을 통해 금융회사가 보안 기술을 선택

하도록 규정하는 현행법 제6조의 의미가 보다 분명해지고, 앞으로는 한국의

금융규제 당국도 OECD 회원국이 준수해야 하는 전자금융 위험관리 원칙

에 따라서 금융규제 업무를 기술 중립적으로 수행하도록 확보하는 효과를

거둘 것”이라고 전망함

ㅇ 최재천 의원은 “전자금융거래법 개정안은 그동안 한국 IT산업을 고립시키고

제약해 온 ‘공인인증서’와 ‘관치 보안’의 족쇄를 깰 수 있을 것”이라며 “이

를 통해 국내 IT산업 진흥, 보안 기술의 선진화와 일자리 창출에 기여할

것”으로 전망함

ㅇ 정부의 권위에 의존하는 현행 ‘국가공인’인증제도는 국경을 넘어 국제적으

로 작동하는 인터넷의 기본 전제에 어긋날 뿐 아니라, 세계로부터 고립되어

- 76 -

있음

- 아울러 전자서명법 개정안은 국내 인증기관들도 국제적으로 통용되는 기

준에 따라 안전성과 신뢰성을 검증받도록 규정하며, 이미 그러한 검증을

거친 인증기관은 국내에서 차별 없이 인증 서비스를 제공할 수 있도록 하

는 법안임

ㅇ 김기창 고려대 법학전문대학원 교수는 “기술진보의 속도가 빠른 IT산업 분

야에서 정부가 특정 기술이나 특정 서비스를 사용하도록 강요하거나 제도

적으로 지원할 경우, 새로운 기술의 등장이나 기술 혁신을 저해하게 된다”

면서 “무선인터넷 프로그램규격 WIPI를 정부가 강요(2005-2009)하다가 국내

IT산업에 적지 않은 타격을 가하게 된 사례를 봐도 알 수 있다”고 언급함

[그림� 19]� 이상�금융�거래�탐지·대응�시스템의�세부�구조

자료:� 이종걸�의원실

- 77 -

2. 인증방법 평가위원회의 독립

ㅇ 현재 인증방법 평가위원회에 관한 규정은 금융감독원 감독규정 시행세칙에

포함되어있는데 이는 금융감독원 내에서 개정할 수 있는 법안임

ㅇ 지난 2010년 만들어진 인증방법 평가위원회에서는 본래의 목적과 달리 다

양한 인증방법의 도입을 유도하지 못함

[그림� 20]� 인증방법�평가위원회�법률�체계

ㅇ 4년간 이를 통해 통과된 인증방법은 2개이지만 본래 30만원 이하에 대한

규정이 없었던 것을 감안하면 사실상 통과된 인증방법은 없다고 봐도 무관

함

ㅇ 인증방법 평가위원회가 그동안 제 역할을 못했고 이는 위원회에 혁신이 필

요함을 증명함

ㅇ 인증방법 평가위원회가 제대로 작동하지 않았던 근본적인 원인은 가버넌스

문제라고 볼 수 있음

ㅇ 직접적인 이해관계자이자 규제기관인 금융위원회, 금융감독원 안에 속한 상

태로는 역할을 수행하기 힘들 것임

ㅇ 따라서 인증방법 평가위원회를 금융감독원으로부터 분리·독립시켜 미래부,

- 78 -

행안부 등의 다른 정부부처 혹은 민간단체로 보낼 필요가 있음

[그림� 21]� 인증방법�평가위원회�독립

- 79 -

3. 공인인증서를 브라우저에 표준으로 내장

□ 공인인증서를 브라우저의 표준으로 내장

ㅇ 그동안 공인인증서는 브라우저의 기능을 활용하지 않고 플러그인, 액티브X

를 통해 제공되고 있는데 이는 취약성과 종속성의 측면에서 바람직한 방법

이 아님

ㅇ 그러나 국민들에게 대중적으로 보급된 공인인증서를 한순간에 폐지하는 것

은 큰 혼란은 야기할 수 있음

- 따라서 플러그인 방식을 사용하지 않는 공인인증서가 제공되어야 함

ㅇ 오픈넷에서는 HTML5를 활용했을 때 부가 프로그램 설치없이 개인인증서

를 발급받고 로그인하고 전자서명까지 할 수 있는 데모 버전을 제공 중임

(https://openweb.or.kr/html5/#sthash.toDtImzy.dpuf)

ㅇ HTML5가 보편화되고 모든 브라우저에서 완벽히 구현이 가능한 상태라면

다양한 인증방법의 도입에 발맞추어 공인인증서는 외부 프로그램을 사용하

지 않고 브라우저에 내장된 형태로 제공되는 것이 바람직함

□ Plugin 방식에서 Non-Plugin 방식으로

ㅇ 다양한 거래방법이 허용됨과 동시에 현 공인인증서는 불편과 취약점인 액

티브X를 사용하지 않는 방법으로 나아가야 함

- JAVA 애플릿 등이 대안으로 제시되고 있으나 Plugin이라는 방식의 한계

를 극복하기 힘들 것임

- HTML5 기술을 바탕으로 브라우저에 공인인증서를 내장하여 사용자들로

하여금 추가 프로그램을 다운로드 받지 않게 해야 함

ㅇ 또한 이를 통해 부족해진 보안의식을 바로잡을 수 있는 기회가 될 수 있으

며 피싱이나 파밍 등을 통해 악성코드가 들어올 수 있는 Plugin 방식이라

는 통로를 막음으로써 사용자의 개인정보가 좀 더 안전해질 수 있을 것임

- 80 -

4. 페이먼트 게이트 방식의 허용

□ 다양한 인증기술·보안기술의 도입

ㅇ 전자금융거래에 있어서 국제 표준이라고 할 수 있는 바젤협약에서, 금융보

안을 획일적 방법으로 해결할 수 없으며 그 보안방법은 금융기관이 스스로

결정해야 함을 언급함

ㅇ 금융 거래의 중요도, 규모 등에 따라 다른 방법이 필요한데 한국은 공인인

증서 하나로 모든 거래를 해결하고 있음

ㅇ 다양한 기술을 도입하고 사용하게 됨으로써 기술적으로 해킹에 비해 정체

되어있는 현 독점체제를 경쟁구도로 바꿀 수 있을 것으로 기대함

ㅇ 여기서 다양한 기술이라 함은, 전 세계 은행의 95%가 사용하고 있는

SSL+OTP 방식과 전자상거래의 핵심기술인 페이먼트 게이트 방식 등임

ㅇ 중요한 거래는 보다 안전하게, 해외 사용자들에게 개방적일 필요가 있는 전

자상거래에서는 보다 편리하게 이용을 할 수 있게 함으로써 편안한 안전을

이룩할 수 있을 것임.

□ 페이먼트 게이트 방식의 도입

ㅇ 현재 중국의 알리페이, 미국의 페이팔 등과 같이 페이먼트 게이트 방식의

거래는 이미 국제적으로 그 점유율이 커지는 중임

ㅇ 만약 앞으로도 페이먼트 게이트 방식을 허용하지 않는다면 전자 상거래, 글

로벌 B2C의 측면에서 국가적 손실이 발생하게 될 것임

ㅇ 국내에도 점점 해외직구(해외직접구매)를 하는 사람이 늘어나고 있으며 중

국의 알리 익스프레스 같은 경우에는 온라인 쇼핑몰에서 한국어 서비스를

제공하고 있음

- 81 -

ㅇ 온라인을 통한 무역은 앞으로 전체 무역의 30%를 차지하게 될 것으로 보이

며 이로 인한 국가적 손실은 앞으로 큰 문제가 될 것임

□ 서버보안의 강화

ㅇ 한국의 금융 보안을 취약하게 만드는 주요 원인 중 하나는 서버인증을 제

대로 하지 않는 것임

- 서버인증이 제대로 이루어지지 않기 때문에 가짜 사이트로 유도하는 피싱

과 파밍을 잡아내기 어려움

ㅇ 또한 정보를 다룸에 있어서 통신과 저장 단계에서 암호화를 하는 것이 보

안의 기본이지만 지키지 않는 경우도 있음

- 개인정보 유출 사고는 저장할 때, 통신할 때 암호화를 하지 않았을 때 쉽

게 일어남

ㅇ 나아가 서버관리에 있어서 정보와 업무에 대한 분할과 통제가 원활히 이루

어져야 보안 사고에 대한 대비를 제대로 하고 있다고 볼 수 있을 것임

- 82 -

[참고문헌]

김소이, “국내외 모바일지급결제서비스의 주요 동향 및 이슈”, 지급결제와 정보기술 제36호,

2009

박경혜, “공인인증제도 개선방안 시나리오 연구”, 디지털정책연구 제8권 제4호, 2010

박지현, “전자금융거래시 공인인증서 의무사용 규제완화 관련 주요이슈 및 현황”, 지급

결제와 정보기술, 제41호, 2010

장경원, “전자서명의 공법적 제문제 - 독일의 법제와 그 시사점”, 행정법연구 제29호, 2011

황영훈, “휴대폰 기반의 공인인증서비스 제공현황 및 시사점”, 지급결제와 정보기술 제39호,

2010

금융보안연구원, “해외 주요국 인터넷뱅킹 현황 조사보고서”, 2010

이정현, "전자서명․인증제도에 관한 법적 연구", 경희대학교 박사학위논문, 2012

김인성, 도난당한 패스워드, 홀로깨달음, 2013

김기창, 한국 웹의 불편한 진실, 디지털미디어리서치, 2009

한국소프트웨어진흥원, “디지털콘텐츠 거래인증제도 확대를 위한 유사절차 연계방안 연구”,

2008

금융보안연구원, “외국 전자금융거래 이용환경 분석 및 시사점 –인터넷뱅킹 중심-”, 금융보안

리포트 Vol. 2014-01, 2014

국회입법조사처, “국내 공인인증제도의 문제점과 외국사례”, 입법조사회답(2013.5.6.), 2013

한국정보통신기술협회, “이상 금융 거래 탐지 및 대응 프레임워크”, 2011

조인우, "전자상거래에서 본인확인제도의 문제점과 개선방안", 한양대학교 박사학위논문, 2011

김진원, “인터넷상의 본인확인과 i-PIN”, 한국인터넷진흥원, 2009

KISA, “미국, '사이버 ID 인증을 위한 국가 전략(NSTIC)' 차기 파일럿 프로그램 준비 본격화”,

Internet & Security Weekly, 2013

William E. Burr, “Electronic Authentication Guideline”, NIST Special Publication 800-63-1,

2011

Bank for international settlements, “Basel Committee on Banking Supervision; Risk

Management Principles for Electronic Banking”, 2003

부록 목차

1. 패널 토론 자료

이창원 세마포어솔루션 기술고문: Active X와 공인인증서

김승주 고려대학교 교수: 사설•공인인증 공존의 필요성

조광수 연세대학교 교수: 칼럼

윤석찬 Mozilla 한국 커뮤니티 대표: 칼럼

2. 신문 기고문(이민화, 남민우)

3. 신문 기사(공인인증서 관련 보도)

4. 2010년도 호민관실자료(1차 공인인증서 개선운동)

5. 바젤협약(Basel Committee on Banking Supervision)

6. 전자금융거래법 일부개정법률안(이종걸의원 대표발의)

7. 전자금융법 시행세칙 금감원 규칙 시행령

ActiveX

PKI(Public-key infrastructure) RA(registration authority) RA CA(certificate authority)

CA . VA(validation authority)

. VA CA .

-

PKI / .

- ,

-

,

NPKI - - GPKI - -

ActivX 37 1

.

37 ( ) (

" " ) . , ·

.

.

ActiveX .

ActiveX 1999

. ActiveX MS .

( ) .

.

ActiveX PC .

MS ActiveX

.

.

ActiveX 1. -

ActiveX ActiveX . ActiveX " "

.

2. - . ActiveX

.

ActiveX .

5 2012 217 ,

121 58% . 32 , 13%.

32% ( ).

400 . 1,000

, ,

, .

21 3 :

2 8 .

21 3 :

, .

.

SSL(Secure Socket Layer) . SSL

. ( , ,

)

1. / .

2.

. . , .

3.

.

4. . OTP .

1.

ActiveX

AcitveX .

1. . . . .

1. Offline . OTP . ( ) . 2

.

. , X

.

. PC

. . PC OS

. PG . PG

. , NPAPI (NPAPI IE AcitveX

) IE . NPAPI, AcitvieX PC

세계 최대 온라인 쇼핑 기업인 아마존이 한국 온라인 쇼핑 산업에 진출한다는 소식

이 전해졌다. 아마존은 지난해 5월 ‘아마존 코퍼레이트 서비시즈 코리아’란 한국 법인

을 설립했고 ‘아마존 웹 서비스(AWS)’를 시작했다. 아마존은 여기에 그치지 않고 물류

창고지를 알아보는 등 물밑 준비를 한다는 게 알려진 것이다. 아마도 일본에서의 성공

경험과 함께 한국 사람들의 해외 직접 구매 열기 때문에 한국 시장에 거는 기대가 클

것이다.

그런데 한국 소비자들 사이에서 특이한 환호성이 나왔다. 마치 애플의 아이폰이 그

랬던 것처럼 아마존이 들어와 액티브X 전자 결제의 고통에서 해방시켜 달라는 절규였

다. 필자도 동감할 만한 경험이 여럿 있다. 작년 초 온라인 쇼핑몰에서 물건을 잔뜩

찾아 쇼핑백에 담고 결제하려고 했더니 액티브X를 설치해야 했다. 그런데 시스템이

재부팅되더니 쇼핑백이 텅 비었다. 20분에 걸친 노력 끝에 결국 구매를 포기했다. 하

지만 포기하지 못하는 것도 있었다. 한 대학에서 학적부를 발급 받으려는데 수수료를

포함해 550원을 결제해야 했다. 역시 액티브X를 설치하고 또 설치하고 그러다가 무려

22분이 걸렸다. 허탈과 분노로 점철된 쇼핑의 사용자 경험(UX)이다.

외국의 쇼핑 사이트는 전혀 그렇지 않다. 돈 쓰겠다는데 쫓아내는 한국과 달리 편하

게 돈 쓰게 만드는 서비스를 가지고 있기 때문이다. 대표적인 서비스가 바로 아마존의

원클릭(1 click)과 페이팔(PayPal)이다. 이에 따라 이들이 추구하는 사용자 경험(User

eXperience)의 구매 편의성을 이해하고 액티브X로 억압받는 한국 쇼핑 산업의 경쟁

력을 되돌아 봤으면 한다.

아마존의 원클릭, 극단적 편리함 제공

아마존의 원클릭 서비스는 한 번에 모든 일이 끝난다는 뜻이다. 물건을 보고 그 옆

에 있는 원클릭 버튼을 누르면 다 된다. 버튼을 누르면 주문이 접수되고 등록해 놓았

던 신용카드로 결제되고 저장된 주소로 배달된다. 물론 30분 이내에 취소할 수 있다.

인터넷익스플로러뿐만 아니라 크롬·파이어폭스·사파리에서도 되고 애플 컴퓨터에서도

쓸 수 있다.

한 번 클릭이란 극단적 편리함에는 소비자가 돈을 내는지도 모르게 한다는 전략이

숨어 있다. 결제 과정을 최소화했기 때문에 소비자가 클릭하는 과정에서 하게 되는

‘돈을 낼까 말까’라는 고민이 줄고 결국 쇼핑을 더 많이 하게 된다.

아마존의 원클릭보다 광범위하게 쓰이는 온라인 결제 1위 서비스는 페이팔이다. 아

마존의 원클릭은 아마존 내에서만 사용할 수 있지만 페이팔은 온라인 쇼핑뿐만 아니라

기부 등 송·수금 서비스 전반에서 사용하고 있다. 현재 전 세계 24가지 통화(currency)

를 지원하며 3억 개가 넘는 계좌를 가지고 있다. 이베이(eBay)에서는 판매자들이 수

금하는 유일한 수단이기도 하다.

페이팔의 역사를 간단히 살펴보자. 한국이 액티브X에 시달리고 있는 지금으로부터

약 15년 전으로 거슬러 올라간다. 페이팔의 기원은 전기자동차로 잘 알려진 엘론 머

스크가 1999년에 설립한 엑스닷컴(x.com)이다. 머스크는 집투(Zip2)를 팔아 번

2200만 달러 중 1000만 달러를 투자, 은행을 거치지 않고 e메일을 이용해 간편하게

송금하는 방법을 고안했다. 그리고 2000년에 컨피니티(Confinity)와 합병해 페이팔로

개명했다. 다음해인 2001년에 페이팔은 엄청난 성장을 거두며 10대 인터넷 결제 서

비스가 됐다. 이베이는 2002년 간편한 결제의 중요성을 알아차리고 약 1조6000억

원에 페이팔을 인수했다.

페이팔은 은행을 거치지 않고 인터넷을 통해 결제하고 송·수금할 수 있는 간편한 서

비스다. 결제할 때 신용카드 정보를 매번 입력할 필요가 없고 페이팔 버튼을 누르고

비밀번호만 넣으면 된다. 업체 측에 신용카드 번호나 은행 계좌 번호, 개인 정보를 보

내지 않아 안심할 수 있다. 그리고 여러 사이트에서 동일한 페이팔 결제 시스템을 쓰

기 때문에 매번 결제 방법을 배울 필요도 없고 사이트마다 신용카드 정보를 입력할 필

요도 없다. 개인, 개인 사업자, 법인 모두 거래 계좌를 개설할 수 있고 계좌 유지 수수

료는 무료다. 한국에서도 비자나 마스터카드 같이 해외에서 사용할 수 있는 신용카드

만 있으면 사용할 수 있다.

페이팔을 기본으로 하는 다양한 응용 결제 서비스가 등장하기도 했다. 예를 들어 빌

미레이터(BillMeLater)라는 서비스는 이름 그대로 요금을 지불하는 시점이 25~90일

정도로 미뤄진다. 이에 따라 당장에 돈이 나가지 않는 거래에 유리하다. 거래 특성상

신용카드를 사용할 수 없다는 단점이 있고 만기일까지 송금하지 않으면 많은 이자를

지불해야 한다. 트위터에서 이용하는 트윗페이(Twitpay)도 페이팔을 기본으로 한다.

수취인의 사용자 계정과 액수를 보내면 수취인에게 메시지를 전달하면서 페이팔을 통

해 결제된다.

페이팔, 인터넷 통해 송·수금 가능

분명한 것은 아마존의 원클릭이나 페이팔처럼 간단하고 편리하며 안전한 결제 서비

스가 도입돼야 쇼핑의 사용자 경험이 개선될 수 있다. 그래야 소비자들이 즐겁게 쇼핑

하고 쉽게 구매하고 기업이 돈을 벌 수 있다. 문제는 돈을 쓰고 싶어도 절약하게 만드

는 액티브X 기반의 결제 때문에 한국의 온라인 쇼핑 산업이 경쟁력을 잃고 있다는 점

이다.

액티브X 기반의 전자 결제는 이제 망국병이라고 해도 과언이 아니다. 마이크로소프

트도 포기했다는 액티브X를 고수하는 심각성이 잘 드러난 예가 있다. 어떤 웹 사이트

에서는 익스플로러 10을 지원하지 않으니 액티트X를 잘 설치할 수 있는 익스플로러

6이나 익스플로러 9로 내려 받아 사용하라는 웹 사이트도 있었다. 보안 때문에 액티

브X가 있어야 한다는 이야기도 있는데, 보안의 기본 규칙도 지키지 않는다는 것은 잘

알려져 있으니 더 이상 거론하지 않는다.

쇼핑 산업은 이미 안방에서 글로벌 경쟁을 하고 있다. 한국 소비자는 네 명 중 한

명꼴로 불편하고 값비싼 한국 온라인 쇼핑 대신 해외 온라인 쇼핑을 하며 그 편리함에

감탄하고 있다. 여기에 이제 아마존까지 한국에 진출한다고 한다. 물론 아마존이 한국

에 들어오면 액티브X 때문에 원클릭을 못쓰게 돼 결국 마찬가지로 불편해질 것이란

주장도 있다.

하지만 아마존이 물류 창고만 한국에 두고 비자나 마스터카드 등 해외 결제가 가능

한 카드만으로 모든 거래를 미국 서버에서 한다면 어떻게 될까. 쉽지는 않지만 전혀

불가능한 것도 아니다. 이미 스마트폰에서 유료 애플리케이션을 구매할 때 원화가 아

닌 달러로 표시되고 카카오톡에서 스티커를 구입할 때도 달러로 표시된다. 결제는 해

외 결제가 가능한 비자나 마스터카드로만 하고 있다(재작년 구글은 플레이스토어에서

한국 카드로 결제할 수 있도록 시도했지만 한국 법의 제약 때문에 포기했다).

그리고 액티브X 기반의 결제는 한국 온라인 쇼핑 산업의 글로벌화도 막는다. 한국

소비자가 해외 직접 구매에 열을 올리는 것처럼 ‘한류’ 붐을 타고 한국 쇼핑 사이트에

서 직접 구매하고 싶은 해외 소비자도 있을 수 있다. 중국·일본·동남아에는 신선 식품

배송도 할 수 있다. 하지만 가슴에 ‘참을 인’자를 서른 번쯤 새기면 돈을 받아주겠다며

액티브X 기반 결제 서비스를 설득할 수 있을까. 해외에선 50% 이상이 익스플로러를

쓰지 않고 크롬·파이어팍스·사파리를 쓴다는 통계도 있고 미국에선 마이크로소프트 윈

도를 쓰지 않는 사용자가 30%에 달한다. 이런 소비자는 배척의 대상일까.

