공인인증서, ISP 인증서, 굳이 PC에 저장할 필요가 있을까?

살다보면 정말 거지같은 때가 있다. 인류가 달을 오고가는 세상에 오히려 세상사가 뒤로 후퇴하고 있는거 아닐까 느낄때 말이다. 요컨데 은행에 온라인이라는게 없었을때, 구좌에 넣어둔 돈을 찾기 위해선 이유와 사정을 불문하고 자신의 구좌가 있는 지점에 가서 원장을 대조하고 찾아야 했다. 의료보험도 마찬가지로, 국민건강보험공사로 재편되어 전산화가 된 90년대 말 이전에는 자신이 가입한 지역 이외에서는 보험치료받기도 힘들었고, 보험증이 없어서 보험진료 못받는 것도 당연한 일이었다.

살다보면 가끔 너무 단순한 일인데도 놓치곤한다. 그럴때마다 사람은 변명삼아 바쁘다보니라고 한다. 그런 잡무중 하나가 아마 ‘공인 인증 연장’ 일것이다. 이놈의 공인 인증서를 1년에 한번 연장하는걸 까먹거나 싶으면 기존의 인증서는 무효화되고 재발급 받더라도 모든 다른 거래하던 기관에도 새로이 인증서를 등록해야한다.

도대체 본인 확인과 부정방지를 목적으로 하는 인증서가 바뀔때마다 새로이 등록을 해야하는 까닭은 모르겠지만, 솔직히 더 궁금한건 이 인증서를 왜 PC나  이동식 매체에 저장할 필요가 있을까? 전산상에 내 돈이 있다는 사실만으로 나는 서울에서 계좌를 열고 LA나 런던에서 돈을 찾을 수 있다. 똑같은 식으로 내 인증서도 인증기관(Certification Authority)에 저장해 두고 나는 ID와 비밀번호를 입력하면 되지 않겠는가?

참고로 내 친구 준영이가 뉴욕과 도쿄에 출타간 한달여간 내 랩탑 하나를 빌려드렸더니 여기에 신용카드(ISP)인증서가 그대로 있더라. 조용히 삭제했지만 만약 내가 암호를 알고 있고, 악의가 있으며 새로이 발급되지 않았다면 그것만으로 카드번호도 모르는 잘 알지도 못하는 사람의 카드로 결제할수 있다. 은행에서도 많이 겪나보더라. 신한은행의 인터넷 뱅킹 프로그램을 종료할때 인증서를 공공장소의 하드에 저장한경우에는 반드시 삭제하라고. 이처럼 고객의 컴퓨터에 저장하는 방식은 절대 안전할 수 없다. 게다가 그 인증서라는것도 결국 위치만 알면 누구나 쉽게 복사할 수 있는 물건이다.

ISP(Internet Secure Payment)가 되면 짜증은 배가된다. 앞서 말했듯이, 만일 늘 쓰던 컴퓨터로 쓸때는 간단하다 카드 번호를 몰라도 되고 유효기간을 몰라도 되고 심지어 카드 비밀번호를 몰라도 상관없다. ISP비밀번호와 ISP 인증서만 있으면 OK. 덕분에 나는 수백km 떨어져 있는 아버지의 카드로 아무렇지 않게 결제할 수 있었다. 뭐 그거야 ‘해라’ 해서 한것이지만, 만일 카드를 잠시만 손에 얻을 수 있다면 얼마든지 악용이 가능하다.

만약 인증서 파일을 PC가 아니라 인증기관이나 카드사 사이트에 넣고 승인 결과를 전달하는 식으로 일을 처리한다면 그나마 좀  덜 짜증나고 덜 복잡하지 않겠는가 이런 생각이 든다. 기야말로 네트워크 때문에 언제어디서나 할 수 있는 은행거래를 인증서때문에 할 수 없는것은 좀 이치가 아닌것같다. 남으면 남아도 문제, 없으면 없어도 문제. 그게 현행 인증서의 문제 아닌가?

덧붙임. 결국 생각해보니 은행이나 신용카드사에서는 휴대폰을 이용한 공인인증서를 제공한다고 한다. 즉, 저장매체를 휴대폰으로 지정하고 지정된 번호로 발송된 SMS를 입력하면 공인인증서를 자동으로 다운로드받는다라는건데. 이 서비스는 유료이기도 하거니와 불편하다. 그냥 제도 자체를 바꿔버리면 어떨까…


Posted

in

by