주민번호 수집·액티브X 기반 공인인증서 폐지해야

그가 이번 사건이 벌어진 근본 원인을 크게 두가지로 지적했다. 첫째는 개인정보 유출사고가 빈번하게 발생하는 것은 기업의 정보망 보안이 매우 취약하기 때문이고, 두번째는 기업들이 무차별적으로 주민등록번호를 수집하고 있기 때문이라고 했다. 주민등록번호의 활용도가 높다보니 이를 빼내려는 해킹시도가 끊임없이 일어나고 있는데 기업들은 보안에 대해 거의 신경쓰지 않고 있는데서 비롯된 ‘인재’라는 게 그의 주장이다.

특히 우리나라에서만 사용되고 있는 공인인증서도 문제라고 꼬집었다. 공인인증서는 인터넷 익스플로러의 ‘액티브X’ 기반으로 개발돼 있다. 이미 알려진 것처럼 액티브X는 악성코드 유포경로로 해커들의 표적이 되고 있는데, 우리나라는 이처럼 보안에 취약한 액티브X 기반의 공인인증서로 각종 온라인결제를 할 수 있도록 돼 있다. 물론 주민번호 대신 가상 주민번호와 1회용 비밀번호(OTP) 등을 사용하도록 정부는 권고하고 있지만, 대부분의 은행들은 여전히 공인인증서를 보편적으로 활용하도록 방치하고 있다.

그는 인터뷰 내내 ‘국제표준’을 강조했다. “해외의 경우는 암호화인증통신(SSL)과 1회용 비밀번호 생성기(OTP), 문자메시지(SMS) 인증 등 공인인증서가 아닌 다른 방식을 사용하고 있다”고 말하는 그는 “반면 우리나라에서 사용하고 있는 공인인증서 방식은 국제표준이 아닙니다”라고 말했다.

이어 그는 “액티브X는 비표준기술이어서 구글 크롬·애플 사파리같은 웹브라우저 사용자들이 이용할 수 없다”면서 “대부분의 금융권들이 보안에 취약한 인터넷 익스플로러에서만 이용할 수 있는 공인인증서를 발급하고 있어서 해커의 표적이 될 수밖에 없다”고 했다. 스마트폰 등 모바일기기가 확산되고 있기 때문에 더 늦기전에 온라인결제 인증방식을 국제표준화시켜야 한다고 주장하는 그는 개인 사용자들의 보안의식도 개선될 필요가 있다고 주문했다.

“별다른 생각없이 식당이나 술집 같은데서 배터리를 충전한다고 스마트폰을 통째로 맡기는 분들이 간혹 있는데 이건 해킹보다 더 위험합니다. 상대가 나쁜 마음만 먹으면 특정 폴더(NPKI)에 저장된 공인인증서는 물론 스마트폰을 통째로 복사할 수도 있기 때문이죠.”

이외에도 그는 똑같은 비밀번호를 여러 곳에 사용하는 것과 도박사이트 접속도 금기라고 조언했다. 사용자들의 보안의식이 약하면 “모든 게 무용지물”이라는 충고도 덧붙였다.