한국 산업은 외세의 힘을 빌리지 않으면 혁신할 수 없을까. 아마존의 한국 진출이

실현될지, 액티브X로부터 한국 소비자를 구원해 낼 수 있을지는 모른다. 다만 한국 온

라인 쇼핑 산업이 퍼스트 무버로 진일보하려면 철저하게 사용자 경험에 입각한 산업

전략과 관련 법규의 정비가 필요하다. 그 발걸음의 시작이 액티브X의 철폐와 관련 법

규의 정비다.

조광수 성균관대 인터랙션 사이언스 연구소장 kwangsu.cho@gmail.com

윤석찬 Mozilla 한국 커뮤니티 대표

Ⅰ. 액티브X 남용과 사회적 비용 (1)

이 블로그에서 가끔 액티브X 콘트롤의 남용에 따른 국내 PC 보안의 현실에 대한 주

제를 가끔 다뤄 왔다.

글을 쓸 때마다 받는 대응은 다음과 같다. 1) 악성 코드는 액티브X 콘트롤에 의해 감

염되는 것이 아니다. 2) 사용자가 윈도 혹은 취약점 SW 업데이트를 못하거나 안해서

그렇다. 3) 불법 복제 SW가 많아서다. 4) 왜 액티브X 탓을 하느냐? 프로그램 배포 수

단일 뿐 PC 보안과 아무 관계도 없다.

그래서 왜 액티브X 콘트롤 남용이 국내 PC 보안에 영향을 주는지 사회적 측면에서

좀 더 심층적으로 다뤄 보고자 한다. 우선 몇 가지 팩트 부터 살펴 보자.

1. 한국의 PC 보안의 현실과 원인

개인 PC 관련 보안 보고서가 나올때 마다 우리 나라는 상위권에 랭크 된다. 얼마 전

악성코드 유포 1위 기사 뿐만 아니라, 또 다른 통계들에서도 수위를 다투고 있다.

Network Box, 한국 3월 악성 코드 감염 1위

서울, Mariposa Botnet 감염 1위 도시

트위터 통한 악성 액티브X 코드 감염 2위

전 세계 스팸 발송국 3위

그 이유에 대해서는 대부분의 보안 전문가들은 우리 나라 사용자들이 취약점이 많은

윈도우를 많이 쓰고, 사용자들이 (무지 혹은 귀찮아서) 보안 업데이트를 잘 안하고, 한

번 감염되면 빠르게 퍼지는 초고속 인터넷 환경에 노출되어 있기 때문이라고 한다.

아래 표는 Microsoft가 2009년 상반기 자사 보안 솔루션으로 치료 받은 PC 감염숫

자를 기반으로 만든 정보 보안 보고서를 기반한 것이다. 전문가들 말대로 보안 공격

이 높은 국가들의 대체적인 특징 중 복제에 따른 사회적 비용(PC 시장 규모 따른 손

실)은 확실히 높다. 또한, 초고속 인터넷 가입자수도 많다.

윤석찬 Mozilla 한국 커뮤니티 대표

그런데, 한국의 불법 복제 규모는 다른 나라보다 현저히 낮다. 초고속 인터넷 사용자

숫자가 더 많은 프랑스나 영국, 독일에 비해서 오히려 감염 숫자는 비슷해 상관 관계

가 있다고 볼 수 없다. 결국, 감염 숫자가 높은 이유는 바로 윈도우 사용자 수 혹은

IE6 사용자수가 여전히 높은데 있다고 볼 수 있다.

이런 현상은 중국이나 터키와도 매우 비슷하다. (특이한 것은 브라질이나 스페인의 경

우인데 이것은 나중에 한번 다뤄 보도록 하겠다.)

아래 표는 같은 보고서의 PC 감염 상위 주요 국가별로 이루어지는 공격 형태를 표시

한 것으로 지역별로 큰 차이가 있다는 것을 알 수 있다.

윤석찬 Mozilla 한국 커뮤니티 대표

우선 미국, 영국, 프랑스, 이태리, 스페인의 경우 다양한 트로이 목마가 수위를 차지한

다. 보고서에 따르면 이 중 가장 많은 것이 가짜 백신 즉 무료 스캐닝을 한 후에 치료

시 돈을 요구 하는 것들이다. 우리 나라에는 아주 합법적인 장사(?)를 하는 것을 외국

에서는 트로이 프로그램으로 파악하고 있다는 것이 흥미롭다.

이에 비해 우리 나라, 브라질, 스페인은 윔 바이러스 피해가 매우 크다. 특히 중국은

검색 조작을 하는 툴바 및 암호 절취, 스페인은 은행 암호 취득을 하는 악성 코드 피

해가 특히 높다. 우리 나라에는 암호 절취 뿐만 아니라 외국에는 거의 없는 바이러스

피해도 적지 않다. 피해 규모는 선진국이 많거나 비슷해 보여도 스팸메일 발송, 개인

정보 절취, 운영체제 감염 등 우리 나라는 직접적인 손실이 매우 크다.

이러한 통계 패턴은 같은 보고서의 2008년 자료에서도 거의 대등 소이하다. 우리 나

라 PC 감염은 웜바이러스, 암호 절취, 바이러스 등 다방면으로 이루어지고 있다고 봐

야 한다.

2. PC 사용 방법의 차이점

왜 우리 나라와 유럽 선진국들과 완전히 다른 차이를 보이는 것일까? 우리 나라 사람

들은 게을러 보안 업데이트를 안하고 그 나라 사람들을 철저히 하기 때문일가.

그 이유는 해외 선진국 PC 사용자 대부분이 비 관리자 계정을 이용하도록 운용하면서

최신 운영 체제와 웹 브라우저를 선택할 수 있기 때문이다.

내가 해외에 출장 혹은 체류 했던 경험에 의하면, 학교, 회사, 호텔 등 공용 컴퓨터 시

설에서 관리자 계정(Admin)을 준 공용 PC는 거의 없었다. 아마 외국에 계신 분이나

생활하신 분들은 아실 것이다. 지난번 홍콩 과기대에 한달 동안 있으면서 학교 PC에

는 각종 오픈 소스 SW랑 유료 SW가 함께 깔려 있어서 일반 사용자 계정으로 사용하

는데 아무 지장이 없었다.

윤석찬 Mozilla 한국 커뮤니티 대표

그러나, 우리 나라로 오면 사정은 180도 달라진다. 모든 PC 사용자들이 관리자 권한

을 득해야 한다. 사용자들이 무슨 대단한 SW 깔아서 쓰는 해커라서 그렇기 보다는 웹

서핑에서 액티브X 콘트롤로 만든 플러그인이 너무 많기 때문이다. 도저히 불편해서

일반 사용자 계정은 못 쓰는 것이다.

뱅킹이나 증권 거래시 공인 인증, 보안 프로그램 부터 쇼핑몰의 카드 결제 플러그인,

게임 사이트의 게임 론쳐, 포털 사이트의 플러그인 심지어 학교 수강 신청, 회사 인트

라넷 까지 수 많은 액티브X 콘트롤을 위해서는 관리자 계정이 필수적이다.

웜이나 바이러스의 경우, 관리자 계정만 접근 가능한 시스템 공용 폴더에 악성 코드를

삽입하고 취약점을 가진 외부 관리자 계정을 공격한다. 회사나 학교에서 나눠 주는

PC들도 다들 관리자 계정으로 쓰니까 보안팀의 경우, 사내나 교내에 웜바이러스가 돌

면 완전 비상이 된다.

윤석찬 Mozilla 한국 커뮤니티 대표

이런 위험성 때문에 윈도우 비스타의 경우, UAC를 도입해 관리자 계정 권한을 제한하

고 윈도우 7에 관리자 계정을 기본으로 사용하지 못한다.

그러나, 우리는 어떤가? 결국 윈도 비스타 UAC를 끄거나 XP로 다운그레이드 하고 윈

도7에서 관리자 계정 활성화 시키는 방법이 팁으로 블로그에 지식인에 넘쳐난다. 최신

윈도 운영 체제의 보안은 더 발전하는데 사용자들 발목을 잡는건 따로 있다.

인터넷 익스플로러도 7,8,9 업데이트 할 때 마다 문제가 걸리고 있지만 어떻게든 꼼

수로 해결하고 있고 그나마 파이어폭스, 사파리, 오페라 같은 다른 웹 브라우저는 선

택할 수도 없다. 결국 액티브X 콘트롤 오용이 우리 나라 PC 보안 환경에 직접적인 영

향을 주면서 사회적 보안 비용을 계속해서 증가시키고 있는 것이다.

3. 해결이 가능할 것인가?

물론, 보안과 편의성은 상반 관계(trade-off)에 있으니까 이들 액티브X 플러그인의 의

해 사용자 편의성이 높아진 것은 사실이다. 하지만 뜯어 놓고 보면 이 많은 플러그인

이 왜 생겼나 한번 고민해 볼 필요가 있다.

국가 계획하에서 만들어진 공인 인증와 금융 결제 체계, 이를 보호하려면 보안 프로그

램이 첫 매듭을 만들었다. 그 매듭에 전자 정부, 포털과 게임 업체, 학교와 회사의 인

트라넷이 꼬리에 꼬리를 물었다.

우리는 그 매듭을 풀수 있다. 포털에서 2000년대 중반 지도 서비스에서 사용하던 액

티브X 콘트롤은 현재 완전히 자취를 감췄다. 모두 Ajax 기반으로 변경 되었고, 몇몇

관공서의 GIS 사이트에 가야만 가끔 볼 수 있다. 요즘 포털 사이트의 경우 액티브X

콘트롤을 쓰는 경우 대부분 타 웹 브라우저나 운영 체제에서도 선택 가능한 방법을 제

시하고 있다.

최근 논의가 되는 공인 인증 체계와 그 보안에 대한 방법도 선택 가능한 기술을 내 놓

고 경쟁함으로서 사용자들이 편의성과 선택권, 보안의 균형을 잘 맞출 수 있도록 시장

이 움직어야 한다.

물론 사용자의 개별 보안 의식을 올리는 것 물론 중요하다. 윈도우즈 업데이트를 잘

하고, 취약점 발표날때 마다 챙겨서 프로그램 업데이트 해주고, 백신 깔아서 주기적으

로 체크하도록 해야 한다.

윤석찬 Mozilla 한국 커뮤니티 대표

하지만, 그런 교과서적인 방법 말고도 사회 전반의 보안 비용을 낮추는 것도 매우 중

요하며, 최신 운영 체제와 웹 브라우저의 보편적 보안 서비스를 선택할 수 있도록 하

는 것은 무엇 보다 중요하다.

현재 PC/모바일/단말 운영 체제와 웹 브라우저의 변화는 우리가 걸어온 길과 정반대

로 가고 있다. 기존의 레거시를 유지하면서 그 길을 따라 갈 수는 없다. 하나씩 하나

씩 없애야만 가능하다. 정부와 보안 업계에서도 이 문제에 대한 대안을 제시해야 한다.

자신들의 레거시를 유지하면서 전 국민을 취약한 보안 환경으로 내 몰고 있으면서 사

용자 탓만 해서는 안될 것이다.

앞으로 액티브X 남용과 사회적 비용 (2)에서는 브라질의 경우를 사례로 들어 우리의

현실과 비교해 보고자 한다.

윤석찬 Mozilla 한국 커뮤니티 대표

Ⅱ. 액티브 X 남용과 사회적 비용 (2) - 브라질 사례

지난 액티브X 남용과 사회적 비용(1)에서는 전 세계 경향과 비교해 국내 PC 보안 환

경의 상황과 그것이 다른 이유에 대해 살펴 보았다.

각국의 지역적 상황이 많이 다르겠지만, 통계로만 본다면 우리와 매우 비슷한 상황이

라 할 수 있는 '브라질'에 대해 알아 보고자 한다.

브라질은 총 인구 1억 8천만명에 인터넷 사용자수 6천 7백만명이지만 초고속 인터넷

가입자 수는 천만명 안팎으로 네트웍 인프라가 열악하다. 물론 직장이나 인터넷 카페

(LAN 센터) 등을 합치면 우리 보다 훨씬 웃돌

것이다.

우리가 비슷한 점 중에 하나가 인터넷 뱅킹 서

비스가 매우 활성화 되어 있다는 점이다.

2008년에 4천만명의 인터넷 사용자 중 2천 5

백만명이 이를 사용하고 있고, 90%가 비창구

온라인 혹은 ATM 거래라고 한다. 따라서,이를

이용한 세계 최고의 인터넷 뱅킹 악성 코드 공격 (영문 분석글)이 이루어지는 국가이

다.

세계 최대 인터넷 뱅킹 공격 국가

브라질은 빈부의 격차가 심해서 가난한 청년들이 컴퓨터 기술을 익히고 러시아에서 악

성 코드를 구매해와서 유포하고 이를 통해 금전적 이득을 얻는다고 한다. 이들 악성

코드는

우선 오

컷

(Orkut)

같은 곳

에서 개

인 정보

윤석찬 Mozilla 한국 커뮤니티 대표

와 암호를 절취하고 이를 은행에 이용하는 형식으로 이루어진다.

그 이유는 브라질의 인터넷 뱅킹 보안은 두 가지 암호를 병행 하고, 이를 가상 키보드

로 입력하는 것이 대부분이기 때문이다. 로그인시 암호와 이체 시 서명 암호이다. 최

근 들어 별도 보안 카드를 발급하기도 하고, 인증서 토큰을 제공 하는 은행도 있다고

한다. 사실상 우리 나라에서 보기에는 엄청난 피해가 날 것처럼 보이는 시스템이다.

그런데, 이런 최악의 상황에서도 브라질의 인터넷 뱅킹은 꿋꿋히 진행 되고 있다는 점

이다. 2008년 RSA 컨퍼런스에서 브라질 대표 은행인 Banco Do Brasil은 사례 발표를

했는데, 발표의 핵심은 간편한 사용자 경험을 제공하면서도 보안을 지키는 방법은 바

로 "사용자를 끊임없이 교육"시키는 것이다.

각종 보안 위협에도 꿋꿋히 간편한 서비스를 지향 하면서 범국가적으로 해킹 방법을

끊임 없이 고지하고 사용자를 교육 시킴과 아울러 정부 당국이 악성 코드 유포자를 체

계적으로 막는 길을 병행하고 있다. 사용자를 각종 기술적 방법에 매이게 하기 보다는

전반적인 의식에 대한 상향 평준화와 중요하다는 점을 보여 준다.

플러그인 방식 보안 찬반양론 뜨거워

금융 거래에 공격 성공이 쉽다 보니 암호 탈취를 악성 코드 공격으로 인한 사용자 PC

윤석찬 Mozilla 한국 커뮤니티 대표

보안은 위협받고 있다. 이를 해결하고자 은행권에서는 악성 코드를 탐지하는 플러그인

프로그램을 고객들에게 제공하고 있다.

2002년 부터 인터넷 뱅킹 앞단에 액티브X 혹은 파이어폭스 플러그인으로 설치하는

G-Buster라고 부르는 이 프로그램은 우리 나라 은행들이 하는 보안 프로그램 방식과

유사해 커널 기반에서 악성코드를 차단하는 역할을 한다.

이에 대한 효용성에 대한 찬반 양론이 아주 뜨겁다. 악성 코드와 안티바이러스가 같은

수준에서 설치 될 수 있으니, 실제로 뱅킹용 악성 코드(banker1,2)가 G-Buster를 무

력화 시키는 anti-rootkit 공격을 한다.

브라질이 웜 바이러스와 개인 정보 및 암호 절취, 바이러스 등의 감염 비율에서 우리

나라와 거의 비슷한 통계를 보이는 것도 이런 이유이지 않을까 조심스럽게 추측해 본

다. 앞글에서 언급한 대로 대다수 국민들이 쓰는 공공 서비스에서 액티브X 콘트롤의

남용은 결국 사용자 PC의 보안 수준을 크게 낮추는 영향을 끼칠 것으로 예상되기 때

문이다. 아마도 이 때문에 브라질의 윈도우 XP 비율이 서구 유럽 국가와 비교해 상대

적으로 높지 않을까.

윤석찬 Mozilla 한국 커뮤니티 대표

스마트카드 방식 공인 인증 채택

엄청난 공격에도 불구하고 브라질은 편의성과 보안성의 절묘한 조화를 위해 최대한 노

력하고 있고, 이를 은행, 보안 업체, 국가가 모두 노력하고 있다.

브라질의 또 다른 선택은 바로 우리 나라와 같은 국가 공인 인증 체계를 도입하는 것

이다. 브라질 NPKI 사업은 2007년 부터 시작되어 현재 전자정부 및 민원 서비스에

광범위하게 제공되고 있다. (아직 은행권에는 사용되고 있지 않지만 앞으로 사용될 가

능성이 있다.)

그런데, 우리 나라와 큰 차이점은 바로 표준 SSL 기반 서버 인증서 및 개인용 스마트

카드 기반 공인 인증서만을 발급한다는 것이다. (현재 우리 나라 공인 인증기관들도

SSL 서버 인증서 발급 및 HSM과 스마트카드 방식이 필요하다고 인지하고 있다.)

파이어폭스에서 루트 인증서 탑재 작업이 더디

게 이루어 지고 있어 사용자 불편이 가중되고

있으나, 웹 브라우저에 플러그인을 덕지덕지 바

르는 게 아니라 오프라인과 온라인이 연계된

이중 보안 시스템을 제공하여, 부인 방지 기술

인 전자 서명에 얽매이고 있지 않고도 유사한

효과를 거두고 있다. 실제로 은행에서도 두번째

암호를 서명용이라고 부르고 있다.

편의성과 보안 의식 함께 올려야

브라질 인터넷 뱅킹과 보안 상황에서 우리가 얻을 수 있는 시사점은 우선 사용자 편의

성을 중시한다는 점이다.

200년이 넘은 브라질 은행들에 비해 사실상 1998년 IMF를 통해 이제 갓 서비스 마

인드를 가지게 된 국내 은행과 비교하기는 어려울 것이다. (공인 인증이란게 사실상 국

가 계획하에 만들어졌고, 우리 나라 금융 시스템이 관 주도이었다 보니 사고 책임 회

피를 사용자의 불편함에 모두 지우는 현실은 새삼스럽지 않다.)

플러그인 기반 보안 프로그램이 금융 거래에 대한 보안을 크게 올리고 진입 장벽이 되

는 것은 사실이지만, 브라질의 경우 처럼 안티루트킷에 의해 쉽게 무력화 된다는 점도

윤석찬 Mozilla 한국 커뮤니티 대표

시사점이 크다. (우리 나라가 해킹 공격을 안 받는 큰 원인 중 하나가 한국어라는 말이

있을 정도이고, 지금은 해킹이 온라인 게임 정보 탈취나 스팸 메일 발송이 ROI가 높

지만, 언제든지 금융권 공격 시도 가능성은 상존하고 있다.)

공인 인증의 경우, 국가 차원에서 인프라를 이끌고 가고 있다는 점도 그렇다. 2006년

부터 OTP시장 활성화를 위해 금융보안연구원에서 OTP 통합 인증센터를 만들고, 은행

과 OTP 업체들이 엄청난 투자를 했지만 현재 고사 직전에 있다.

1억원 이상 이체 고객에게만 OTP가 의무화 되어 있어서 보안성이 높지만 필요성이

없는 이유이다. HSM 방식 인증서 이용이나 OTP 같은 보안 산업도 활성화 되려면, PC

기반 공인 인증에 묶여 있는 현재 상황에서 다변화를 이끌 국가 차원의 유연성이 필요

하다.

우리 나라 2009년 국가 정보 보호 실태를 보면 개인 사용자 백신 보급률이 95.7%,

윈도우즈 업데이트 같은 패치 보급률이 86.8%, 공인 인증서 보급률은 59.9%에 달

한다.

이런데도 늘 우리 나라가 악성 코드 감염 오명국이 되는 이유는 무엇일까? 결국 사용

자의 전반적 보안 의식을 올려야 하는데 지난 글에서도 언급한대로 운영 체제 자체에

서 공격을 방어할 수 있도록 PC를 제한적으로 사용하는 분위기가 만들어져야 한다.

윤석찬 Mozilla 한국 커뮤니티 대표

보안에 취약한 공용 PC 부터 사용자 PC 권한을 낮추고 그래도 편하게 이용할 수 있

는 서비스가 제공되어야 한다. 가정에서도 부모들이 아이들의 PC 사용 권한을 제어할

수 있도록 편의성이 제공되어야 한다. 이러한 편의성은 꼭 PC를 관리자 권한이 아니

어도 사용할 수 있도록 해 주는 것을 말한다.

과거에 포털 접속시 액티브X 기반 백신 프로그램을 의무적으로 설치하도록 하는 망측

한 계획을 했던 KISA에서 최근 전 국민에게 백신을 무료(?)로 배포할 준비를 하고 있

다고 한다. 좋은 계획이다. 이 계획과 더불어 백신을 설치한 후, 웬만한 악성 코드나

취약점에서 안전한 사용자 권한을 가지고 이용할 수 있도록 서비스상 편의성 계도도

함께 해 주면 좋겠다.

다음 액티브X 남용과 사회적 비용 (3)에서는 국내 보안 상황과 편의성을 함께 취할

수 있는 연착륙 로드맵에 대한 생각을 정리해 보고자 한다.

윤석찬 Mozilla 한국 커뮤니티 대표

Ⅲ. 스마트폰 뱅킹, 제도적 카르텔 선결해야

작년 12월 제 블로그에서 한국 인터넷 뱅킹 포기 선언 이후에 꽤 많은 변화가 있었습

니다.

