그냥... 공인인증서를 없애도 되는데...

무슨 신기술인냥...

회사에서도 ActiveX 없애볼라고 도입했다가 구현보다 고객응대 부분이 더 어려웠음.

이미 앱(아이튠즈깔면...), 마켓, 당나귀, 토렌트에서 사용중

흠흠...공인인증서에 국정원이 관계가 있다는 이야길 어디서 일핏 들었습니다...아마도 절떄 없어지지 않을듯...ㄷㄷㄷ

제가 잘 몰라서 그러는데 공인인증서를 사용하면 귀찮다는거 말고 다른 피해라도 있는건가요?

일단 익스플로러"만" 사용가능한 공공기관 홈피부터 개혁해야죠...

한국의 "공인인증서"의 문제점 중 가장 큰 것이, "인증서"자체를 사용하기 위해서는 특정업체가 만든 프로그램상에서만 사용할 수 밖에 없다는 점입니다. ("인증서" 자체의 무용론은 저도 반대입니다)

그럼 이게 왜 생겼을까요? 많은 분들이 아시다시피, 90년대 웹브라우저나 OS에서는 미국의 암호화 기술 수출금지 정책에 따라 128비트 암호화 기술을 사용할 수 없었죠. 그래서 어쩔 수 없이 국내 업체들이 개발한 128비트 암호화프로그램에 기반한 규격을 국가표준으로 설정했죠. 그런데, 상황이 바뀌어 2000년대 들어오며 모든 웹브라우저나 OS에 보안토큰/PKCS#11을 기반으로한 국제적 표준 암호화/인증서 기능이 기본 내장되기 시작하죠. 안드로이드/iOS/WM들도 물론 내장하고 있습니다. 즉 아무런 외부 프로그램을 설치하지 않아도 암호화나 인증서를 사용할 수 있게 된지 벌써 10여년이 흘렀음에도, 아직도 10여년전의 비표준(국제적으로 비표준 국내에서만 표준)적인 방식을 고집하고 있다는 점이 문제라는 것입니다.

그렇다면 실질적으로 무엇이 문제일까요? 

첫째, 뱅킹이나 금융거래할 때 불편합니다.(다들 충분히 아실껍니다)

둘째, 오히려 보안적으로 취약할 가능성 혹은 취약합니다. 여기 오시는 분들쯤이면 공인인증서 카피하는 방법 대부분 아실껍니다. 저장하는 위치가 정해져 있어서 그냥 USB등에 복사하면 복사가 됩니다. XecurOOeb 이런 보안프로그램에서 인증서 복사하면 인증서의 비밀번호를 확인하고 카피하는게 다 눈속임이라는 것입니다. 누가 우리집 컴퓨터나 내 안드로이드폰 잠깐 빌려쓰면 10초안에 그냥 인증서 복사 해갈 수 있습니다.;; 그리고 우리나라의 방식을 국제표준(루트인증기관)으로 신청하려는 시도도 있는데, 인정 못받고 있습니다. 공개된 기술에 대한 상세가 없고 문서화 및 투명성이 없다는 것이 이유입니다. 예전에는 안전했을지 모르겠지만, 전세계에서 수많은 개발자/해커들에게 검증된 표준방식과, 20년동안 서너개업체가 정부의 후원아래 그대로 유지된 방식에서 어느게 더 신뢰가 가시나요?

세째, 국제적 비표준이기 때문에 산업 발전을 저해 하며, 결국 세금 낭비입니다.

그 폐쇄적인 방식을 유지하고 몇몇개 업체 관리하느라 드는 돈,  IE새버전 나올때마나 난리법석 떠는 비용 등등, 이 모든게 결국엔 생산력 저하이며 국민 주머니에서 나오고 있는 셈이 되겠죠. (사실 요즘 사용하는 OS의 라이센스비용에는 분명 보안/인증서 시스템에 대한 가격도 포함되어 있을텐데, 이를 사용하지 않고 다른 SW를 설치해 사용하니 결국 이중지출인셈이죠.)

결론적으로, ActiveX도 비표준/보안성의 문제가 크고, 그 ActiveX를 이용하여 설치/기동하는 공인인증서 관련 프로그램들도 함께 문제입니다. 계속 미봉책만 양산 해내고 USIM에 공인인증서를 넣는다는 해괴한 방식이나 생각해 내고.... 매체만 하드디스크 => USB => USIM으로 바뀔 뿐이지 근본적으로 똑같죠, (USIM마저 도난 당하는 일이 많아지면 몸속에 공인인증서 칩을 집어넣자고 할 기세군요)

위의 기술역시 자세한 기술사양을 확인 안해 봤지만, "URL Protocol 방식"이면 ActiveX와 큰차이 없습니다. ActiveX가 처음 설치시 IE에서 자동으로 다운로드시켜서 설치해주는 기능만 빼고는 특정프로그램을 설치해 사용한다는 점에서 ActiveX와 차이는 없을것 같습니다. 즉 공인인증서 프로그램은 그대로 유지하며 단지 웹브라우저에서의 기동방식만 바꾼것 뿐이며, 저것을 사용하게 된다면 브라우저 기동 이전에 보안관련 프로그램을 다운받아 설치해 두어야 할껍니다.(신기술인양 홍보중인것 같습니다만, 4~5년전부터 일부 온라인게임 사이트 등에서 웹브라우저로부터의 게임기동등에 사용해왔습니다) 결국 저것도 언발에 오줌누기식으로 보입니다.

그냥, 표준인증서 방식을 채택하여, 지금 쓰는 모든 브라우저/OS에서 제공하는 멀쩡하고 훌륭한 인증서보관소에 저장하여 쓰면됩니다. OS가 제공하는 가장 최고수준의 보안성을 보장해주고, 한 컴퓨터를 여러명이 쓰더라도 해당 계정이외에는 접근도 못하고 참 좋죠. 국제 표준이니 산업적 효과도 클것이고요..

긴~ 글 죄송합니다. 최근 몇몇 업체가 모바일용 인증서 프로그램들을 내어 놓는것을 보고, 모바일쪽도 지난 십수년의 PC악몽이 재현되나 싶어서 걱정인 맘에 길어졌습니다. (조금 아는 부분과 오픈웹등 여기저기서 귀동냥한 내용들을 짜집기 했습니다 ^^)

// daemon님 고맙습니다. 님처럼 논리적으로 댓글 달아보려다 전에 읽었던 자료 찾기가 힘들어 고민했었는데^^;

조금더 첨언하자면 일부 몇몇 업체들의 독과점을 허락해주는 구조가 법제화되어 있다는 겁니다. 

전자상거래법등에 보면 암화화 단계와 방법에 관련해서 명시를 해놓고 

전자상거래에 필요한 최소 조건들이 명시되어 있는데 

다소 모호한 부분도 있습니다. 

이런 미묘한 부분에 대한 유권해석을 내린 기관이 금융결제원인데요. 

금융결제원의 그 유권해석때문에 우리나라에서는 공인인증서를 사용하게 되면 사업자는 

전자상거래에서 거의 모든 책임을 소비자에게 돌릴 수 있습니다. 

때문에 많은 은행, 증권사, 쇼핑몰들이 욕을 얻어 먹으면서도 공인인증서를 쓸 수밖에 없고

또 쓰는 겁니다. 

법적인 문제가 해결됨과 동시에 거래상에서 발생할 수 있는 모든 책임은 소비자가 지니까요.