공인인증서 유출 비상..안전하게 쓰는 법

[이데일리 김현아 기자] “공인인증서만 쓰면 안전한 줄 알았는데….” 주민등록번호 등의 유출 사건이 잇따르면서 이용자들의 불안감이 커지고 있다. 공인인증서 안전하게 쓰는 방법은 없을까.

◇2048 비트로 암호화했어도 잘못 관리하면 위험

공인인증서는 온라인상의 신분증명서다. 개인용 컴퓨터(PC)로 은행거래나 주식거래를 할 때 쓰는 만큼, 강력한 암호는 기본이다. 미국 RSA사의 2048 비트 암호 알고리즘을 쓰는데, 2048 비트 암호화는 해커가 키 값을 추측하려면 2의 2048 승만큼 공격 해야 한다는 의미다. 잦은 해킹에도 인증서 암호는 뚫리기 어려운 것.

하지만 아무리 안전한 공인인증서라도 PC 해킹이나 비밀번호 관리 부주의로 위험에 빠질 수 있다. 지난달 시중 은행 등에 쓰이는 공인인증서 파일 300여 개가 미국에 있는 서버로 유출됐다. 금융결제원은 이후 신한은행, 국민은행 등 7개 은행을 통해 발급된 212개의 공인인증서를 폐기 조치했다.

왜 국내에서 쓰는 공인인증서가 미국 서버에 쌓였는지는 파악되지 않았지만, 전문가들은 개인 PC가 악성코드에 감염돼 실제 은행 사이트에 접속해도 해커가 마련해 놓은 가짜 사이트에 접속하게 되는 이른바 ‘파밍’ 수법에서 비롯된 것으로 추정했다. 전요섭 금융위원회 과장은 “이름을 밝힐 수는 없지만 국내에서 최고의 전산능력을 자랑하는 곳으로부터 4월 19일 국내 공인인증서가 미국에 있는 서버와 계속 트래픽을 주고받는 게 확인됐고, 그 서버를 포착하니 수백 개 국내 공인인증서가 쌓이고 있었다”고 말했다.

공인인증서를 집에 있는 PC와 회사에서 사용하는 PC에서 편리하게 쓰려고 메일에 저장하거나 게임이나 포털 사이트 비밀번호와 똑같이 설정해도 위험하다. 해커가 내 PC에 잠입했다면 공인인증서를 통째로 가져가면서 보안카드 번호와 공인인증서 비밀번호를 쉽게 알 수 있기 때문이다.

◇보안토큰, 스마트폰 유심 등에 저장해야

전문가들은 공인인증서를 안전하게 쓰려면 ▲안전한 저장 수단을 이용하고 ▲안전한 특수문자 조합의 비밀번호를 설정하며 ▲백신이나 소프트웨어의 보안패치를 자주 업데이트해야 한다고 조언했다. 또 ▲PC 방 등 공용 PC로는 공인인증서를 쓰지 말아야 하고 ▲공인인증서 유출이 의심되면 즉시 국번 없이 ‘118’이나 한국정보인증, 금융결제원 같은 각 공인인증기관 고객센터로 연락해야 한다고 강조했다.

특히 조심해야 할 일은 무심코 컴퓨터 하드디스크에 공인인증서를 저장해 쓰거나 USB에 저장해 갖고 다니는 일이다. 임진수 한국인터넷진흥원 전자인증팀장은 “암호연산 칩이 내장된 보안토큰에 인증서를 담아서 갖고 다니거나 스마트폰의 범용가입자식별모듈(USIM)에 담아 쓰는 게 안전하다”고 말했다.

한편 LG유플러스(032640)는 보안 전문업체 라온시큐어와 제휴해 스마트폰 USIM에 공인인증서를 담아 쓸 수 있는 서비스를 준비하고 있다. 이 서비스는 USIM 칩과 인증서를 일체화했기 때문에 해커가 탈취하려 해도 USIM 칩이 장착된 스마트폰과 서비스의 비밀번호를 모두 소유해야 하기 때문에 보안성이 더 높다.

＜ⓒ종합 경제정보 미디어 이데일리 - 무단전재 & 재배포 금지＞