국내에서 석달 만에 아이폰이 30만대 이상 팔렸고, 기업들이 나서서 아이폰 기반 인

터넷 뱅킹과 온라인 카드 결제 애플리케이션 및 서비스를 잇달아 내 놓았습니다. 이에

반해 금융감독원은 아이폰 등 스마트폰에서는 PC에 준하는 보호 조치를 취해야 한다

는 가이드라인을 내 놓으면서 수 많은 뉴스 및 여론의 질타를 받았죠.

상황이 이렇게 되니, 또다시 이 문제를 해결해 보겠다는 정부 각처의 Newbie들이 대

책 회의를 잇달아 하면서 마치 해결해 낼 것 처럼 또 언론 플레이를 하더군요. 지난 8

년간 이 문제를 해결 하겠다고 나선 행정 부처와 산하 기관들은 엄청 나게 많았고, 모

두들 립 서비스만 한채 제도적 기술적 카르텔이라는 문제의 실체에 접근만 했을 뿐 실

질적인 결과는 보여 주지 못했습니다.

얼마전 부터 미래위, 방통위, 공정위, 행안부, 지경부 일부 조직에서 또 문제를 해결해

보겠다고 나서고 있는데 결국 부처간 이기주의와 업무 영역 문제를 이기지 못하고 그

냥 미봉책 몇 개만 남기지 않을까 염려가 됩니다.

법적 제도적 카르텔 들여다 봐야

우선 이 논의에 들어서는 분들에게 먼저 알려 드려야 할 것은 이제 이 문제는 “기술”

이 아니라 바로 뿌리 깊은 “법적 제도적” 카르텔이 존재한다는 점입니다. 아래 도표는

우리 나라의 액티브X 문제 저변에 있는 각종 법적 규제들입니다.

1998년 일명 PKI법이라 할 수 있는 ‘전자 서명법’이 통과되고, 이를 기초로 공인 인증

제도가 도입됩니다. 사실상 킬러 서비스라 할 수 있는 금융거래에 공인 인증서 사용을

사실상 강제합니다. 이런 행위가 법령에 근거가 없이 행정지도로 이루어지고 있어서,

2006년 ‘전자금융거래법’을 제정할 때 공인 인증서 항목을 법 규정에 넣게 되죠.

따라서 그 하위의 금감원 감독 규정에 따라 공인 인증서 사용은 필수가 되고 전자서명

법상 기술 규격에 의해 사실상 플러그인 기술로만 공인 인증 서비스가 이루어 질 수

윤석찬 Mozilla 한국 커뮤니티 대표

밖에 없는 현실이 고착화 됩니다. (구)정보보호진흥원은 내부 규격이 특정 기술을 강제

하지 않고 있다지만 사실상 액티브X 플러그인만 선택하도록 할 뿐입니다.

전자 금융 거래 감독 시행 세칙에는 키보드 보안, 침입 차단, 안티 바이러스 같은 소

프트웨어를 의무적으로 제공하게 되어 있고, 고객 선택권이 명시되어 있어도 금융 사

고 시 입증 책임 때문에 대부분 금융 기관들은 선택권을 제공하지 않습니다.

윤석찬 Mozilla 한국 커뮤니티 대표

금감원만 탓할 게 아니다

자! 이런 상태에서 누가 법적 규제를 풀 수 있겠습니까? 게다가 상대는 자칫 건들었

다가는 통째로 책임져야 하는 금융 거래 보안에 관련된 사안인데 말이죠. 보안 산업

보호을 위해 스스로 매듭을 만든 국내 보안 업체들이 풀수 있는 상황도 아닙니다.

법으로 사실상 특정 기술이 강제된 현상에서 이게 국가 기관이 아닌 민간 업체들이 스

톡홀더로 참여하다 보니 이를 정부 혼자 나서서 풀 수 없는 상태가 된 것입니다. 공인

인증 업체, 금융 기관, 보안업체 등 산업 전반에 수술을 가해야 하는 상황이니 정부가

손쓸 수 있는 대상이 아닙니다. 게다가 공인 인증과 이에 연관 산업은 우리 나라 보안

업계를 거의 먹이다시피 해 오고 있기 때문에 이해 관계가 엄청 나게 많지요.

‘스마트폰 뱅킹 가이드라인’ 덕분에 여론의 뭇매를 맞고 있는 금감원만 해도 억울한 점

이 많습니다. 기존의 윈도우 모바일폰에서는 공인 인증서를 사용해서 서비스를 해 왔

기 때문에 그에 준하는 스마트폰에 PC 수준의 보안을 요청하는 건 어찌보면 당연한

일이니까요.

게다가 금융 기관들이 범위를 정해 공인 인증 예외 적용을 요청하면 금감원장은 서비

스를 하게 허가해 주며, 피처폰에서 인기를 끈 VM뱅킹이 그런 방식으로 진행되어 왔

습니다. 작년 부터 뜻 있는 사람들이 모여 만든 “오픈 뱅크안” 역시 은행들이 나서서

예외 적용을 통해 기존의 문제를 풀어 보도록 요청하는 소비자 운동입니다.

윤석찬 Mozilla 한국 커뮤니티 대표

결국 연착륙은 불가능한가?

스마트폰에서 인터넷 뱅킹 이슈는 PC상의 문제의 연장 선상에 있습니다. 이 문제는

기존의 PC에서 비윈도, 비IE 사용자의 문제와 유사하게 다뤄져야 합니다. 개인적으로

수 년간 파이어폭스 사용자와 웹 표준 기술자를 대변하면서 각종 대책 회의, 기술 회

의, 컨퍼런스를 뛰어 다녔는데 이는 우리 사회 전문가들이 이 문제를 슬기롭게 해결

할 수 있다는 믿음 때문이었습니다.

2004년부터 작년까지 (구)정통부(지경부), (구)행자부(행안부), KIPA, KISA, KADO에서

만났던 많은 정부 부처, 보안 업계, 브라우저 업체 및 웹 개발자들과 그나마 공감대를

이루는 이야기가 현 기술 및 법적 체제를 당장 바꿀 수 없으니 비 윈도/비 IE를 위한

기술 혹은 인증 수단을 제공해서 시도해 보고, 이 방법의 효용성이 인정 되면 확대 해

보자는 “단계적 연착륙” 방식 입니다.

ActiveX 와 공인 인증에 대한 대안(2007.2)

웹 표준, 이제 물러설 수 없다(2009.3)

오픈 뱅크 2009를 시작하며(2009.9)

이 방식은 결국 예산에 막히거나 또다른 플러그인 기술을 써야 하는 딜레마에 빠지거

나 플러그인이 아니면 아예 해결 자체가 불가능해 막다른 골목에 도달 합니다.

저도 작년 부터 오픈 뱅크를 준비하면서 공인 인증 체제 자체에 의문을 제기하고 구조

자체를 바꾸지 않으면 해결 되지 않을 것 같다는 생각을 하게 되었습니다. 이와 똑같

은 문제 제기는 이미 한국 마이크로소프트의 김국현님이 수년 동안 칼럼을 통해 주장

해 오고 있는 것입니다.

웹 구조개혁의 제안 (2007.4)

공인인증체제, 우리에게 임박한 미래로부터의 리스크 (2008.8)

웹자유주의, 액티브X와 공인인증 논쟁 접근법 (2009.4)

따라서 우리는 이제 공인 인증이라는 인식의 틀에서 한발짝 물러 나서 아이디어를 꺼

내 봐야 할 때가 됐습니다. 공인 인증서도 PC에 저장하는 게 위험한 세상이 됐고, 이

는 금융 보안 연구원이 최근 발행 한 해외 인터넷뱅킹 보안현황 조사보고서 상의 사례

들을 보더라도 그렇습니다.

윤석찬 Mozilla 한국 커뮤니티 대표

선결 과제들

지금까지 경험을 토대로 실질적인 문제 해결을 위한 규제 개혁 선결 과제 몇 가지를

제안해 보고자 합니다. 우선 국회의원과 금융 위원회 등 정부 부처에서는 법규 강제

규정을 없애고 금융기관의 선택권을 늘려야 합니다.

전자 금융 거래법 제21조 (안전성의 확보의무) ③금융감독위원회는 전자금융거래의 안

전성과 신뢰성을 확보하기 위하여 「전자서명법」 제2조제8호의 공인인증서의 사용 등

인증방법에 대하여 필요한 기준을 정할 수 있다. 에서 “「전자서명법」 제2조제8호의 공

인인증서의 사용 등 ” 규정을 삭제한다.

전자 금융 감독 규정에서 공인 인증서 사용 강제 규정을 삭제하고 감독원장이 정하는

기준에 한해 전자 금융 거래를 허가할 수 있도록 한다.

기존의 전자 금융 거래 보안 등급에서 공인 인증서를 제외할 경우의 보안 등급을 새로

정한다.예) 1등급: SSL아이디+보안카드+OTP발생기+2채널인증, 2등급: SSL아이디+보안

카드+OTP발생기+SMS통보, 3등급: SSL아이디+보안카드+OTP발생기. 스마트폰의 경우,

단말기 고유번호 등록 등.

국회의원과 행정안전부는 14년이 넘은 낡은 전자서명법에 대한 손을 봐야 합니다. 공

인 인증 체제에서 인증 수단의 다양화, 사설 인증 및 해외 인증 기관 진입 보장, 외산

인증 제품 진입 보장을 통한 경쟁 체제로 유도해야 합니다.

전자서명법을 “공인 인증 관리법”으로 바꾸고, 기존 PKI 방식 뿐만 아니라 OTP 방식,

지문 및 홍채 인식 등 다양한 인증 방법을 공인 인증 기술로 추가 한다.

윤석찬 Mozilla 한국 커뮤니티 대표

기존 기술 규격인 국제적 수준의 암호 및 인증 기술로만 가이드라인을 만들어 기존 웹

브라우저 탑재 기능이나 해외 인증 업체의 크로스 브라우징 기술이 진입 가능하게 한

다.

사실상 SEED나 ARIA로 강제되어 있는 암호 기술 규격 및 국정원의 국가 기관 암호

제품 심사 규격을 완화하여 외산 제품들도 자유로이 경쟁 할 수 있도록 한다.

여기서 제안한 방법은 공인 인증 체제를 완전히 대체하거나 무너뜨리려는 것이 아니라

선택 가능한 대안을 포괄할 수 있도록 규제를 완화하지는 것입니다. 기존 체제와 대안

체제가 공존하고 경쟁할 수 있도록 만들어 주어야만 우리 나라 현업 공무원, 웹 개발

업체, 보안업체, 금융 기관, 카드사, 쇼핑몰, 통신사 등이 지혜로운 해법을 만들어 낼

수 있을 겁니다.

[이민화 칼럼] 규제개혁의 시금석, 전자금융 규제

이민화 한국벤처협회 명예회장 최종수정 2014-02-24

“창조는 사물의 연결이다” 스티브 잡스의 말이다.

창조경제 구현을 위하여 연결을 저해하는 규제개혁이

절대적이다. 규제개혁은 기업가정신과 더불어 창조경

제 구현의 양대 축이다. 그런데 지금까지도 역대 정

부는 규제개혁을 정권차원에서 홍보해 왔다. 그러나

2002년 이후 한국의 규제는 매년 늘어왔다. 구호로는

규제 축소를 외치나, 실제로는 규제가 증가한 것이다.

도대체 무슨 일이 있었는가 알아보기로 하자.

규제 개혁은 규제 자체는 없애는 것이 아니라, 규제의 품질을 올리는 것이 목적이

다. 환경규제를 통하여 환경을 보호하고 기업규제를 통해서 경제 민주화를 촉진시킬

수 있다. 규제는 빛과 그림자를 가진 양날의 칼인 것이다. 교통신호가 없다면 시내 도

로망은 마비될 것이다. 모든 규제를 철폐한다면 사회제도는 혼란에 빠질 수 있기에

규제는 최소한 존재해야 한다.

규제에 관한 일반적 원칙은 규제로 인한 비용대비 편익을 극대화하는 것이다. 그래

서 규제 개혁의 지표는 규제 숫자가 아니라 비용대비 편익이 되어야 한다. 규제 영향

평가 시스템이 규제 개혁의 인프라인 것이다. 한국의 많은 기존 규제는 이러한 규제

영향 평가가 미비하고 분석된 보고서는 특정 이익단체의 입맛에 맞춘 것이 대부분이

다. 수도권 공장 규제를 통한 비용과 편익, 원격 의료에 관한 비용 편익 분석, 자영업

지원의 비용 편익 분석이 공개적으로 분석되고 공유되어야 한다. 그러면 이익집단을

위한 많은 규제들이 해소될 것이다. 세계 최초로 개방과 공유의 정부3.0 기반 규제영

향 분석 시스템 구축이 차별화된 국가 규제 전략이 될 것이다.

기술은 급격히 진화한다. 과거 기술환경에 근거한 잘못된 규제는 사회적 문제를 야

기하고 편익을 감소시킨다. 대표적인 것이 인터넷 전자금융거래 규제 사례다. 금융감

독원의 내규인 전자금융 감독규정에는 특정 인력 비율과 특정 기술을 사용에 대한 깨

알 같은 규정들이 있다. 이 규제에 포함되느냐가 한국 전자금융 업계의 사활을 좌우

하고 있다. 따라서 극심한 이익집단의 활동은 당연히 난무하게 된다. 결과적으로 시대

에 뒤떨어진 갈라파고스 규제가 사회적 비용을 증가시키게 된다. 기술평가는 원칙적

으로 민간으로 이전하고 결과에 대한 책임만 명확하게 하라는 것이 바젤 협약이 규정

하는 글로벌 표준이다.

한국의 친절한 금융감독원에서는 기술, 인력, 조직 등 모든 분야에 걸쳐 세세하게

규정하고 있다. 한국을 인터넷 보안 후진국으로 만들고 글로벌 온라인 무역의 갈라파

고스로 고립시킨 규제들은 놀랍게도 법도 아니고 시행령도 아닌 부처 내규에 근거하

고 있다. 문제 해결은 간단하다. 이러한 규제들을 모두 없애고 통제와 보호의 패러다

임에서 자율과 책임의 패러다임으로 개혁하는 것이다.

이러한 규제들이 생기는 이유는 모든 문제를 사전에 관리 가능하다는 과거의 통제와

보호의 패러다임 때문이다. 공무원들이 문제발생을 원초적으로 봉쇄하기 위해서 주도

면밀한 사전 규제를 열심히 노력한 결과는 기술발전의 저해와 국가비용의 증가다. 이

제 규제의 원칙은 바로 KTX와 같이 사전규제는 극소화 하고 사후평가는 강화하는

것으로 이동해야 한다. KTX 표 검사는 하지 않더라도 잘못되면 10배를 물리는 것이

바로 Positive system에서 Negative system으로의 혁신이다. 사전 통제에서 사후 평가

로의 전환이 바로 창조경제로 가는 패러다임의 변화인 것이다.

즉 무조건 사전 규제를 없애기만 하자는 것은 아니다. 사전규제를 줄이는 대신 사

후평가를 강화하자는 것이다. 금융 기관이 보안투자를 줄이는 비용 절감보다 문제 발

생시 손해배상이 크면 당연히 보안을 강화하게 된다. 정부가 규제를 줄이면 공무원

수를 줄일 수 있다. 업계는 피규제 비용을 줄일 수 있다. 국가 전체는 사회적 효율을

증대시키게 된다.

창조경제는 융합이 쉬워지는 경제이다. 융합이 쉬워지기 위해서는 규제의 울타리가

낮아져야 한다. 울타리를 낮추면 만남이 촉진되고 융합이 활성화된다. 여기에 기업가

정신으로 창조적 융합을 촉진시키면 된다. 창조경제는 칸막이 규제 철폐와 창조적 기

업가정신이 쌍끌이로 이끌면 성공의 길이 열릴 것이다.

[열린세상] 금융보안, 원칙을 재정립하자 /이민화 카이스트 초빙교수

온 나라가 금융 보안 문제로 뒤숭숭하다. 인터넷

기술은 선진국이나, 인터넷 보안제도는 후진국이라는

것이 바로 불편한 진실이다. 관련 기관들은 대책

마련에 부산하다. 이러한 과정은 현대캐피탈 등 4 개의

거대 금융 사고가 터진 2011 년 이후 매번 반복돼

왔으나 문제는 개선되지 않고 오히려 악화되고 있다.

즉 지금까지의 대증요법적인 문제해결 방법이 아닌

원칙의 재정립이 필요하다는 것을 의미한다.

주목할 현상은 전 세계 해커들이 한국을 주요

경유지로 활용하고 있다는 것이다.

한국인터넷진흥원(KISA)에 따르면 전 세계 악성코드의 70%가 한국을 경유하고

있다. 그렇다면 왜 한국이 악성코드 국가라는 불명예를 얻게 되었는가 진지하게

반문해 보아야 한다. 인터넷 보급률과 전자금융 이용률이 높은 것은 이유가 아니다.

문제의 본질은 인터넷 보안 불감증이 높다는 것과 보안 레벨이 낮은

운영체제(OS)와 브라우저 사용이 많다는 것이다.

그런데 이 두 가지 문제는 한 가지 원인에서 비롯된다. 바로 보안에 너무나

취약한 액티브 X 기반의 전자금융 제도이다. 공인인증서에 기반한 한국의 전자금융

제도는 ‘묻지마 다운로드’를 국민들에게 인지시켰다. ‘설치하시겠습니까?’라는

질문이 나오면 우리는 무조건 ‘yes’ 하도록 길들여졌다. 각종 보안 모듈들을 심기

위하여 다른 나라에서는 상상하기 어려운 전 직원 관리자 모드 사용이 일반화됐다.

보안 레벨이 높아진 상위 OS 나 브라우저에서 제한된 액티브 X 사용을 풀기 위해

일부러 보안 레벨을 낮추고 브라우저도 다운그레이드하는 웃지 못할 일이 벌어진다.

결과적으로 한국의 인터넷 환경은 악성코드를 심는 데 최적의 조건을 제공하게

된 것이다. 당연히 전 세계 해커들은 악성코드를 심어야 가능한 각종 피싱과

파밍의 시험무대로 한국을 활용하게 됐다. 작년에만도 인터넷 사기는 재작년의 두

배 가까운 8 만 5000 건을 넘어서고 있다. 이제는 분명히 인정해야 한다. 한국이 전

세계에서 가장 악성코드를 설치하기 쉬운 나라가 되었고, 너무나 광범위하게

남용된 액티브 X 기반의 공인인증서가 그 바이러스의 숙주라는 것을.

스티브 잡스가 애플의 차기 제품에서 자바 애플릿을 포함한 모든 플러그인

설치를 없애려 한 이유와 마이크로소프트가 액티브 X 를 보안 목적에 쓰지 않도록

경고하고 윈도 8 과 IE11 에서는 원칙적으로 이를 지원하지 않는 이유를 당국은

이해해야 할 것이다. 액티브 X 를 악용한 악성코드 유입이 만병의 근원인 것이다.

다음은 서버 인증을 제대로 하지 않는 전자금융 제도에 있다. 가짜 사이트로

유도하는 피싱과 파밍의 확산은 서버 인증을 하지 않는 한국 제도의 허점을

해커들이 최대한 악용한 것이다. 전 세계는 표준적으로 금융기관의 서버를 우선

인증하는 것을 보안의 시작으로 한다. 그런데 우리는 가입자 인증에만 목을 맨다.

피싱과 파밍 피해를 초래한 책임을 면하기 어렵다.

데이터 통신과 저장 단계에서 암호화는 너무나 상식적인 보안의 기본이다.

그런데 우리는 통신 암호화는 물론 저장 단계에서도 암호화 하지 않아 초대형

개인정보 유출 사고가 터진 것이다. 보안은 형식적 규제가 아니라 확실한 책임과

권한의 명확성으로 유지되는 것이다. 이번 카드 사태와 같이 한 명이 전체 자료에

접근하는 것은 서버 관리의 기본을 위배한 것이다.

문제의 본질이 파악되면 임시방편적 대안이 아니라 근원적 처방이 가능해진다.

단계적으로 공인인증서 기반의 획일적인 전자금융 제도를 다양화해야 한다. 이미

2010 년 기업호민관실과 합의해 설립한 인증방법평가위원회가 4 년간 실질적으로

개점 휴업한 것은 분명히 당국이 책임져야 한다.

전자금융에 대한 국제 협약인 바젤협약은 분명한 원칙을 제시한다. ‘기술의

진보에 대응하기 위하여 당국이 하나의 제도를 강요해서는 안 되고, 생체인증과

OTP(일회성 비밀번호), 보안토큰 등 각종 기술을 반드시 금융기관이 결정하도록

해야 한다’는 것이다. 다양한 보안기술들이 금융기관의 책임하에 활용돼야 한다는

것이다. 정부의 잘못된 규제를 원칙으로 되돌리자. 비정상의 정상화를 이제라도

시작해야 한다. 2014-02-15 26 면

[기고] 금융정보 보안 세계 꼴찌인 이유

최종수정 2014-02-13 17:16:33

온 나라가 금융 보안 문제로 뒤숭숭하다. IT 선진국이라는

자부심은 이미 접었다. 인터넷 보안의 후진국이라는 사실이

부각되고 있다. 관련 기관들은 대책 마련에 부산하다. 이러한

과정은 현대캐피탈 등 4 개의 거대 금융 사고가 터진 2011 년

이후 매번 반복되어 왔으나, 문제는 개선되지 않고 오히려

악화되고 있다.

주목할 현상은 전 세계 해커들이 한국을 주요 경유지로

활용하고 있다는 것이다. 한국인터넷진흥원(KISA)에 의하면 전 세계 악성코드의

70%가 한국을 경유하고 있다. 한국은 왜 악성코드 국가라는 불명예를 얻게 되었는가

진지하게 반문해야 한다. 한국의 인터넷 보급률이 높고 전자금융 이용률이 높은 것이

이유가 아니라, 한국의 인터넷 보안 불감증이 높다는 것과 보안 레벨이 낮은 OS 와

브라우저의 사용이 높다는 것이 문제의 본질이다.

그런데 이 두 가지 문제는 한 가지 원인에서 비롯된다. 바로 보안에 너무나 취약한

플러그인(Plug-in) 방식의 한국의 공인인증제도 때문이다. 공인인증서에 기반한

한국의 전자금융제도는 `묻지 마 플러그인`을 국민에게 인지시켰다.

`설치하시겠습니까?`라는 질문이 나오면 우리는 무조건 `yes` 하도록 길들여졌다. 각종

보안 모듈들을 심기 위하여 다른 나라에서는 상상하기 어려운 전 직원 관리자 모드

사용이 일반화되었다. 보안 레벨이 높아진 상위 OS 나 브라우저에서 제한된 액티브 X

사용을 풀기 위하여 일부러 보안 레벨을 낮추고 브라우저도 다운그레이드해야 한다.

결과적으로 한국의 인터넷 환경은 악성 코드를 심는 데 최적의 조건을 제공하게 된

것이다. 당연히 전 세계 해커들은 악성코드를 심어야 가능한 각종 피싱과 파밍의

시험무대로 한국을 활용하게 된 것이다. 작년에만도 인터넷 사기는 재작년의 두 배

가까운 8 만 5000 건을 넘어서고 있다. 이제는 분명히 인정해야 한다. 한국이 전

세계에서 가장 악성코드 설치가 쉬운 나라가 되었고 그 이유는 너무나 광범위한

액티브 X 와 같은 플러그인 방식의 설치에 있고 한국의 공인인증서가 그 바이러스의

숙주라는 것을.

스티브 잡스가 애플의 차기 제품에서 자바 애플릿을 포함한 모든 플러그인 설치를

없애려 한 이유와 마이크로소프트가 액티브 X 를 보안 목적에 쓰지 않도록 경고하고

윈도 8 에서는 원칙적으로 지원하지 않는 이유를 당국에서는 이해해야 할 것이다.

자바 애플릿 혹은 액티브 X 를 이용한 플러그인을 악용한 악성코드 유입이 문제의

근원인 것이다.

다음은 서버 인증을 제대로 하지 않는 전자금융제도에 있다. 가짜 사이트로 유도하는

피싱과 파밍은 서버 인증을 하지 않는 제도의 허점을 해커들이 악용하기에

가능해진다. SSL 이라는 통신 암호화가 일반화되지 않은 공인인증 기반의

전자금융제도가 피싱과 파밍 피해를 초래한 것이다.

통신과 저장 단계에서 암호화는 너무 상식적인 보안의 기본이다. 그런데 우리는 통신

암호화는 물론 저장 단계에서도 암호화하지 않아 작금의 개인정보 유출 사고가 터진

것이다.

문제의 본질이 파악되면 임시방편적 대안이 아니라 근원적인 처방이 가능해진다.

단계적으로 공인인증서를 포함한 플러그인 방식의 보안 규제를 개혁해야 한다. 이미

2010 년 호민관실과 합의하여 설립된 인증방법평가위원회가 4 년간 실질적으로

개점휴업한 것은 분명히 심각한 문제다.

전자금융에 대한 국제협약인 바젤협약은 분명한 원칙을 제시한다. `기술의 진보에

대응하기 위하여 당국이 하나의 제도를 강요해서는 안 되고, 생체인증, OTP(일회성

비밀번호), 보안토큰 등 각종 기술을 반드시(must) 금융사들이 결정하도록 해야

한다`는 것이다.

다양한 보안기술들이 금융사 책임하에 활용돼야 한다. 금융사들도 징벌적 배상을

포함해 책임을 분명히 지게 해야 한다.

[이민화 창조경제연구회 이사장·KAIST 교수]

[이민화 칼럼] 해커와 금융보안

이민화 한국벤처협회 명예회장 최종수정 2014-02-10 10:57

해커와 금융보안의 관계는 창과 방패의 관계다.

자연 생태계와 같이 끝없는 생존경쟁의 진화가

치열하게 일어나고 있는 분야다. 해커들의

해킹기술은 날이 다르게 진화하고 있다. 이에

대응하는 금융기관의 방패 역시 진화적 경쟁에

적합한 구조가 되어야 한다. 특정한 기술과 특정한

제도를 감지하는 획일적인 규제가 해커와 금융기관의

싸움을 해커들에게 유리하게 만들게 된다. 이미

공인인증서들은 유출되고 전 세계의 최대 규모의

악성코드가 뿌려져 있는데, 보안 모듈 하나

추가한다고 대세는 바뀌지 않는다. 정부가 하나의 규제를 강제하면 공격자인

해커들은 전략이 단순해진다. 그것만 뚫으면 되기 때문이다. 사후약방문 식의 기술적

규제는 더욱 문제를 악화시켜갈 뿐이다.

2011 년 현대캐피탈 등의 금융대란으로 소위 557 규정을 만들어졌다. 금융당국은

5%의 기술료, 5%의 예산 7% 인력 등의 세부규정을 가뜩이나 복잡했던 규정에

추가하였다. 결과적으로 금융 사태는 줄어들었는가? 그 반대로 빠른 속도로 늘어나고

있다. 획일적 규제는 마치 포커에서 상대방에게 패를 다 보여주고 게임하는 것과

비슷하다. 여기서 전자금융에 관한 국제협약인 바젤협약을 들여다보자. 기술의 진보에

대응하기 위해서는 위원회는 정부가 특정기술을 획일적으로(one fit) 강요하지 않아야

된다고 본다. 비밀번호, 일회성 비밀번호, 생체신호, 보안토큰 등 다양한

보안기술들을 금융기관들이 자율적으로 반드시 결정해야(must determine) 한다.

BIS 로 유명해진 국제금융협약인 바젤협약에서 이와 같이 너무나도 강력한 어조로

반드시 하나의 등의 최상급 용어를 쓰는 이유는 무엇인가? 바로 수많은 정부기관들,

이와 같은 유혹에 획일적 규제의 유혹에 빠져들 것을 걱정했기 때문이다. 다행히도

모든 국가들이 이와 같은 획일적 규제를 실시하지 않았다. 단 하나의 국가를

제외하고는... 그것이 바로 한국이다.

이제 한국에 금융보안의 문제는 2010 년 한국을 방문했던 브루셔 슈나이어 박사의

충고를 들어야 한다. 보안은 특정기술이 아니다. 국가와 조직의 제도와 문화다.

기술은 날로 발전한다. 이제 해킹기술은 전통적인 피싱, 파밍을 넘어 정밀 타격을

하는 스피어 타겟팅(Spear Targeting)으로 발전했다. 통신선로에서 정보를 낚아채던

MIB 단계에서 PC 안에 들어가는 MIPC 단계를 거쳐, 이제는 브라우져 안으로

파고드는 MITB 단계로 진화하고 있다. 우리가 ACTIVE X 라는 보안에 취약한

플러그인 기술을 이용하면서 수없이 내려 받았던 보안모듈들이 유효하지 않게 된다는

것이다. 이에 대비해서 보안기술은 새롭게 발전하고 있다. 가장 주목되는 분야는

사용자의 사용행태에 따른 분석이다. 흔히 FDS 라고 얘기하는 이 프로파일

분석기술은 기술적 보안단계에서 인간 행태적 보안단계로 넘어서고 있다. 이

단계에서는 특정기술의 강요는 있을 수 없고 있어서도 안 된다. 더구나 가장 중요한

것은 전체 보안사고의 압도적 다수가 기술적인 문제가 아니라, 사람에 의한 보안

정보유출이라는 것이다. 이번 카드대란 사태와 같다. 바로 제도와 문화적인 문제로

귀결되어 가는 것이다. 카드 대란은 서버 보안의 대표적인 문제다. 특정인이 전체

정보를 파악하지 못하게 하는 제도가 필요한 것이다.

이제라도 늦지 않았다. 금융거래 형태에 맞추어 다양한 금융인증방법을 금융기관에

넘겨주면, 그리고 그 책임은 징벌적 배상제를 포함하여 금융기관에 부담하게 하라.

징벌적 과징금이 아니라 징벌적 배상제가 되어야 한다. 자율을 주고 결과에 대해서

엄격한 책임을 묻게 되면 선진금융과 같이 쉽고도 보안이 유지되는 구조로 발전하게

될 것이다.

<저작권자 © 이투데이(www.etoday.co.kr), 무단전재 및 재배포를 금지합니다.>

[이민화 칼럼] 공인인증서 문제해결 어렵지 않다

이민화 한국벤처협회 명예회장 최종수정 2014-01-27 11:13

기업호민관실이 2010 년 1 월 시작한 ‘1 차

공인인증서 규제 해소 운동’은 엄청난 격론 끝에 같은

해 5 월 31 일 행안부, 금융위, 금감원, 방통위와 중기청

공동의 ‘금융기관에 인증방법 선택권 부여’라는 희망찬

보도자료를 총리실 명의로 발표하며 마무리됐다.

공인인증서 외에도 다른 거래 방법을 다양하게

허용하겠다는 발표에 대해 수많은 네티즌들이 환영의

글을 올리고 기대에 부풀었다. 그리고 4 년이 지났다.

그런데 막상 바뀐 것은 없다. 국민들의 공인인증서

규제에 대한 불만은 폭발 직전이다. 어찌된 일일까?

당시 호민관실이 도출한 가이드라인은 이용자 인증, 서버 인증, 암호화, 무결정,

부인방지 등 5 가지 요건을 충족하면, 인증방법평가위원회의 평가를 받아 금융거래를

할 수 있게 했다. 문제는 평가위원회를 금융감독규정시행세칙에 규정하고 공인인증서

금융 규제의 주무기관인 금감원에 설치한 것에서 시작된다. 호민관실의 우려에도

총리실에서 공정한 운영을 보장하겠다는 약속을 믿은 것이 불씨가 된 것이다.

평가위원회는 2 년간 개점휴업을 하다가, 30 만원 이하의 거래에 한해 두 개의

공인인증서 비사용 거래방법을 인증했다. 그런데 30 만원 이하는 원래 공인인증서

예외 대상이었다는 점에서 규제는 줄어든 것이 아니라 늘어난 셈이 됐다. 더 이상한

문제는 평가위원회가 인증하고 국제 기준에 부합하는 두 개의 대안도 지금까지

금융기관들이 보안 규정을 이유로 사용을 거부하고 있다는 점이다. 더욱 이상한 점은

애플스토어(한국), 구글플레이(한국)와 어도비(한국)는 공인인증서를 사용하지 않고도

100 만원 넘는 결제를 간편하게 하고 있다는 것. 또 영어 페이지로 된 대한항공,

아시아나도 공인인증서 없이 거래가 가능하다. 이들 거래 방법은 평가위에 신청한

적도 없다. 당시 격론을 이끈 전 기업호민관으로 무슨 기준일까 궁금하기 짝이 없다.

그렇다면 당시 문제 삼았던 한국 공인인증서의 약점들은 해소됐을까. 다시 확인해

봤다. 서버 인증이 없어 수많은 피싱 피해를 야기하는 문제는 여전했다. K 은행,

C 은행 등과 대다수의 보험사들은 여전히 보안이 안 되는 상태에서 인증작업을 하고

있다. 암호화만 제대로 됐어도 작금의 개인정보 유출의 문제는 극소화됐을 것이다.

한국의 공인인증 거래는 아직도 당시 제시된 기준에 미흡한 것이 사실이다.

문제는 ‘소나기가 오면 피하고 보자’는 식의 일부 국가기관의 편법 대응이다.

공인인증서 강제 규제는 없앤다고 보도자료를 낸 후, 문제 제기자가 물러나기를

기다린 뒤 평가위원회를 방패로 실질적 규제 개선은 미뤄 버린다. 대표적 사례가

바로 현재 공인인증 기반의 금융거래 규제다.

‘글로벌 표준에 맞는 다양한 공인인증 서비스 허용’은 박근혜 대통령의 공약집에

엄연히 수록돼 있는 구절이다. 대선 당시 안철수 후보는 더 나아가 아예 공인인증서

기반인 ‘액티브 X’의 폐지를 공약한 바 있다. 다보스포럼에서 대통령이 천명한 규제

개선을 통한 창조경제 구현에 전자금융거래의 갈라파고스 규제 타파는 절대적이다.

그런데 다양한 서비스를 막는 근거는 법률도 아니고 시행령도 아니고 시행세칙도

아니다. 금감원 내부의 금융감독규정 하부의 금융감독규정시행세칙에 근거한 전

세계에 유례없는 혹독한 실질적 규제다. 한국을 뒤덮는 공인인증서 대란의 해법은

의외로 간단하다. 국회의 법률 개정도 국무회의 시행령 개정도 필요없다. 금감원 내부

규정의 하부 세칙만 손보면 된다.

지난 4 년간의 경험에서 규제 해소는 규제 기관에 맡기면 안 된다는 것이 확인됐다.

현 정부가 공약한 다양한 인증방법의 평가위원회는 금감원의 관리를 벗어나야 한다.

분명 2010 년 당시 민간 평가기관의 의견을 수용하겠다는 약속을 하고 이행하지 않는

규제 기관에 계속 관리를 맡길 수는 없지 않겠는가.

전자금융에 대한 국제기준인 ‘바젤 협약’은 ‘국가는 특정 기술을 강요하지 않아야

하고 금융기관이 반드시 선택해야 한다’는 선언을 담고 있다. 그 이유가 무엇인지

규제 당국은 곰곰이 생각해 봐야 할 것이다.

<저작권자 © 이투데이(www.etoday.co.kr), 무단전재 및 재배포를 금지합니다.>

[이민화 칼럼] 공인인증서를 다시 생각한다

이민화 벤처기업협회 명예회장 최종수정 2014-01-20 11:19

2010 년 2 월 기업 호민관으로서 다가오는 인터넷

시대 한국의 최대 위협인 ‘공인인증서 강제’로 인한

‘인터넷 갈라파고스 현상’ 타파를 위한 긴박한 투쟁을

전개한 바 있다. 당시 한국은 ‘액티브 X’를 공인인증서

설치를 포함한 모든 보안 프로그램의 다운로드에

필수적으로 사용토록 하는 등 전 세계가 경악할 제도를

시행하고 있었다(개발사인 마이크로소프트조차도 보안

목적으로는 사용 금지를 권고하고 있었다). 이러한

한국만의 ‘갈라파고스적 규제’를 휴대폰까지 확산하려는

정부 당국의 정책 발표는 모든 네티즌의 분노를 폭발시켰다. 국가의 불조리한 규제

해소를 목적으로 한 호민관실이 이 문제 해결에 앞장서게 된 이유다. 금융위원회,

행정안전부 등 정부 부처와 두 달여간에 걸친 치열한 공방전의 결과 휴대폰에서는

공인인증서를 강제하지 않는다는 것으로 결론짓고, 공인인증서 외에 추가적 인증을

위한 위원회를 구성토록 한 것이다. 이후 필자가 호민관에서 물러난 후 위원회의

추가적 인증이 없었다는 것이 다시금 불거지는 공인인증서 문제의 핵심이다. 그리고

이제는 휴대폰이 아니라 인터넷 전반의 개방으로 재확산돼야 할 때다.

문제의 시작은 벤처 붐으로 인한 한국의 앞선 인터넷 기술이었다. 벤처 혁명으로

인해 1997 년부터 폭발적으로 증가한 한국의 인터넷 기술과 보급률은 2000 년 세계

최고 수준으로 올라서면서 보안의 필요성이 급증, 세계 최초로 128 비트 보안 모듈을

개발한 것은 세계적 성과였다. 당시로서는 웹 브라우저에서 제공하지 못하는 보안

기능 구축을 위해 편법인 액티브 X 를 동원, 앞선 대한민국의 인터넷 보안 체계를

구축한 것까지는 앞서가는 성공담이었다.

이후 웹 브라우저들은 128 비트 보안체계를 액티브 X 없이 활용 가능한 동시에

안전한 인증서 보관은 물론, 서버까지 인증하는 새로운 인증체계를 선보였으나,

한국은 이를 무시하고 있다. 액티브 X 는 사용자의 인터넷 보안을 일시적으로 활짝

열어주는 편법이므로 그 사용은 당연히 매우 제한적으로 이뤄져야 한다. 그러나

한국의 ‘공인인증서 제도’는 한국 국민들에게 액티브 X 를 너무나도 친숙하게 만들어

줘 한국민들의 인터넷 보안 의식을 떨어뜨리고 말았던 것이다. 결과적으로 한국은

액티브 X 사용의 압도적 세계 1 위로서 웹 표준 비준수 1 위 국가인 동시에 온라인

거래가 가장 어려운 국가가 됐다. 제도 경쟁력의 한계가 노출된 것이다.

서버 검증이 없는 한국의 공인인증제도는 ‘국민은행’과 ‘국만은행’을 구분하지

못한다. 당연히 사기 서버들의 피싱 천국이 됐다. 영국 케임브리지대 앤더슨 교수팀의

논문에서 한국 공인인증서 문제를 명확히 지적하고 있다. 편법 기능인 액티브 X 의

개발사로서 한국 제도의 최대 수혜자인 마이크로소프트조차 더 이상 이를 반기지

않는다(한국의 윈도와 익스플로어 점유율이 세계 최고다). 새로운 운영체계인

윈도우 8 은 액티브 X 를 원칙적으로 지원하지 않는다. 한국은 국가 주도로 이를

편법으로 사용하는 유일한 국가로 남을 것인가?

그렇다면 한국의 온라인 거래는 편리하기라도 한 것일까? 아마존의 ‘원

클릭’구매의 편리성을 경험해 본 해외 직접 구매 이용자들은 ‘도대체 한국의 극도로

불편한 거래에도 사기 피해를 막지 못하는 이유는 무엇인가’라는 본질적 질문을

던지고 있다. 연말정산 한 번 하고 나면 한국인들의 PC 는 무수한 금융 모듈을

다운받느라 소위 ‘걸레’가 된다. 한국은 가장 불편하고도 가장 안전하지 못하고 비싼

인터넷 보안 체계를 고집하고 있는 ‘온라인 갈라파고스’인 것이다.

창조경제에서 온라인 거래는 대세다. 수출과 IT 강국이라는 한국의 온라인 무역은

적자일 수밖에 없다. 외국에서 한국 사이트 접속과 거래는 너무도 어렵다. 공인인증서,

인터넷 실명제 등 글로벌 스탠더드와 분리된 쇄국 IT 정책의 당연한 결과다. 인터넷

개방성은 국민적 인내의 한계를 넘어섰다. 전 세계가 사용하는 ‘SSL+OTP’

인증방식과 페이팔, 알리페이 등으로 입증된 페이게이트의 구축이 대안이다. 초연결된

세계 경제에서 갈라파고스적 진화 함정으로부터 벗어날 때다.

<저작권자 © 이투데이(www.etoday.co.kr), 무단전재 및 재배포를 금지합니다.>

[여의도칼럼] 공인인증서를 폐기하라

최종수정 2013-03-04 08:10

[이민화 벤처기업협회 명예회장] 인터넷 금융사기인

피싱 기법이 날로 발달하고 있다. 이제는 스마트폰을

바탕으로 한 휴대전화 소액결제 사기인 스미싱까지로

진화하고 있다.

한국이 피싱의 천국이 된 것은 무엇보다 우리

공인인증서 자체의 문제다. 한마디로 시대에 뒤처진

공인인증서는 이제 폐기되고 글로벌 스탠다드에 맞춰

보안체계는 재설계 돼야 한다. 그 문제를 짚어보기로 하자.

현재 공인인증서 문제는 너무나 많다. 다음과 같은 세

가지가 가장 큰 문제다. 1)보안에 극도로 취약한 액티브-X 기반이다. 2)

공인인증서가 특정 폴더에 저장돼 유출이 쉽다. 3) 서버 인증을 하지 않고 있어

피싱에 무방비다.

앞의 두가지 문제는 오랫동안 지적된 문제이며, 최근 급증하는 피싱 문제는 피싱을

시도하는 가짜 홈페이지를 소비자가 인식하지 못하는데 그 원인이 있다.

전세계에서 활용되는 인터넷 브라우저는 보안 연결시 홈페이지를 인증하는 기능을

제공하고 있다. 그런데 우리 공인인증은 이를 무시하고 우리 것만을 고집해

서버인증을 제공하지 않고 있다. 접속한 사이트가 ‘국민은행’인지 ‘국만은행’인지

사용자 스스로 판단해야 한다는 의미다. 일반인에게 이는 무리다.

우리의 공인인증 제도는 역사적 진화의 산물이다. 우리나라가 1997 년부터 시작된

질풍노도와 같은 벤처붐의 결과 2000 년 전세계에서 가장 앞선 인터넷 기술 강국이

되면서 문제는 시작된 것이었다.

당시 인터넷 보안체계는 불완전해서 우리의 기술자들은 전세계에서 가장 앞선

128 비트 보안체계를 개발했고 이를 금융거래를 비롯한 인터넷 거래에 활용하고자

했다. 이 기능이 당시 인터넷 브라우저에 내장 되어 있지 않기 때문에 액티브-X 라는

보안에 취약한 마이크로소프트(MS)만의 기능을 활용했다.

액티브-X 는 사용자의 컴퓨터에 특정기능을 심기 위해서 컴퓨터의 보안을

일시적으로 해제하는 기능이다. 당연히 액티브-X 는 보안에 취약성이 있다. 그 결과

우리는 금융거래를 하면서 수많은 프로그램을, 보안목적이란 이유로, 보안에 취약한

액티브-X 를 통해서, PC 에 무조건 설치하는데 길들여 졌다.

월급쟁이들은 연말정산 한번 하고 나면 컴퓨터가 걸레가 된다고 한탄하고 있지

않은가. 필자는 기업호민관 재직시절 공인인증서 때문에 한국이 인터넷 후진국이

됐다는 기고와 더불어 공인인증서 개선 활동을 한 바 있다.

지난 2010 년 대체인증수단 도입을 위해 금감원 산하에 인증방법평가위원회가

마련됐지만 사실상 개점휴업상태다. 기껏 한 개 회사 30 만원 이상으로 국한하여

인증하고 실질적인 개선은 없다.

MS 마저 액티브-X 를 사용하지 말라고 한다. MS 는 윈도우 8 부터는 이를

지원하지도 않는다. 경쟁력이 취약해진 익스플로러가 한국에서만 기승을 부리는

이유가 바로 액티브-X 를 기반으로 하는 우리의 독특한 공인인증제도 때문이고,

스마트 디바이스에서 많은 한국 홈페이지가 먹통이 된 이유이기도 하다.

이제는 시대착오적인 공인인증서를 퇴출시켜야 한다. 어려운 기술문제라는

방어막으로 정책의 투명성이 상실되는 손톱 밑 가시 사례가 바로 공인인증서다.

전세계를 보라. 관련된 수많은 이해관계 업체들이 국민들보다 소중하지는 않다.

수많은 보안 프로그램으로 걸레가 된 한국의 네티즌들이 세계적으로 가장 보안에

취약해 진 이유를 공인인증서 제도 이외에 무엇으로 더 설명하겠는가. 공인인증서

제도는 폐기하고 글로벌 스탠다드로 가야 한다.

[경제 view &] 벤처 발목 잡는 또 다른 '대못' 공인인증서

[중앙일보] 입력 2014.02.21 00:10 / 수정 2014.02.21 00:10

창조경제를 위한 벤처 활성화 대책이 속도를 내고 있다. 지난달 24 일

열린 ‘벤처·창업 활성화를 위한 민관 연석회의’에서 추경호 기획재정부

제 1 차관은 경제혁신 3 개년 계획의 주요 과제로 벤처·창업 대책을

포함할 것이라고 밝혔다. 이러한 정부의 노력 속에 창업과 벤처

활성화의 발목을 잡고 있었던 대못인 창업자 연대보증과 스톡옵션

문제에서 큰 진전이 기대되고 있다.

먼저 창업자 연대보증 문제와 관련해 금융위원회는 지난달 8 일

우수한 기술력과 사회적 신용도를 갖춘 창업자에 대해 국책 보증기관의

연대보증 부담을 5 년간 면제해주는 내용이 담긴 ‘중소기업

신용보증제도 개선 방안’을 발표했다. 처음으로 창업자 본인의 보증을

면제해주는 큰 진전이다. 아직 국책 금융기관에만 해당되는 내용이지만,

향후 민간 금융업체에까지 이 제도가 확대되고 에인절 투자가 활성화된다면 우수한

아이디어와 기술력을 갖춘 젊은이들이 두려움 없이 창업에 나설 수 있을 것으로 기대한다.

이와 함께 스톡옵션 문제 역시 진전이 있었다. 그간에는 이익이 실현되지도 않은 스톡옵션

행사 시 최고 38%에 달하는 높은 세율의 근로소득세를 납부해야 하는 문제가 지적돼왔다.

이에 기재부는 5 일 경제관계장관회의에서 ‘벤처기업 스톡옵션 과세제도 개선안’을 발표하고

비상장 벤처기업 직원은 현행 과세방식 이외에도 옵션을 행사해 주식을 살 때 세금을 내지

않고, 추후 주식 처분 시 양도소득세를 납부하는 방식도 허용하겠다고 발표했다. 이달 중

국회에 제출하는 개정안이 통과되면 이르면 하반기부터 시행할 계획이다. 벤처기업의

우수인재 영입에 큰 도움이 되기를 기대한다.

벤처·창업 활성화 정책은 앞서 말한 두 개의 대못을 뽑으며 이제 실질적인 의미의 첫걸음을

뗐다. 창업의 리스크와 실패에 대한 페널티를 최소화하고, 벤처인력의 보상시스템을

강화함으로써 더 많은 우수인재를 창업과 벤처 업계로 유도할 수 있는 실로 중요한

제도들이다.

하지만 가야 할 길은 아직도 멀다. 연대보증 부담을 덜어주는 것에 그칠 것이 아니라

궁극적으로는 창업 자금을 융자가 아닌 투자 중심으로 바꿔야 한다. 그러기 위해서는 중간

회수시장인 인수합병(M&A) 시장과 최종 회수시장인 코스닥 시장을 활성화함으로써 에인절

투자자를 육성하고 자금의 선순환을 도모해야 한다. 또 벤처기업의 성장을 가로막는 다양한

규제를 풀어주고, 창조의 가치가 제대로 평가받는 공정한 시장 환경을 조성함으로써 기업가

정신을 고양해야 한다.

낡은 규제가 벤처기업의 성장을 가로막는 대표적인 사례가 바로 공인인증서 제도다.

인터넷을 통한 국내 소비자들의 해외 직접구매가 날로 증가하는 시기에, 정작 해외

구매자들은 공인인증서 때문에 국내 쇼핑몰에서 자유롭게 구매하지 못한다는 기현상에 대해

누가 책임을 져야 하는가?

현재 국내에서 사용하는 공인인증서 기술은 특정 외국회사에 종속된 액티브 X 기반이다.

이의 사용을 정부에서 의무화해 관련 산업의 성장과 보안에 큰 제약이 되고 있다. 인터넷

기업의 관리비용 경감, 이용자 편익증진, 전자상거래 활성화, 금융거래 보안 강화, 악성코드

감염 방지 등을 저해하고 있는 관련 규정을 시급히 개정해 글로벌 표준에 맞는 다양한 온라인

결제 인증 서비스를 허용해야 한다.

필자는 동남아시아 지역을 방문할 때마다 대한민국 공무원들에게 무한한 감사의 마음을

갖게 된다. 시장 참여자의 입장에서 바라보는 공직자들의 행동이 지극히 답답해 보일 때도

있지만, 국가 경제 경영의 중심에서 사심 없이 열심히 일하는 그들의 노력이 그래도 대한민국

경제를 여기까지 끌어올린 것이 아닌가 하는 생각을 하게 된다. 그러나 현시점에서는 뭔가

근본적이고 전향적인 자세의 변화가 있어야 하지 않나 하는 생각도 든다.

현재 정부에서 준비 중인 경제혁신 3개년 계획에는 이런 시장의 바람이 전향적이고 혁신적

으로 반영된 내용이 나올 것을 기대해 본다.

[전자신문 특집기사] 2014.02.18

지난 2월 초 도곡동 KAIST 회의실에서 열린 청년창업포럼. 참석자 대부분은 IT업계에 내로라하는 주

요 인사들이었다. 이들은 최근 카드사 개인정보유출로 불거진 금융 보안 문제에 대해 한 목소리를 냈다.

한국의 ‘사후약방문’ 식의 기술적 규제에 대해 일갈한 것이다. 고영하 한국엔젤투자협회장은 “우리나라

는 금융기관이 모든 것을 규제하다보니 혁신이 일어나기 어렵다”며 “창조경제를 가로막는 큰 걸림돌”이

라고 지적했다. 임정욱 스타트업얼라이언스 대표는 “미국에서는 노년층도 온라인 쇼핑을 하는데 전혀

어려움이 없다”며 “한국에서는 온라인 결제를 할 때 액티브X 등 복잡한 방식 때문에 번거롭다”고 규제

를 통한 온라인 무역역조에 대해 꼬집었다. 이민화 KAIST 교수는 “정부에서 한 가지 제도를 지정하지

말고 다양한 보안기술을 인정한 뒤 금융기관이 선택하고 책임을 지도록 해야 한다”며 “임시방편적 대안

말고 근원적인 처방이 필요한 시기”라고 말했다.

대한민국 금융정책이 역행하고 있다. 사상 초유의 카드사 개인정보 유출로 야기된 금융 보안 정

책이 도마 위에 올랐지만 금융위원회·금융감독원·금융결제원 등 금융당국은 이렇다 할 근본 대책

없이 징벌 배상과 같은 근시안적 정책에 몰두하고 있다. 한치 앞을 내다보지 못하는 ‘언 발에 오줌

누기’ 식 금융정책으로 산업과 시장은 갈팡질팡 중심을 잡지 못하고 있다. 무엇보다 최대 소비자인

국민은 확실한 금융정책이라는 공언에도 여전히 불안해 하고 있다.

◇2011년부터 반복된 ‘악몽’

지난 1월 8일 롯데카드, KB국민카드, NH농협카드 3사에서 약 1억580만명의 개인정보가 유출됐

다. 주민등록번호, 전화번호, 주소 등 개인 식별번호와 결제계좌까지 노출되면서 피해는 엄청난 상

황이다. 문제는 처음 있는 일이 아니라는 점이다. 지난 2011년 현대캐피탈에서 175만건의 개인정

보가 유출되면서 큰 파문이 일었던 사건을 비롯해 4개월 뒤 하나SK카드에서 약 5만건, 이어 삼성

카드에서 47만건 등 주요 금융사에서 끊임없이 개인정보가 유출되고 있다. 지난해 역시 한화손해

보험과 메리츠화재에서 16만건이 해킹으로 인해 유출됐다. 내부 직원의 소행이든 해커의 짓이든

피해가 막심한 것은 동일하다.

이렇듯 매번 반복되고 있지만 문제가 개선되지 않는 이유는 무엇일까. 금융 기관이 IT 조직에 예

산을 더 할당해야 한다거나 백업전용센터를 구축해야 한다는 것은 근본적인 해결 방안이 아니다.

본질적인 개선이 이뤄지려면 한국의 인터넷 환경을 바꿔야 한다. 전자금융이 일어나는 ‘토양’을 바

꿔야 뿌리가 튼튼한 나무가 자랄 수 있다. 아무리 질 높은 영양제를 맞아도 근본적인 개선이 이뤄

지지 않으면 금방 죽고 만다.

[전자신문 특집기사] 2014.02.18

[전자신문 특집기사] 2014.02.18

◇악성코드 최적의 숙주, 한국 인터넷 환경

한국 인터넷 환경의 치명적인 문제는 액티브X 같은 플러그인(Plug-in) 방식의 공인인증제도다.

보안레벨이 높은 운용체계(OS)를 사용해도 공인인증서를 사용하려면 보안 레벨을 낮추고 브라우저

도 다운그레이드 해야 한다. 결과적으로 악성코드가 침투하기 쉬운 환경이 된 것이다. 애플이 자사

제품에 플러그인 설치를 없애려는 논의를 시작하고 마이크로소프트가 윈도8에서 액티브X를 지원

하지 않고 있는 것과 대조적인 상황이다.

뿐만 아니라 서버 인증을 제대로 하지 않는 제도도 문제다. 가짜 사이트로 유도하는 피싱, 파밍

등은 서버 인증을 하지 않는 한국 제도 허점을 해커들이 악용한 것이다. 공인인증서 때문에 세계

표준인 SSL이라는 통신 암호화를 하지 않는 한국 인터넷 환경이 개인정보를 쉽게 빼낼 수 있게 만

들었다.

◇알면서도 외면하는 금융감독원

지난 2010년 기업호민관실은 ‘공인인증서 해소 운동’을 통해 금융기관에 인증방법 선택권을 부여

하겠다고 발표했다. 당시 가이드라인은 이용자 인증, 서버 인증, 암호화 등 5가지 요건을 충족하면

인증방법평가위원회의 평가를 받아 금융거래를 할 수 있도록 한다는 것이 골자였다.

근본적인 문제는 당시 금융감독원 산하에 설치된 인증방법평가위원회가 지난 4년간 유명무실했다

는 점이다. 30만원 이하 거래에 한해 2개 공인인증서 비사용 거래 방법 인증 외에는 이렇다 할 정

책을 내놓지 못했다. 규제 기관인 금감원 산하에 진흥 조직이 생긴다는 것 자체가 어불성설이라는

지적이다. 실제로 개인정보유출 사건이 터질 때마다 평가위원회에서 다양한 인증방법을 검토하고

있다고 밝혔지만 이렇다 할 변화는 없다.

당시 기업호민관이었던 이민화 교수는 “애플스토어같은 외국기업 뿐 아니라 영문으로 된 대한항

공 홈페이지도 공인인증서 없이 100만원 이상 거래가 가능하다”며 “명확한 기준도 규제도 없는 대

응이 무슨 의미가 있는지 궁금하다”고 토로했다. 그러면서 “소나기가 오면 피하고 보자는 식의 행

태 때문에 실질적인 규제 개선이 미뤄지고 있다”며 “평가위원회를 독립적인 기구로 분리해야 한다”

고 주장했다.

박근혜 대통령 공약집에는 ‘글로벌 표준에 맞는 다양한 공인인증서비스 허용’이 명시되어 있다. 전

자 금융에 대한 국제 기준인 ‘바젤 협약’에 따르면 ‘국가는 특정 기술을 강요하지 않고 금융 기관에

반드시 선택권을 주어야 한다’고 되어 있다. 금융감독원이 공인인증서 방식 하나만을 강요하는 우

리나라와 대조적인 셈이다. 한국의 금융보안 정책은 아직도 역행하고 있다.

[전자신문 특집기사] 2014.02.18

[표] 지난해 발표된 금융전산 보안 강화 종합대책 개요

※ 금융 당국과 업체의 노력을 요구하는 지엽적인 정책일 뿐 한국 온라인 환경에 대한 근본적인 해결 방안은 없음.

개인정보 유출로 심각성을 일깨워준 공인인증서가 ‘온라인 무역 역조’를 야기할 가능성이 커졌다. 지

난해 한국 인터넷 이용자의 해외 직접 구매 규모는 1조원을 넘어섰다. 이 속도라면 5년 후 8조원을 뛰

어넘을 전망이다. 문제는 한국 이용자가 많아질 뿐 외국인이 한국 사이트에서 직구를 하는 행태는 거의

없다는 점이다. 이유는 30만원 이상 금융거래를 하려면 액티브X를 설치하고 추가로 관련 보안 프로그

램을 설치해야 하기 때문이다. 심지어 시스템을 재부팅해야하는 경우도 비일비재하다. 물건 하나 구매

를 위해 몇 시간이 걸리는 우리나라 인터넷 환경을 이해할 해외 이용자들은 몇이나 될까.

상황이 이렇다보니 한국 전자상거래 글로벌화도 꽉 막혔다. 전자상거래 국제 경쟁력을 잃어버릴 가능

성이 커지는 셈이다. 더욱이 한류 붐을 타고 외국인의 한국 사이트 접속 비율도 높아지는 상황에서 정

부의 기술적인 규제 때문에 매출이 일어나지 못하는 상황이 커졌다. 해외 교포가 한국 사이트에 접속해

두 시간 동안 각종 인증서와 보안모듈을 다운받고 다시 컴퓨터 운용체계(OS)를 다운그레이드하고 브라

우저 레벨을 낮추고 심지어 64비트에서 32비트로 체계 변경한 다음에도 포기하는 사례가 숱하게 회자

된다. 복잡하기 짝이 없기 때문이다. 돈을 쓰고 싶어도 못 쓰게 만드는 관련 법규 정비가 속히 이뤄져

야 하는 이유다.

해외 온라인 쇼핑 업체는 액티브X 주도의 한국과 대조적인 행보를 보인다. ‘직구족’이라면 누구나 알

법안 아마존 원클릭과 페이팔은 고객에게 돈을 쓰도록 편한 결제를 지원한다. 원클릭이나 페이팔은 익

[전자신문 특집기사] 2014.02.18

스플로러 뿐만 아니라 크롬, 파이어폭스, 사파리 등 다양한 OS를 지원한다. 그야말로 한 번 클릭으로

안방 쇼핑이 가능한 셈이다. 해외 인터넷 이용자 50%는 익스플로러 대신 다른 브라우저를 이용하고

윈도 OS를 쓰는 비율도 적다. 우리나라만이 일괄적인 ‘OS-브라우저’, 플러그인 방식 공인인증서에 갇혀

있는 셈이다.

이민화 KAIST 교수는 “수출과 IT 강국이라는 한국 온라인 무역은 적자일 수 밖에 없다”며 “글로벌 스

탠다드와 분리된 쇄국 IT정책의 결과”라고 지적했다. 그러면서 “초연결된 세계 경제에서 갈라파고스적

진화 함정에서 이제는 벗어날 때가 됐다”며 “한국이 공인인증서 방식을 고집하는 한 가장 불편하고 가

장 안전하지 못하고 비싼 인터넷 보안 체계를 고집하는 불통 국가가 될 것”이라고 덧붙였다.

세계 금융기관은 금융거래 측정에 맞춰 보안 레벨을 다르게 적용한다. 간단한 거래에는 심지어 카드

서명도 받지 않는다. 대부분 암호통신기술(SSL)+일회용비밀번호(OTP)로 이뤄진다. 보안 이론 측면에서

만 보면 공인인증서 방식보다 상대적으로 취약하다. 그렇다면 아마존 원클릭이나 23개 통화에 사용하

는 페이팔은 안전하지 않은 걸까.

전문가들은 금융거래 형태에 맞춰 다양한 금융인증방법을 선택할 수 있도록 권한을 넘겨야 한다고 말

한다. 대신에 책임은 징벌적 배상제를 포함해 금융기관이 부담하게 하자는 것이다. 과징금이 아니라 배

상제가 되어야 한다는 것이다. 자율을 주고 결과에 대해 엄격한 책임을 묻는 방식이다.

고영하 한국엔젤투자협회 회장은 “금융감독원 지휘 아래 일괄적으로 공인인증서, 보안모듈을 내려받

아 거래가 이뤄지는 것을 바꿔야 한다”고 말한다. 정부가 통제와 보호하는 한 책임도 고스란히 정부의

몫이다. 금융기관은 정보유출 등에 대한 고객 피해를 정부와 반으로 나누기 때문에 책임감도 줄 수 밖

에 없다. 계속 악몽이 반복된다.

시기도 적절하다. 다양한 금융 보안 기술이 지속적으로 개발되고 있기 때문이다. 전문가들은

SSL+OTP 방식으로 서버를 최저 수준으로 보안하고 부정거래탐지시스템(FDS) 등 지능형 기술로 보안

을 강화하자고 주장한다.

한국 공인인증제도는 서버 검증이 없어 국‘민’은행과 국‘만’은행을 구별하지 못한다. 당연히 사기 서버

의 피싱 천국이 된다. MS조차 액티브X 사용을 반기지 않는다. 세계가 SSL과 OTP 방식으로 서버인증을

하는 이유다. 여기에 FDS 같은 지능형 보안 기술을 덧입히면 보안 수준은 더 올라간다. FDS는 사고 발

생 개연성이 높은 거래에 대해 승인을 거절하거나 고객에게 부정사용을 알림으로써 카드 사고를 예방하

는 첨병 역할을 하기 때문이다.

카드 회원 가입정보, 소비습관 등 빅데이터를 활용해 카드 사용 흐름을 모니터링하는 기술이다. 이렇

듯 각 금융기관이 선택할 수 있는 지능형 보안 기술이 다양하게 개발되면서 선택의 가짓수도 많아지고

있다.

악성코드 주범 `액티브X` 왜 못버리나 2014-02-13 17:23:21

#직장인 김승주 씨(44)는 최근 카드사 홈페이지에 접속해 정보 유출 여부를 확인하는

과정에서 다시 한번 화가 치밀었다. 인터넷브라우저로 `크롬`을 쓰는데 정보유출 확인

서비스를 이용할 수 없었기 때문이다. 다시 `인터넷익스플로러`를 이용해 접속했더니

팝업이 뜨면서 3~4개의 보안프로그램을 내려받아야 했다.

#학생 전슬기 씨(23)는 인터넷사이트에서 영화를 내려받을 때 프로그램을 설치하라고

팝업창이 뜨면 무조건 `OK`를 클릭한다. 그러던 어느 날 보안 프로그램으로 PC 검사

를 해보니 10개가 넘는 악성코드가 나타났다.

액티브X가 이용자 불편을 가져오고 보안을 취약하게 하는 사례들이다. 액티브X는 마

이크로소프트(MS)의 인터넷브라우저(인터넷 사이트에 접속하는 데 쓰는 프로그램)인

인터넷익스플로러와 외부 소프트웨어를 연결하는 통로가 되는 프로그램이다. 특정 사

이트를 이용할 때 해당하는 액티브X형 프로그램을 내려받아야 정상적으로 서비스를

이용할 수 있다.

1990년대 초반 국내 전자상거래 시장이 태동하면서 인터넷보안 강화를 위해 등장한

액티브X가 이제는 애물단지가 됐다. 특히 이용자들이 습관처럼 프로그램을 내려받으

면서 그 사이에 악성코드가 섞여 PC에 설치되는 것이 큰 문제로 지적되고 있다.

악성코드 등은 PC에 잠복하고 있다가 저장된 내용이나 사용자가 입력하는 비밀번호

등을 빼간다. 내 PC가 좀비PC가 돼 디도스(분산 서비스 거부 공격)에 활용될 수도

있다.

또 액티브X가 적용된 웹사이트는 인터넷익스플로러에서만 정상적으로 동작하고 크롬,

파이어폭스 등 다른 인터넷브라우저에서는 제대로 쓸 수 없다. 여기에 액티브X를 통

해 여러 가지 프로그램이 깔리면서 PC 속도 저하 현상도 나타난다.

그럼에도 여전히 이용률 상위 100개 사이트 중 75개 사이트가 보안, 인증, 결제 등을

위해 액티브X를 활용하고 있다.

한 소프트웨어 업계 관계자는 "액티브X를 쓰지 않고 기능을 구현할 수 있는 방법이

있는데도 기업들이 홈페이지를 개편하지 않는 것은 보안에 대해 안일한 생각을 갖고

있기 때문"이라며 "당장 큰 문제가 발생하지 않기 때문에 추가 비용을 투입할 필요가

없다고 생각한다"고 분석했다.

국내에서는 인터넷 이용자의 70~80%가 인터넷익스플로러를 쓰기 때문에 굳이 다른

인터넷브라우저와의 호환성을 고려할 필요가 없다는 것도 영향을 미쳤다. 이 때문에

국제 웹 표준을 지키지 않는 관행도 자리 잡았다.

이와 함께 공인인증만을 강제로 쓰도록 한 금융정책도 문제로 지적된다.국내 사이트

에서 전자금융거래를 하기 위해선 반드시 공인인증 절차를 거쳐야 하는데, 다른 여러

인증 시스템을 도입할 필요가 있다는 것이다.

이민화 한국벤처협회 명예회장은 "공인인증을 하기 위해서는 액티브X, 자바 애플릿

등 인터넷브라우저와 연결해주는 프로그램을 무조건 사용해야 하는데 이 프로그램들

이 결국 보안의 구멍이 된다"며 "단순히 액티브X를 없애는 것이 중요한 게 아니라 공

인인증제도 자체를 바꿔야 이 문제가 해결될 수 있다"고 주장했다.

■ <용어 설명>

▷액티브X(Active X) : 마이크로소프트(MS)의 인터넷브라우저 인터넷익스플로러(IE)

와 외부 소프트웨어를 연결하는 통로가 되는 프로그램. IE를 통해 특정 사이트에 접

속할 때 해당 액티브X를 내려받아야 서비스를 제대로 이용할 수 있다. [황지혜 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]

- 1 -

1. 보도자료

보 도 자 료

’10.5.31(월)

작 성

국무총리실 규제총괄정책관실팀 장 권영상사무관 신재광(T. 2100-2283)

행정안전부 정보보호정책과과장 장영환

(T. 2100-3626)

금융위원회 은행과과장 김근익

(T. 2156-9810)금감원 IT서비스실 부국장 최재환(T. 3145-7182)

방송통신위원회 인터넷정책과과장 홍진배(T. 750-2730)

중소기업청사무관 윤세명

(T. 070-7706-1625)

’10.5.31(월) 14:00 이후 사용 바랍니다. 배 포공보지원비서관실과장 민용식

(Tel. 2100-2106)

총리실, ‘전자금융거래 인증방법의 안전성 가이드라인’ 확정

- 금융기관에게 인증방법 선택권 부여 -

□ 국무총리실은 5.31(월) 금융위원회, 방송통신위원회 등 관계부처와 공동으로 전자금

융거래시 공인인증서와 병행하여 사용할 수 있는 인증방법에 대한 안전성 가이드

라인을 확정, 발표했다.

ㅇ 이로 인해 지난 4월부터 공인인증서를 사용하지 않고도 스마트폰을 이용한 30

만원 미만의 소액결제가 가능하게 된 데 이어, 올 하반기부터는 e-뱅킹과 30만

원 이상의 전자결제에도 공인인증서 이외의 인증방법이 적용될 수 있게 되었다.

□ 이번 가이드라인은 전자금융거래시 적용될 인증방법이 갖추어야 할 기술적 안전

성 요건을 규정한 것으로서 △이용자 확인, △서버인증, △통신채널 암호화, △

- 2 -

거래내역의 위변조 방지, △거래 부인 방지 기능 등 5개 항목이 제시되었고,

ㅇ 금융기관 또는 전자금융업자가 각자의 거래유형이나 보안위험 등을 고려하여

안전한 인증서비스 제공을 위해 필요한 기술적 요건을 자율적으로 적용하도록 선

택권을 부여했다.

□ 앞으로, 금융기관 또는 전자금융업자는 공인인증서를 사용하지 않고도 이용자 인

증, 서버인증 및 통신채널 암호화 요건을 갖춘 경우에는 인증방법평가위원회의 안

전성 평가를 거쳐 다양한 전자금융 서비스를 제공할 수 있게 되었다.

ㅇ 인증방법평가위원회는 금융감독원에 설치하되, 민간 전문가가 참여하고 세부 평가기

준도 공개하는 등 객관적이고 투명하게 운영된다.

ㅇ 아울러, 금감원이 지정한 공인기관에서 기술검증을 받은 경우에는 인증방법평가

위원회의 평가를 생략할 수 있도록 하는 한편, 평가를 거친 인증방법에 대해서는

금감원의 보안성 심의를 간소화 하기로 하였다.

□ 금융위와 금감원은 6월중에「전자금융감독규정」및「전자금융 감독규정 시행규칙」개

정을 마무리하고, 7월부터 금융기관 등이 요청하는 인증방법을 구체적으로 평가할 수

있도록 위원회 구성 등 본격적인 준비작업에 나설 계획이다.

□ ‘안전성 가이드라인’은 현행 공인인증서가 스마트폰 등 새로운 인터넷 환경에 적

용되기 어렵고 사용절차도 복잡해, 다른 보안기술도 병행하여 사용할 수 있도록

지난 3.31 정부와 한나라당이 합의한 ‘전자금융거래시 공인인증서 의무사용 규제완

화 방안’의 후속조치로 이루어졌다.

ㅇ 총리실은 당정협의 이후 전자금융거래 안전성 기준제정을 위한 민관협의체*를

구성하여 전문가 및 이해관계자의 의견수렴을 하였으며, 관계부처협의를 거쳐

이날「전자금융거래 인증방법의 안전성 가이드라인」을 최종 확정하였다.

* 금융위․금감원․행안부․방통위․중기청, 학계․정보보호 전문가, 은행․전자결제업자

� ※�붙임� :� 전자금융거래시�인증방법에�대한�가이드라인

- 3 -

[붙임]

전자금융거래시 인증방법에 대한 가이드라인

1. 기본원칙

□ 동 가이드라인은 「전자금융거래시 공인인증서 사용의무 규제완화 방안」발표(3.31)에

따라, 금융기관과 전자금융업자가 자율적으로 인증방법을 선택할 수 있도록 공인

인증서와 동등한 수준의 안전성 기준을 제시함

o 금융감독기관은 금융기관과 전자금융업자가 전자금융거래에 적합한 인증방법을

인증방법에 관한 기술중립성의 원칙에 입각하여 자율적으로 선택할 수 있도

록 노력하여야 함

o 금융기관과 전자금융업자는 전자금융거래 이용자가 안전하고 편리하게 전자

금융 서비스에 접근할 수 있도록 전자금융거래별 보안위험(Risk) 요인에 대한

분석에 따라 다양한 인증방법을 제공할 수 있음

□ 금융기관 또는 전자금융업자는 공인인증서 외의 인증방법을 사용하고자 하는 경우,

거래의 유형 등을 고려한 적정한 인증방법을 선택하여 인증방법평가위원회에 평가

를 요청

2. 기술적 요건

□ 인증방법평가위원회는 다음의 기술적 요건들을 고려하여 인증방법의 안전성을

평가하되,

ㅇ 전자금융거래의 유형, 거래한도 등에 따라 위의 기술적 요건들을 선택적으로

적용(*별표「기술요건별인증방법예시표」참고)

① (이용자 인증) 금융기관 또는 전자금융업자는 전자금융거래 제공시 정당한 이용

자 여부를 식별 및 인증할 수 있어야 함

- 4 -

② (서버 인증) 금융기관 또는 전자금융업자는 이용자가 서버(정보처리시스템)에 접속

한 경우 정당한 금융기관 등의 여부를 이용자가 식별 및 인증할 수 있도록 하

여야 함

③ (통신채널의 암호화) 금융기관 또는 전자금융업자는 이용자와 서버간의 전자금융

거래내역 등 중요정보가 유출되지 않도록 암호화를 통한 비밀성․무결성을 제

공하여야 함

④ (거래내역의 무결성) 금융기관 또는 전자금융업자는 해당 전자금융거래내역의 위

조․변조 여부를 확인할 수 있어야 함

⑤ (거래내역의 부인방지) 금융기관 또는 전자금융업자는 정당한 전자금융거래

사실을 이용자 및 금융기관이 부인할 수 없는 수단을 제공할 수 있어야함

※(예시) 금융기관 또는 전자금융업자는 이용자 인증, 서버인증 및 통신채널 암호

화의 요건을 갖춘경우, 거래한도 등을 정하여 인증방법평위원회의 평가를

받아 금융거래를 할 수 있다.

3. 인증방법평가위원회 설치․운영

□「전자금융감독규정」 제7조제2항에 따라 민간전문가 등으로 구성된 인증방법평가

위원회를 금융감독원에 설치

ㅇ 위원회는 금융기관 등이 평가를 요청한 인증방법에 대해 동 가이드라인의 반영

여부를 판단

* 금융기관 또는 전자금융업자가 인증방법에 대해 인증방법평가위원회의 판단을 거친 경우에는 금감

원의 보안성 심의에 있어서 인증방법에 관한 부분은 심의 절차를 생략할 수 있다.

ㅇ 위원회는 전자금융거래 유형별 보안강도, 신규 인증방법에 대한 보안등급 등 세

부평가기준을 마련, 공개하여야 함

□ 위원회는 인증방법의 기술적인 내용에 대한 객관적인 평가를 위해 공인된 기관의

검증결과를 활용할 수 있음

* 단, 이 경우 금융기관 등이 금융감독원장이 인정한 기관의 검증을 받은 경우에는 인증방법평가위원

회의 평가를 생략할 수 있다.

□ 기타 위원회 운영에 관한 세부사항은 금융감독원장이 정함

- 1 -

2. 공인인증서 의무설치 규제 완화

< 현황 및 문제점 >

□ 「전자금융거래법」제21조 및 「전자금융감독규정」 제7조에 의거한 과도한 전자금

융거래 보안규제로 국내에서는 3-5개의 보안프로그램을 의무 설치하여야 인터넷 뱅킹

결재가 가능

◦ 우리나라 인터넷 환경은 MS윈도우 기반의 액티브X 방식에 편중되어 PC의 90%이상이 윈도우

기반이나 동 방식은 타 운영체제에서는 인식이 불가

□ 최근 스마트폰의 등장에 따라, 공인인증서 방식 적용 시 사실상 국내스마트폰 유저 및

무선통신 단말기 사용자들은 사용이 불가

* 기존 출시된 맥OS, 안드로이드, 심비안 등과 앞으로 출시 예정인 리눅스기반 OS

도 스마트폰에 도입 될 예정

◦ 이에 따라, 공인인증서 자체를 사용할 수 없는 환경*에서의 결재기능 보완이 필요한 상

황

* e-북용 킨들, 태블릿 PC 등 향후 출시될 무선통신 단말기

□ 공인인증서 방식은 저장된 인증서의 유출 가능성으로 높은 수준의 보안 제공이 불가

* 최근 1,2년간 공인인증서를 이용한 인터넷 뱅킹 해킹 사례 증가

◦ 공인인증서를 의무 사용하더라도 보안사고 발생 시 책임은 은행에 있으므로, 다양한

방식을 제시하여 은행이 선택할 수 있도록 할 필요

◦ 공인인증서 의무 사용은 해외 사용자의 참여를 제한하여 비즈니스 기회 축소 및 기

업의 글로벌화를 저해

◦ 해외에서는 인터넷뱅킹 시 128bit SSL암호화 방식을 대다수 사용*하며, 일부국가에서는

보다 강화된 256bit SSL 암호화 방식(EV SSL)을 사용하나, 한국의 경우만 128bit SEED

방식을 사용

* 「해외 인터넷뱅킹 보안현황 조사 보고서」(금융보안연구원)

- 2 -

현행 개정(안)

제7조(공인인증서 사용기준) 모든 전자금

융거래에 있어 「전자서명법」에 의한

공인인증서를 사용하여야 한다.

제7조(공인인증서 사용기준) 모든 전자금융거

래에 있어 「전자서명법」에 의한 공인인증

서 또는 SSL방식과 OTP방식 등을 사용하여

야 한다.

< 개선방안 및 기대효과 >

□ 개선방안

◦ 무선인터넷에 기존 정부의 일률적 규제보다 공인인증서 및 SSL, OTP방식 등 다양한

보안 방식이 안정적으로 적용되도록 하고, 장기적 관점에서 보안솔루션 및 시스템

개발을 유도·지원할 필요

◦ 전자금융감독규정 개정(안)

- SSL 방식은 Internet Explorer 뿐만 아니라 Firefox 등의 웹브라우저에 대한 지원이

가능

* 문답식 로그인 인증, 로그인 및 계좌이체시 OTP사용, 마우스입력기(가상 키보드), 지문·

홍채 인식 방법 등의 중복 사용으로 안전성 증대

□ 기대효과

◦ 모바일 결제 지원에 따라, 스마트폰 및 무선통신 기반 단말기 관련 애플리케이션

산업의 활성화 도모 및 안정성 확보

- 특정 OS 쏠림현상을 개선으로 관련 산업 다양화 및 다양한 보안기술 개발 유도

◦ 해외 사용자의 참여 가능성을 증대시켜 관련 산업 활성화 및 비즈니스 모델 창출

◦ 범용 국제방식의 적용으로 사용자들의 불편을 최소화하고 정부의 중장기적 ‘동아시

아 금융허브’전략 현실화를 위한 토대 마련

- 3 -

[전자서명법]

제2조(정의)� 이� 법에서�사용하는�용어의�정의는�다음과�같다.

8.� "공인인증서"라� 함은�제15조의�규정에�따라�공인인증기관이�발급하는�인증서를�말한다.

[전자금융거래법]

제21조� (안전성의�확보의무)� ①[생략]

②금융기관등은� 전자금융거래의� 안전성과� 신뢰성을� 확보할� 수� 있도록� 전자금융거래의� 종류별로� 전

자적� 전송이나� 처리를� 위한� 인력,� 시설,� 전자적� 장치� 등의� 정보기술부문� 및� 전자금융업무에� 관하여�

금융위원회가� 정하는� 기준을� 준수하여야�한다.� <개정� 2008.2.29>

③금융위원회는�전자금융거래의�안전성과�신뢰성을�확보하기�위하여� 「전자서명법」� 제2조제8호의�공

인인증서의� 사용� 등� 인증방법에� 대하여� 필요한� 기준을�정할�수� 있다.� <개정� 2008.2.29>

[전자금융감독규정]

제7조(공인인증서� 사용기준)� 모든� 전자금융거래에� 있어� 「전자서명법」에� 의한� 공인인증서를� 사용하

여야� 한다.� 다만� 기술적․제도적으로� 공인인증서� 적용이� 곤란한� 전자금융거래로� 감독원장이� 정하는�

경우에는� 그러하지� 아니하다.

[전자금융거래시�감독규정�시행세칙]

제29조(전자금융거래�시�준수사항)� ①[생략]

②금융기관�또는�전자금융업자는�전자금융거래와�관련하여�다음�각�호의�사항을�준수하여야�한다.

� � [생략]

� � 3.� 이용자PC에서의�정보유출을�방지하기�위해�이용자의�접속�시�우선적으로�이용자PC에�개

� � � � � 인용�침입차단시스템,� 키보드해킹방지�프로그램�등의�보안프로그램을�설치할�것

� � � � � (다만,� 고객의� 책임으로� 본인이� 동의하는� 경우에는� 보안프로그램� 해제� 가능)

제31조(전자금융거래에� 있어서� 공인인증서� 사용� 예외)� 금융기관� 또는� 전자금융업자가� 수행하는� 전

자금융거래�중�공인인증서를�사용하지�않고�할� 수� 있는�전자금융거래는�다음�각�호와�같다.

� � 1.� 본인�계좌에�대한�조회�업무

� � 2.� 전화,� CD/ATM�등과�같이�공인인증서의�설치·운용이�불가능한�수단을�이용한�전자금융거래

� � 3.� 등록금,� 원서접수비�등�본인확인이�가능하고�입금계좌가�지정되어�있는�경우

� � 4.� 전자상거래에서�지급결제로서� 30만원�미만의�신용카드�결제�또는�온라인�계좌이체

� � 5.� 전자화폐,� 선불전자지급수단을�온라인상에서�사용하는�경우

� � 6.� 법인이�금융기관과�연결된�전용회선을�이용하여�전자금융거래를�하는�경우

< 관련규정 >

- 4 -

� � � � <신설� 2009.7.24>

� � 7.� 신용카드�대출서비스(현금서비스,� 카드론�등)를�실명�확인된�본인명의�계좌로�이체하는�경우�

� � � � <신설� 2009.7.24>

� � 8.� 보험회사의�보험금,�대출금�등을�실명�확인된�본인명의의�보험료�납입계좌로�이체하는�경우�

� � � <신설� 2009.7.24>

� � 9.� 금융기관�등이�범위를�정하여�공인인증서�적용을�제외할�것을�감독원장에게�요청하고�감

� � � � � 독원장이�이를�승인하는�경우

<참고1> ‘해외 인터넷뱅킹 보안현황 조사보고서’ 금융보안연구원

<참고2> ‘한국 인터넷 뱅킹에 관한 논문‘ 옥스퍼드, 캠브리지大 공동논문 ‘On the Security

of Internet Banking in South Korea' (요약 : 고려대 김기창 교수)

- 5 -

<참고 1>

해외 인터넷뱅킹 보안현황 조사보고서(금융보안연구원)

□ 주요 요지

◦ 강화된 암호화 방식 사용

- 해외에서는 대부분 인터넷뱅킹 시 128bit SSL 암호화 방식을 사용하며, 미국,

싱가포르의 일부 은행에서는 보다 강화된 256bit SSL 암호화 방식(EV SSL)

을 사용 中

* SSL 방식은 Internet Explorer 뿐만 아니라 Firefox 등의 웹브라우저 지원이 가능

※ 국내 인터넷뱅킹은 128bit SEED를 주로 이용

◦ 문답식 로그인 인증을 통한 추가적인 정보 요구

- 미국의 2개 은행에서는 인터넷뱅킹 로그인 시 문답식 형태로 개인정보를 추

가적으로 요구하며, 접속된 이용자 PC에 대한 지속적인 모니터링을 통해 이

용자 PC 정보 또한 로그인 인증 시 활용

◦ 로그인과 계좌이체 시에도 OTP 사용

- 영국, 싱가포르 등의 일부 은행에서는 인터넷뱅킹을 통한 계좌이체 외에도 로그

인 시에 OTP 인증 서비스를 제공

◦ OTP 단말기에 추가 정보 입력을 통한 OTP 번호 생성

- 영국, 네덜란드, 호주 등의 일부 은행에서 제공하는 OTP 단말기는 인터넷뱅킹

웹페이지 상에서 제공하는 난수값, 카드정보, 이체대상 정보 등을 추가적으로

입력해야만 OTP번호를 생성

◦ 인터넷뱅킹 로그인 시 마우스입력기(가상 키보드) 사용

- 중국, 싱가포르, 말레이시아 등 아시아권 일부 은행에서는 인터넷뱅킹 로그인

시 ID, 비밀번호 등을 입력할 때, 키보드 이외에 마우스 입력기(가상키보드)

등 다양한 입력수단을 제공

- 6 -

<참고2>

한국 인터넷 뱅킹 보안에 관한 논문

: 옥스퍼드, 캠브리지大 공동논문 ‘On the Security of Internet Banking in

South Korea' (요약 : 고려대 김기창 교수)

■ 요약

◦ 현재와 같은 ActiveX 플러그인 방식으로는 안전한 거래 플랫폼이 마련될 수 없다.

◦ 현재 방식은 보안에 별 도움을 주지 못하는 한편 이용자 편의성도 저하시킨다.

◦ 사회공학적으로나 기술적으로 더 나은 다른 대안들이 여럿 존재한다.

- 본 논문은 오픈웹 소송을 언급하며, 패소의 한 원인은 현행 인터넷 뱅킹의 보안

성능에 대한 전문 기술적 분석이 뒷받침되지 않았기 때문이기도 하다는 진단을

제시하고 있습니다. 즉, 현행 방법이 보안에도 별 도움이 되지 않으며, 실현 가

능한 여러 다른 대안이 있다는 점에 대한 확신을 재판부에 심어주는데 성공하

지 못한 듯하다고 지적(p. 3)

■ 세부내용 소개

1. 국내 인터넷 뱅킹거래에 사용되는 보안접속 플러그인은 기본적으로 웹브라우저

가 사용하는 SSL/TLS 보안접속과 별로 다르지 않다. 키교환 단계는 공개키 기

반의 비대칭 암호화로 이루어지고, 키교환이 이루어지고 나면 SEED 대칭 암호

화 알고리즘을 사용하여 교신 내용이 암/복호화 된다. 웹브라우저가 이미 제공

하는 것과 유사한 방식의 암호화를 별도의 플러그인으로 하는 것은 미국 정부의

암호 기술 수출 제한으로 인하여 웹브라우저가 90년대 후반까지는 낮은 수준의

암호화만을 제공했었기 때문으로 보인다.(p. 4)

2. 현행 방식은 피싱 공격에 취약하다. 웹브라우저가 제공하는 SSL/TLS 보안접속

을 했더라면, 웹브라우저가 알려주는 보안 경고가 일정 수준의 피싱 방어 수단

이 될 수 있으나, http 접속으로 수행되는 한국 인터넷 뱅킹 기법은 이런 방어

책을 전혀 이용할 수 없다.(p. 6)

- 7 -

3. 공인인증서가 높은 수준의 보안을 제공해 줄 수 있다는 믿음이 한국에는 널리

퍼져 있으나, 실제로는 별 실효성이 없다. 하드디스크나 이동식 저장 장치에

저장된 공인인증서 개인키는 쉽게 유출되므로 비밀번호 이상의 보안을 제공하

지 못한다. 보안카드가 나중에 도입된 이유도 공인인증서가 별다른 보안을 제

공하지 못한다는 점을 인식/인정하였기 때문에 추가적 안전장치가 필요하다고

판단해서 였다. 현행 방식 하에서는 공인인증서는 군더더기(redundant)에 불과

하다. 반면에 개인키가 현재와는 달리 안전하게 보관, 운용될 경우에는 다른

여러 수단이 필요 없이 인증서만으로도 안전한 뱅킹환경이 형성될 수 있다.

(p. 7)

4. 안티바이러스 플러그인은 최신 악성코드를 감지해 내지 못하거나, 완벽한

감지가 원천적으로 불가능하다, 개인 방화벽 플러그인은 은행거래 중에만

작동하므로 공격자는 그 외의 시간에 정보를 내보내거나 침입할 수 있게 되어

있다. 키보드보안은 interrupt hooking method 로 키값을 가로채는 공격을

막지는 못하는 등, 초보적 수준의 악성코드에 대해서는 효과가 있을지 몰라도,

이들 보안프로그램은 sophisticated attack (e.g. privilege-escalation attack)들을

방지하기 힘들다. 이용자에 대한 효과적 안내와 계몽 등 사회공학적 접근이

전체적으로 보아 오히려 훨씬 나은 효과를 거둘 수 있다.(p. 7)

5. 국내 인터넷 뱅킹에 사용되는 플러그인은 그 정확한 스펙이 공개되지

않으므로 그것의 안전성을 투명하게 검증할 수 없다. 스펙을 공개하지 않으면

초기에는 공격을 늦출 수 있을지 몰라도 결국에는 공격자가 취약점을

발견하게 되고, 그 다음부터는 지속적 공격이 음성적으로 가능해 진다.

보안프로토콜은 적어도 초기에는 완벽하게 투명한 검증 기간을 거치는 것이

안전하며, 웹브라우저가 사용하는 SSL/TLS 기법은 투명한 검증을 거친

것이다. SSL 접속이 man-in-the-middle 공격 등에 취약하므로 사용하지 말아야

한다는 주장은 합리적이지 않다. 대부분의 취약점이라는 것은 이미 패치가

나와있고, SSL/TLS session-aware user authentication 을 사용하면

man-in-the-middle 공격은 불가능하다.(p. 8)

■ 논문 저자들의 권고 사항(p.10)

1. 이용자의 소프트웨어 선택권을 존중하고, 보안 위험에 대한 분명한 설명을 제

- 8 -

공함으로써 이용자가 프로그램 설치 여부를 판단할 수 있게 해야 한다.

2. 별도플러그인으로 수행하는 보안접속은 웹브라우저의 SSL/TLS 접속으로 전환

하는 것이 더 안전하거나 적어도 대등하게 안전할 뿐 아니라, 피싱 공격에 대

한 일정 수준의 방어책까지 사용할 수 있게되는 이점이 있다.

3. 공인인증서는 표준적 위치(웹브라우저/보안토큰)에 저장해야 한다. 그렇게 해

야 웹브라우저의 SSL/TLS 보안접속과 공인인증서를 연계하여 보다 우월한 보

안 환경을 달성할 수 있다. 표준적 저장위치(파이어폭스 계열은 PKCS#11 방

식의 인증서 저장을 지원하고, MS IE는 CAPI 를 지원한다)에 공인인증서를

저장하면, 이들을 호출하는 API가 투명하게 공개되어 있으므로 다양한 플러그

인(예를 들어 거래내역 서명 플러그인)이 손쉽게 개발될 수도 있고, 이용자와

서비스 제공자의 선택권도 확보된다.

4. 현재의 뱅킹 세션에서만 동작하는 방화벽은 bypass할 수 있는 방법이 존재하므

로 그 대신 OS에 이미 탑재된 방화벽을 상시로 작동시키는 방법을 알기쉽게 안

내하고, 운영체제 업데이트에 관한 안내와 안티바이러스 프로그램 설치에 관한

이용자 안내에 은행들이 좀 더 많은 노력을 기울여야 한다.

※ 저자들이 추가로 공개하는 사항

◦ 저자들은 이 페이퍼를 통하여 건설적인 토론이 시작되기를 희망한다.

◦ 저자들의 논지는, 현재의 한국 보안 기술이 전혀 쓸모가 없다는 것이 아니라

근본적인 한계를 가진다는 점을 지적하고자 하는 것이다. 안전하지 않은 플랫

폼 위에서 Application layer를 보호하려는 방법이기 때문에 기술적인 한계를

가진다. 예를 들어 공개키를 안전하게 사용하기 위해서는 공개키가 저장되는

저장소와 API 등의 integrity가 보장되어야 하는데, 한국의 방식은 이를 보장

할 수 없다.

◦ 이용자들의 이용 편의와 서비스 접근 확보를 위해서 표준을 준수하고, 표준화가

힘든 기능들에 대해서는 옵션으로 제공하는 것이 최선의 방법이라고 생각한다.

3. 공인인증서 규제 解消紀1. 서론- 2010년 1월

한국의 미래 인터넷 경쟁력은 정부의 나홀로 규제에 달려있다. 1995년부

터 2000년까지의 한국 벤처의 질풍노도의 시기에 한국은 갑자기 세계 인터

넷 강국으로 부상하였다. 갑자기 주위를 둘러보니 아무도 없는 선두에 서게

되어, 미지의 길을 앞서 가게 된 것이다. 기술은 해결할 역량이 있었으나,

문제는 제도를 만드는 경험이 모자란 것이었다. "공인인증서 기반의 인터

넷 뱅킹" , "제한적 본인 확인제(인터넷 실명제)", "게임물 사전 등급제", "

위치기반 서비스 제한", "SEED기반의 보안모듈 "등이 세계에서 처음으로

한국이 제도화 한 규제들인 것이다. SEED기반의 보안은 당시 부족한 브라

우저의 보안 기능을 보완한 세계에서 가장 앞선 시도였다. "공인인증서"역시

이론적으로는 가장 안전한 거래 수단으로 한국이 앞장서 구현한 것이었다.

가히 한국은 2000년까지는 인터넷 선진국이었다.

그러나, 2000년이후 브라우저에는 한국의 SEED보다 발전된 보안 기능

(SSL)과 공인인증서 기능을 내장하게 되었다. 한국을 벤치 마킹한 것인데,

靑出於藍이었다. SSL은 SEED에 비하여 1) 바젤 위원회가 권고하는 상호

인증 기능과 2) 브라우저에 자체 내장으로 PLUG-IN 다운로드를 위한 위

험한 ACTIVE-X등을 사용할 필요가 없어 보안상의 획기적 진전을 이룩하

였다. 더구나, 이는 무료로 브라우저와 함께 제공된다. 공인인증서의 저장

기능도 브라우저에 내장되어 SEED와 같이 특정 위치에 저장하지 않아 해

킹의 위험을 줄이게 되었다.

성공은 실패의 어머니인가? 한국은 앞서가기는 했으나, 더 앞선 후발 브라

우저 내장 기능 채택을 "나홀로 배제"하여 한국을 "디지털 갈라파고스"로 전

락시켰다. 유선 인터넷은 이미 보급이 된 이후에 규제가 도입되어 영향이 상

대적으로 작았으나, 무선 인터넷은 이러한 규제로 인하여 OECD에서 가장

낙후된 후진국이 되었다는 사실조차 모르는 형편이 되었다. (OECD평균 보

급률 20%대, 한국은 2009년말 1%대). 세계에서 80번째로 도입된 아이폰

이 눈을 깨게 하여 문제를 바로 보게 한 공은 어떻게 설명하는 것이 좋을

지.. 정부의 규제는 한술 더 떠 , 스마트폰에도 "공인인증서" 강제 사용을

강요하는 경지에 도달하자, 마침내 국민들의 원성이 하늘을 찌르게 되었으

나, 규제 부처에서는 환부는 내버려두고 대증요법만 계속 발표하는 우를 범

하고 있었다.

이러한 단계에서 기업 호민관실은 마침내 10년 묵은 숙제인 "공인인증서 강

제"의 규제 해소를 위한 작전에 돌입하게 된 것이다.

2. 문제 제기--2010년 2월

2010년 2월 11일 기업 호민관실의 16개 분야 전문호민관중 류한석 IT

호민관이 문제를 제기하였다. 총리실과의 협조로 진행하는 관계장관 회의의

FLAGSHIP PROJECT로 상정하고, 전문가 팀을 2.26일 발족하였다. 이

동산 페이게이트 이사, 그리고 고려대 김기창 교수, 류한석 호민관이 의견을

집약, 전체적인 방향을 우선적으로 공인인증서 강제를 폐지하는 방향으로 잡

게 되었다. 문제가 큰 ACTIVE-X 사용을 줄이기 위해서는 SEED사용을

없애야 하나, 이는 규제부처의 엄청난 반발을 초래할 우려를 감안한 결정이

었다. 공인인증서와 병행할 대안으로는 국제적으로 대부분의 금융기관이 사

용하는 SSL+OTP를 제시하기로 하였다.

특히 OPENWEB을 운영하면서 " 한국인터넷의 불편한 진실"이라는 책을

발간한 김기창 교수는 고비마다 글과 논리로서 결정적인 도움을 준 일등 공

신임을 다시 강조한다. 류한석 대표와 이동산 이사도 중요한 여러편의 기고

문들을 언론에 보내기 시작하면서, 본격적인 작전이 개시된 것이다. 그러나,

지금 회고해 보면 당시의 주력 멤버들조차도 한국의 미래는 걱정하면서도,

10년을 버터온 규제의 해소에 대한 기대는 크지 않았다는 것이 정직한 현실

이었다. 그래도 그것이 기업 호민관실을 만든 이유라는 믿음으로 의지를 가

지고 돌진하였다. 기업의 세계 시장 돌파보다는 쉽지 않겠는가 하는 생각으

로.

3. 4가지 결정적인 자료들

아이폰 혁명이라는 환경의 도움과 함께, 결정적인 자료가 4가지 확보되었

다.

1) 영국의 옥스퍼드, 캠브리지 공동논문으로 "On the Security of

Internet Banking in South Korea"라는 논문이 세계적 권위자인

ROSS박사와 한국의 김형식, 허준호에 의해 발표. 내용은 한국의 인터넷 뱅

킹이 국제 통용 방식인 SSL+OTP에 비하여 불편하면서 유리하지 않다는

결론으로 이 논쟁의 결정적인 이론적 근거를 제시

2)한국 금융 보안 연구원이 발표한 "해외인터넷 뱅킹 보안조사"라는 보고

서로서 대부분의 국가들이 SSL+OTP를 채택하고 있음을 입증. (이후 이

보고서는 인터넷에서 사라짐)

3)바젤 위원회가 발표한 "전자 금융에 대한 바젤 협약"으로서 가) 기술의

발전을 감안하여 국가는 특정 기술을 강요하지 않아야 하며 나) 은행이 반

드시 (MUST DECIDE) 결정해야 한다는 선언을 하고 있음.

4) MS사가 자사 공식 사이트에서 적시한 자료로서 "보안목적으로는

ACTIVE-X를 사용하지 말고, SSL등 국제적으로 사용되는 기술을 사용

하라"는 권고

이상의 자료외에도 국회 입법 조사처, 미국 금융위원회등의 유리한 객관적

자료를 확보하여 호민관실의 최광수 전문 위원이 단기간에 충분한 이해를

하게되었다.

4. 3월의 긴박한 전개

3월이 들면서, 각종 언론에서 문제를 제기 시작하였고, 3월8일 전자신문

주최로 토론회가 개최되었다. 특히 3.10일은 공인인증서 기술의 원천인

KISA(인터넷 진흥원)주최의 "스마트폰 보안 세미나"가 개최되어 대세는 스

마트폰에서도 "공인인증서"로 굳어지는 듯했다. 3.12일자로 전자신문, 아이

뉴스, 매일경제,한국 경제등이 참석한 언론 간담회에서 4대 핵심 자료와 함

께 문제를 설명하고 전폭적인 협조를 얻게 되었다. 3.15일 총리실 주재

회의에서 찬반 세력은 분명해졌다. 규제파는 행정안전부와 금융위원회, 자율

파는 방통위와 호민관실이었다.(부처 협의에서 김기창 교수, 류한석 IT호민

관의 역할이 컸음) 이제 공은 여론전에 있다고 판단했으나, 부처 협의중에

언론에 과정을 알리는 것은 금기사항이어서 일반론적인 논리를 전파하던 가

운데 사건이 발생하였다. 3.22일 월요일자로 전 언론에 걸쳐 행안부에서

마치도 부처 협의가 완료되어 4월까지 공인인증서를 추진하는 내용으로 보

도가 나가게 되었다. 이러한 보도는 통상적으로 부처 협의 과정에서는 상상

하기 어려운 일이었으니, 그 만큼 규제 부처의 내부 위기감을 느낄 수 있을

것이다. 그러나, 행안부의 돌발 보도는 문제를 여론전으로 끌고 가게 되어

오히려 우리에게 유리해 졌다. 다행스러운 것은 조선일보의 컬럼 "이제는 인

터넷 후진국이다"가 마침 3.22일자로 게재된 것이다. 월요일의 행안부 전

격 보도에 대한 대응 설명회 형식으로 3.24일 기자 간담회를 열게 되었고,

실질적으로 대부분의 기자들이 동참해 주어 여론전은 순식간에 호민관실의

압승으로 전개되었다. 이제 대부분의 기자들이 문제를 인식한 순간, 세불리

를 인식한 행안부는 공식으로는 금융위와의 공조체제 이탈을 하게 되어 대

세는 3.25일 판가름나게 되었다. 3.25은 총리실 주재회의, 보안학회 주최

의 공청회등 결정적인 날이었다. 보안학회는 공인인증서를 만든 학회로서 규

제부처의 지원하에 6:2의 불공정한 토론자 배치를 하는등 총공세를 시도했

으나, 결과는 공인인증서의 유출문제가 불거지면서, 오히려 우리에게 유리하

게 전개되었다. 이동산이사와 김기창 교수가 일당백으로 선전하였다.

드디어 3.30일 마지막 총리실 조원동 차관 주재회의를 마치고, 3.31일 당

정협의회에서 공식적으로 "공인인증서 개선안"을 통과시켜 10년간의 묵은

과제를 해결하게 된 것이다. 통과 과정에서 윤세명 사무관, 김흥빈 국장도

많은 수고를 하였다.

5. 정리하면서

10년 묵은 규제를 해결하는 물꼬를 트게 된 것은 아이폰등 환경적 요인과

김기창교수와 같은 기인의 도움, 그리고 총리실의 결단이 결합되어 이룩한

성과이다. 그래도 덧붙일 얘기는 이러한 규제가 그동안 지속된 것은 고위

공무원 중 기술을 이해하는 전문가가 거의 없는 것도 큰 이유라고 보여진다.

앞으로도 이러한 분야에 호민관실의 역할이 많을 것으로 본다. 예컨대, "

제한적 실명제", "위치 정보 규제", "WHITE LIST", "SEED"등 많은 과제

들이 기다리고 있다.

공인인증서도 아직은 완전 해결이 아니다. 일단 30만원 이하의 소액은 풀

릴 것이다. 무선인터넷의 규제는 사라질 것이다. 그러나, 여전히 금융위가

인가권을 가지고 있다면 바젤 협약의 자율권고가 지켜질수 확신은 이르다.

그래서 절반의 성공이라 자평을 하는 것이다. 이제, 한국을 세계 최악의 보

안문제국으로 전락시킨 다운로드를 통한 보안 모듈을 사라져야 한다. IE6와

함께. 이제는 웹2.0시대이다.

웹2.0으로 가는 걸림돌을 걷어내는 효과는 얼마나 될까? 아마도 국부의

1%는 넘을 것이다. 매년 1조이상의 비용을 절약하게 될 것으로 보나, 자세

한 금액은 별도 연구가 필요할 것이다. 이것만으로도 호민관실의 역할을 했

다는 의견도 있을 정도이니,무엇보다도 정부 규제에 순응하던 네티즌들이 상

식이 통한다는 것을 깨닫고 권리를 찾는 행동을 하게 된 것이 가장 큰 소득

이 아닐까 생각하며, 기록을 위한 정리를 마친다.

(-별첨 조선일보 컬럼 ‘한국은 인터넷 후진국...무선1%’)

2010.03.22 09:32:42

한국은 1995년에서 2000년까지 외환위기 와중에서도 인터넷 강국으로 부

상했다. 또 하나의 한강의 기적이다. 분명히 우리는 웹(Web) 1.0시대의 강

자(强者)였다. 그러나 우리는 웹 2.0시대에서도 강자인가.

이미 통계로도 한국은 웹 2.0시대의 후진국이다. 작년 말 기준 무선인터넷

보급률은 OECD 평균이 20%대인 데 비하여, 한국은 최하위인 1%대이다.

한국은 무선 상거래가 전무(全無)하나, 일본의 무선 상거래 규모는 재작년에

1조엔을 넘어섰다. 한국은 보안(保安)의 적(敵)으로 인식돼 세계의 기피 대

상인 마이크로소프트 ACTIVE-X 사용률 세계 1위다. 한국의 주요 웹사이

트의 호환성과 접근성 수준은 외국에 매우 뒤처진다. 정부 개방도 마찬가지

다.

2000년까지 한국의 인터넷 보안은 세계 최고였다. 128비트 보안 플러그인

을 자체 개발한 것은 당시로써는 획기적인 성과였다. 그러나 2000년 이후

128비트 이상의 보안이 무료화됐으나 한국은 여전히 플러그인을 다운로드받

아야 하는 방식으로 '나 홀로 보안'을 고집하고 있다.

한국은 ACTIVE-X 관련 트래픽의 압도적 세계 1위로서 바이러스 등 악성

(惡性) 프로그램이 침입할 소지를 가장 많이 제공하고 있다. ACTIVE-X를

이용한 다운로드는 마이크로소프트조차도 앞으로 이를 배제할 예정이다.

한국은 또 세계 평균 60%대인 마이크로소프트 인터넷 익스플로러의 점유

율이 98%라는 '세계 기록'을 보유하고 있다. 그 결과 국내에서는 인터넷

익스플로러에서만 작동하는 각종 거래 솔루션이 시장(市場)을 장악하고 있

으나, 이런 솔루션은 세계 시장에는 아예 판로(販路) 자체가 없다.

영국 케임브리지대 로스 앤더슨 교수팀 등이 최근 발표한 논문에 따르면 한

국은 인터넷 피싱 사기의 최대 위험 국가다. 한국식 인터넷 뱅킹 보안 기법

은 웹브라우저가 알려주는 보안 경고를 전혀 이용할 수 없다. 한국은 공인인

증서의 유출이 가장 심한 국가이다. 웹브라우저들이 채택하는 인증서 저장

표준을 무시하고 특정 위치에 인증서를 저장토록 했기 때문에 해킹에 쉽게

노출된다. 인증서 개인키 파일이 쉽게 유출되는 상태에서는 아무리 전자서명

을 받아둔들, 그 서명을 누가 했는지 확인할 길이 없다.

한국의 추락은 2000년 이전의 성공에 집착해 규제를 남발했기 때문이다.

세상은 이미 바뀌었다. 128비트 이상의 보안이 내장된 더 앞선 기능을 가진

브라우저들이 무료로 제공되고 있다. 금융 보안을 위한 바젤 위원회가 "국가

가 특정 기술을 강제하지 말라"고 권고하는 이유는 기술의 진화를 바로바로

반영하고자 하는 것이다.

한국의 '나 홀로 규제' 아성은 무려 10년간 깨지지 않았다. 스마트폰조차

세계에서 80번째로 도입된 나라가 한국이다. 그런데 늦어도 한참 늦게 도입

돼 이제 막 100일이 된 스마트폰이 혁명을 일으키고 있다. 규제에 억눌렸던

소비자들의 반발이 스마트폰에서부터 시작되고 있는 것이다. 이제라도 '갈라

파고스 환상'을 벗어나 웹 2.0의 세계적 흐름을 함께 타야 한다. 제한적 실

명제, 게임물 사전 등급제, 공인인

증서 등 각종 규제가 가로막은 한국의 왜곡된 인터넷 환경을 이제는 바로잡

아야 한다. 아직도 한국이 인터넷 강국이라고 생각한다면 그것은 환상이다.

Basel Committee on Banking Supervision

Risk Management Principles for Electronic Banking

July 2003

Table of Contents

Executive Summary ...............................................................................................................1

I. Introduction ...................................................................................................................4 A. Risk Management Challenges .............................................................................5 B. Risk Management Principles................................................................................6

II. Risk Management Principles for Electronic Banking......................................................7 A. Board and Management Oversight (Principles 1 to 3) ..........................................8 B. Security Controls (Principles 4 to 10) .................................................................12 C. Legal and Reputational Risk Management (Principles 11 to 14) ........................18

Appendix I: Sound Security Control Practices for E-Banking............................................22 Appendix II: Sound Practices for Managing Outsourced E-Banking Systems and Services ........................................................................................................23 Appendix III: Sound Authorisation Practices for E-Banking Applications ............................26 Appendix IV: Sound Audit Trail Practices for E-Banking Systems ......................................27 Appendix V: Sound Practices to Help Maintain the Privacy of Customer E-Banking Information...................................................................................28 Appendix VI: Sound Capacity, Business Continuity and Contingency Planning Practices for E-Banking ................................................................................................29

7

technology evolves. Further, as the industry continues to address e-banking technical issues, including security challenges, a variety of innovative and cost efficient risk management solutions are likely to emerge. These solutions are also likely to address issues related to the fact that banks differ in size, complexity and risk management culture and that jurisdictions differ in their legal and regulatory frameworks.

For these reasons, the Committee does not believe that a "one size fits all" approach to e-banking risk management is appropriate, and it encourages the exchange of good practices and standards to address the additional risk dimensions posed by the e-banking delivery channel. In keeping with this supervisory philosophy, the risk management principles and sound practices identified in this Report are expected to be used as tools by national supervisors and implemented with adaptations to reflect specific national requirements where necessary, to help promote safe and secure e-banking activities and operations.

The Committee recognises that each bank's risk profile is different and requires a risk mitigation approach appropriate for the scale of the e-banking operations, the materiality of the risks present, and the willingness and ability of the institution to manage these risks. These differences imply that the risk management principles presented in this Report are intended to be flexible enough to be implemented by all relevant institutions across jurisdictions. National supervisors will assess the materiality of the risks related to e-banking activities present at a given bank and whether, and to what extent, the risk management principles for e-banking have been adequately met by the bank’s risk management framework.

II. Risk Management Principles for Electronic Banking

The e-banking risk management principles identified in this Report fall into three broad, and often overlapping, categories of issues. However, these principles are not weighted by order of preference or importance. If only because such weighting might change over time, it is preferable to remain neutral and avoid such prioritisation.

A. Board and Management Oversight8 (Principles 1 to 3): 1. Effective management oversight of e-banking activities.

2. Establishment of a comprehensive security control process.

3. Comprehensive due diligence and management oversight process for outsourcing relationships and other third-party dependencies.

8 This Report refers to a management structure composed of a board of directors and senior management. The

Committee is aware that there are significant differences in legislative and regulatory frameworks across countries as regards the functions of the board of directors and senior management. In some countries, the board has the main, if not exclusive, function of supervising the executive body (senior management, general management) so as to ensure that the latter fulfils its duties. For this reason it is sometimes known as the supervisory board. In such cases, the board has no executive powers. By contrast, in other countries, the board has a broader competence including the definition of the bank’s general management framework. Because of these differences, the terms “board of directors” and “senior management” are used in the report to identify two decision-making functions within a bank but not to identify legal constructs.

14

certificates.23 These methods can be either single factor or multi-factor (e.g. using both a password and biometric technology24 to authenticate). Multi-factor authentication generally provides stronger assurance.

The bank must determine which authentication methods to use based on management's assessment of the risk posed by the e-banking system as a whole or by the various sub-components. This risk analysis should evaluate the transactional capabilities25 of the e-banking system (e.g. funds transfer, bill payment, loan origination, account aggregation etc.), the sensitivity and value of the stored e-banking data, and the customer's ease of using the authentication method.

Robust customer identification and authentication processes are particularly important in the cross-border e-banking context given the additional difficulties that may arise from doing business electronically with customers across national borders, including the greater risk of identity impersonation and the greater difficulty in conducting effective credit checks on potential customers.

As authentication methods continue to evolve, banks are encouraged to monitor and adopt industry sound practice in this area such as ensuring that:

• Authentication databases that provide access to e-banking customer accounts or sensitive systems are protected from tampering and corruption. Any such tampering should be detectable and audit trails should be in place to document such attempts.

• Any addition, deletion or change of an individual, agent or system to an authentication database is duly authorised by an authenticated source.26

• Appropriate measures are in place to control the e-banking system connection such that unknown third parties cannot displace known customers.

• Authenticated e-banking sessions remain secure throughout the full duration of the session or in the event of a security lapse the session should require re-authentication.

Principle 5: Banks should use transaction authentication methods that promote non-repudiation and establish accountability for e-banking transactions.

Non-repudiation involves creating proof of the origin or delivery of electronic information to protect the sender against false denial by the recipient that the data has been received, or to

23 A bank may issue digital certificates using public key infrastructure (PKI) to a customer in order to secure

communications with the bank. Digital certificates and PKI are discussed more fully in Principle 5. 24 Biometric technology is an automated view of physiological or behavioural characteristics used to identify

and/or authenticate a person. Common forms of biometric technology include facial scans, finger scans, iris scans, retina scans, hand scans, signature scans, voice scans and keystroke dynamics. Biometric identification systems provide very strong authentication, but may pose greater implementation complexities than other identification/authentication methods.

25 Effective authentication measures can also reduce the risk of repudiation, in which an authorised user subsequently denies that he or she authorised a particular transaction (see also Principle 5).

26 In some cases, the authenticated source may be an electronic source.

- 1 -

의 안

번 호5067

발의연월일 : 2013. 5. 23.

발 의 자 : 이종걸․최재천․김 록

우원식․김기 ․문병호

민병두․김 환․배기운

이상직 의원(10인)

자 융거래법 일부개정법률안

(이종걸의원 표발의)

제안이유 주요내용

행법 제21조제2항과 제3항에 의거 융 원회는 자 융감독규

정( 융 규정)제37조에서 모든 자 융거래에 있어 「 자서명법」

에 의한 공인인증서 는 이와 동등한 수 의 안 성이 인정되는 인

증방법을 사용하도록 하고 있음.

그러나 악성코드 유포의 경로로 사용되어 Microsoft조차 사용하지

말 것을 권장하고 있는 액티 엑스 기술을 주로 사용하는 공인인증서

는 보안상 허 이 많은 것으로 알려진데다, 새로운 최신 보안기술과

인증기술이 속속 등장하고 있으나 공인인증서의 사용을 강제하는

융 원회의 규제로 인해 융회사나 자 융업자가 새로운 보안기술

이나 인증기술을 사용하지 못하는 것이 실임.

- 2 -

다양한 인증기술이 사용됨으로써 국내의 보안 기술 IT 산업

반이 로벌 표 에 맞추어 세계 시장을 상 로 성장, 발 할 수 있

도록 하기 해서는 정부 정책의 기술 립성이 요구되는바, 특정한 인

증기술의 사용을 강제하는 상황은 시정되어야 할 것임.

융 원회의 인증기술 규제는 근매체를 융회사가 “선정하여

사용”하도록 하고 있는 같은 법 제6조제1항에도 배될 여지가 있고,

“어떤 인증 기법을 사용할 것인지는 [ 략] 은행경 진의 평가에 기

하여 은행이 결정하여야 한다”고 규정한 바젤 원회(BCBS)의 은행감

독원칙에도 어 남.

이에 공인인증서 사용을 강제하는 근거로 작용하고 있는 제21조제3

항을 개정하여 다양한 보안기술과 인증기술을 용할 수 있도록 하기

함임.

- 3 -

법률 제 호

자 융거래법 일부개정법률안

자 융거래법 일부를 다음과 같이 개정한다.

제21조제3항 “ 자 융거래의 안 성과 신뢰성을 확보하기 하여

「 자서명법」 제2조제8호의 공인인증서의 사용 등 인증방법에 하

여 필요한”을 “제2항의”로, “정할 수 있다”를 “정함에 있어서 보안기술

과 인증기술의 공정한 경쟁을 해하거나, 특정기술 는 서비스의 사

용을 강제하여서는 아니 된다”로 한다.

부 칙

이 법은 공포한 날부터 시행한다.

- 5 -

행 개 정 안

제21조(안 성의 확보의무)

① (생 략)

② 융회사 등은 자 융거

래의 안 성과 신뢰성을 확보

할 수 있도록 자 송이나

처리를 한 인력, 시설, 기

장치, 소요경비 등의 정보기

술부문 자 융업무에

하여 융 원회가 정하는 기

을 수하여야 한다.

제21조(안 성의 확보의무)

① ( 행과 같음)

② ( 행과 같음)

③ 융 원회는 자 융거래

의 안 성과 신뢰성을 확보하

기 하여 「 자서명법」 제2

조제8호의 공인인증서의 사용

등 인증방법에 하여 필요한

기 을 정할 수 있다.

③ -------------제2항의------

--정함에 있어서 보안기술과 인

증기술의 공정한 경쟁을 해하

거나, 특정기술 는 서비스의

사용을 강제하여서는 아니 된

다.

신·구조문 비표

전자금융감독규정시행세칙

전문개정 2006. 12. 28.

개정 2008. 3. 26.

개정 2009. 7. 24.

개정 2010. 8. 12.

전문개정 2012. 5. 24.

개정 2013. 2. 6.

제1장 총칙

제1조(목적) 이 세칙은 「전자금융거래법」(이하 “법”이라 한다) 및 동법 시행령(이하 “시행령”

이라 한다)과 「전자금융감독규정」(이하 “규정”이라 한다)에서 금융감독원장(이하 “감독

원장”이라 한다)에게 위임한 사항과 그 시행에 필요한 사항을 규정함을 목적으로 한다.

[전문개정 2012.05.24]

제2조(정의) 이 세칙에서 별도로 정하지 아니한 용어는 법ㆍ시행령․규정에서 정하는 바에

따른다.

[전문개정 2012.05.24]

제2장 보안성심의·인증방법평가위원회 등

제3조(보안성심의 기준 등) ① 규정 제36조제1항제3호에 따른 감독원장이 필요하다고 인정

하는 경우란 금융기관 또는 전자금융업자(보안성심의 신청일을 기준으로 최근 1년 이내

규정 제73조에 따른 정보기술부문 및 전자금융관련 사고가 발생한 기관) 중에서 정보통신

망을 이용하여 이용자를 대상으로 신규 전자금융업무를 수행하는 경우를 말한다.

② 금융기관 또는 전자금융업자가 제7조에 따른 안전성 평가를 거친 인증방법을 적용하여

보안성심의를 요청할 경우 감독원장은 보안성심의를 수행함에 있어 인증방법에 관한 심의는

생략할 수 있다.

[전문개정 2012.05.24]

제4조(전자금융거래에 있어서 공인인증서 등의 사용 예외) 규정 제37조제1항후단에 따른

기술적․제도적으로 공인인증서 등의 적용이 곤란한 금융거래로 감독원장이 정하는 경우란

다음 각 호와 같다.

1. 본인 계좌에 대한 조회 업무

2. 등록금, 원서접수비 등 본인확인이 가능하고 입금계좌가 지정되어 있는 경우

3. 전자상거래에서 지급결제로서 30만원 미만의 신용카드 결제 또는 온라인 계좌이체

4. 전자화폐, 선불전자지급수단을 온라인에서 사용하는 경우

5. 법인이 금융기관과 연결된 전용선을 이용하여 전자금융거래를 하는 경우

6. 신용카드 대출서비스(현금서비스, 카드론 등)를 실명 확인된 본인명의 계좌로 이체하는 경우

7. 보험사의 보험금, 대출금 등을 실명 확인된 본인명의의 보험료 납입계좌로 이체하는 경우

8. 금융기관 또는 전자금융업자가 범위를 정하여 공인인증서 등의 사용 예외를 요청하고

감독원장이 이를 승인하는 경우

[전문개정 2012.05.24]

제5조(인증방법평가위원회의 구성 등) ① 규정 제37조제2항에 따른 인증방법평가위원회

(이하 ‘평가위원회’라 한다)는 위원장을 포함하여 10인 이내의 민간 전문가로 구성하되,

평가위원회 위원은 전자금융거래 인증방법에 관한 기술 또는 학식과 경험이 풍부한 다음

각 호의 어느 하나에 해당하는 자 중에서 감독원장이 위촉한다.

1. 대학의 관련학과 조교수 이상의 직에 있거나 있었던 자로서 인증방법 관련분야에 연구

경험이 풍부한 자

2. 석․박사학위 소지자로서 인증방법 기술관련 전문기관에서 10년 이상 경험이 있는 자

3. 국내 변호사 자격이 있는 자로서 인증방법 관련분야에 실무경험이 풍부한 자

② 제1항의 경우 국무총리실장, 금융위원회위원장, 행정안전부장관, 방송통신위원회위원장,

공정거래위원회위원장은 각각 1인의 민간 전문가를 감독원장에게 추천할 수 있다.

③ 다음 각 호의 어느 하나에 해당하는 자는 평가위원회의 위원이 되지 못한다.

1. 금치산자 또는 한정치산자

2. 파산자로서 복권되지 아니한 자

3. 금고이상의 형의 선고를 받고 그 집행이 종료되거나 집행을 받지 아니하기로 확정된 후

2년이 경과되지 아니한 자

④ 평가위원회 위원의 임기는 2년으로 하며, 1회에 한하여 연임할 수 있다. <개정 2013.02.06>

⑤ 평가위원회 위원장은 위원 중에서 호선하며, 평가위원회 회의를 소집하고 그 의장이 된다.

[전문개정 2012.05.24]

제6조(인증방법평가위원회의 업무․운영 등) ① 평가위원회는 다음 각 호의 업무를 수행

한다. <개정 2013.02.06>

1. 금융기관 또는 전자금융업자가 평가를 요청한 공인인증서 이외의 인증방법(이하 "인증

방법"이라 한다)에 대한 감독원장 지정기관(이하 ‘평가기관’이라 한다)의 안전성 평가 결과

심의·의결

2. 인증방법의 안전성 평가를 위한 세부 평가기준 및 평가위원회 세부 운영규정의 제정․

변경․공개

3. 금융기관 또는 전자금융업자의 안전한 인증방법 개발․활용을 위한 국내외 기술․제도

동향 및 관련정보 제공

4. 제1호 및 제3호의 업무를 위한 제4항의 평가기관에 대한 협조요청

② 평가위원회 회의는 재적위원 3분의 2이상의 출석으로 성립하고 출석위원 과반수의 찬

성으로 의결한다. 다만, 가부동수인 경우 위원장이 이를 결정하며 필요한 경우 동일한 기

준에 따라 서면으로 의결할 수 있다.

③ 평가위원회 위원은 다음 각 호의 어느 하나에 해당될 경우 인증방법 안전성 평가 심의

에서 제척된다. <개정 2013.02.06>

1. 본인과 직접적인 이해관계가 있거나 있었던 사항

2. 배우자, 4촌 이내의 혈족, 2촌 이내의 인척관계가 있는 자, 본인이 속한 법인과 이해관

계가 있거나 있었던 사항

④ 감독원장은 제1항제1호의 평가기관 지정에 관한 기준을 정할 수 있다. <개정 2013.02.06>

⑤ 감독원장은 예산범위 내에서 위원에 대한 수당과 필요한 경비를 지원할 수 있다.

⑥ 이 세칙에 규정된 것 외에 평가위원회 운영 등에 관하여 필요한 사항은 평가위원회가

정할 수 있다.

[전문개정 2012.05.24]

제7조(인증방법의 안전성 평가 등) ① 금융기관 또는 전자금융업자가 공인인증서 외의 인증

방법을 사용하고자 하는 경우에는 전자금융 거래형태, 규모 및 위험에 따라 제4항 각 호의

기준을 선택적으로 적용하여 평가기관에 안전성 평가를 요청하여야 한다. <개정 2013.02.06>

② 평가기관은 평가를 요청받은 인증방법이 전자금융거래 형태, 규모 및 위험에 비추어 제

4항의 안전성 평가 기준에 부합하는지 여부 및 취약점 여부 등에 대해 안전성 평가를

실시한다. <개정 2013.02.06>

③ 평가위원회는 평가기관의 안전성 평가가 제2항에 따라 적절히 실시되었는지 여부와 전

자금융거래 형태, 규모 및 위험 등을 종합적으로 고려하여 안정성 평가 결과를 심의·의결

한다. <신설 2013.02.06>

④ 인증방법 안전성 평가의 기준은 다음 각 호와 같다.

1. 이용자 인증 : 금융기관 또는 전자금융업자는 전자금융거래 제공시 정당한 이용자 여부

를 식별 및 인증할 수 있어야 한다.

2. 정보처리시스템 인증 : 금융기관 또는 전자금융업자는 이용자가 정보처리시스템에 접속

할 경우 정당한 금융기관 또는 전자금융업자 여부를 이용자가 식별 및 인증할 수 있도록

하여야 한다.

3. 통신채널 암호화 : 금융기관 또는 전자금융업자는 전자금융 거래내역 등 중요정보가 유

출되지 않도록 암호화를 통해 비밀성․무결성을 제공하여야 한다.

4. 전자금융 거래내역의 무결성 : 금융기관 또는 전자금융업자는 해당 전자금융 거래내역

의 위조, 변조 여부를 확인할 수 있어야 한다.

5. 전자금융 거래내역의 부인방지 : 금융기관 또는 전자금융업자는 전자금융거래 사실을

이용자 및 금융기관․전자금융업자가 부인할 수 없는 수단을 제공할 수 있어야 한다.

[전문개정 2012.05.24]

제8조(약관의 제정 또는 변경) 규정 제41조제1항제3호에 따른 감독원장이 정하는 약관의

제정 또는 변경이란 다음 각 호의 어느 하나를 말한다.

1. 법령의 개정 또는 금융위원회의 명령에 따른 약관의 변경

2. 이용자의 권익이나 의무사항을 제외한 사항으로서 단순히 업무편의를 위한 약관의 변경

3. 사업자단체의 표준약관을 원용하는 약관의 제정 또는 변경

[전문개정 2012.05.24]

제3장 정보기술부문 실태평가 등

제9조(정보기술부문 실태평가 방법 등) ① 규정 제58조에 따른 정보기술부문 실태평가는

검사기준일 현재 평가대상기관의 정보기술부문 실태를 IT감사, IT경영, 시스템 개발 도입

유지 보수, IT서비스 제공 및 지원의 부문별로 구분 평가하고 부문별 평가결과를 감안하여

종합평가한다.

② 제1항의 규정에 따른 부문별 세부 평가 항목은 별표 1과 같다.

③ 규정 제58조제3항의 평가등급별 정의는 별표 2와 같다.

[전문개정 2012.05.24]

제10조(업무보고서의 제출) ① 금융기관 또는 전자금융업자는 규정 제62조에 따른 업무

보고서를 분기말 현재로 작성하여 매분기 종료 후 45일 이내에 감독원장에게 제출하여야

한다.

② 업무보고서 양식 및 기재사항은 별지 제1호서식에 따른다.

[전문개정 2012.05.24]

제11조(경영지도비율 산정기준) 규정 제63조제2항에 따른 경영지도비율의 구체적 산정기준은

별표 3과 같다.

[전문개정 2012.05.24]

제4장 보칙

제12조(정보기술부문 사고보고) ① 금융기관 및 전자금융업자는 규정 제73조에 따른 정보

기술부문 및 전자금융 사고가 발생한 경우 별지 제2호서식에 따라 즉시 보고하여야 한다.

② 제1항에 따른 사고보고는 최초보고, 중간보고 및 종결보고로 구분한다.

1. 최초보고 : 사고를 인지 또는 발견한 즉시 금융위원회의 정보보호공유센터(e-Finance

Information Sharing & Analysis Center : FISAC), 감독원의 전자금융사고 대응시스템

(Electronic Financial Accident Response System : EFARS), 서면, 팩시밀리 또는 전화로

보고하되, 전화로 보고한 경우에는 즉시 정보보호공유센터, 전자금융사고 대응시스템, 서

면 또는 팩시밀리로 보고한다.

2. 중간보고 : 제1호의 즉시보고 후 제3호의 조치완료 시까지 2월 이상 소요될 경우에는

인지·발견일로부터 2월 이내 및 종결 시까지 매 6월마다 제1호의 방법에 따라 보고한다.

다만, 즉시보고 후 조치완료 시까지 2월 미만이 소요될 경우에는 중간보고를 생략할 수 있다.

3. 종결보고 : 피해금액에 대한 배상조치가 완료되거나 사고조치 등이 완료되어 정상적인

업무를 수행하게 된 때 제1호의 방법에 따라 보고한다.

③ 금융위원회 및 감독원장은 금융기관 및 전자금융업자 정보기술부문의 사고보고 등을

전담할 비상연락 담당자를 회사별로 지정할 수 있다.

④ 금융기관 및 전자금융업자는 비상연락 담당자가 제3항에 따라 지정되거나 변경된 경우

에는 제2항제1호에서 정한 보고방법에 따라 금융위원회 및 감독원장에게 즉시 보고하여야 한다.

[전문개정 2012.05.24]

부칙<2006. 12. 28>

제1조(시행일) 이 세칙은 전자금융감독규정(2006.12.22. 금융감독위원회 의결)의 시행일부터

시행한다.

부칙<2008. 3. 26>

제1조(시행일) 이 세칙은 전자금융감독규정의 시행일(2008.4.7.)부터 시행한다.

부칙<2009. 7. 24>

제1조(시행일) 이 세칙은 2009년 7월 24일부터 시행한다.

부칙<2010. 8. 12>

제1조(시행일) 이 세칙은 2010년 8월 12일부터 시행한다.

부칙<2012. 5. 24>

제1조(시행일) 이 세칙은 2012년 5월 29일부터 시행한다.

부칙<2013. 2. 6>

제1조(시행일) 이 세칙은 2013년 2월 6일부터 시행한다.

제2조(적용례) 제5조제4항의 개정규정은 이 세칙 개정 후 제5조제1항에 따라 위촉된 위원에

대하여 적용한다.