나무위키에 서술된 공인인증서(16년9월18일)가 어느분이 작성한건지 모르겠지만, 공인인증서가 안전하다고 왜곡을 하는데, 왜 그렇게 서술하였는지 모르겠습니다. 반달(?)을 당했는지도 의심스럽습니다.
https://namu.wiki/w/%EA%B3%B5%EC%9D%B8%EC%9D%B8%EC%A6%9D%EC%84%9C
이제 나무위키에 서술된 공인인증서 내용을 지적하겠습니다.
문제점1. "공인인증서를 비판하면서 흔히 볼 수 있는 '공인인증서는 낡은 암호체계를 이용하는 구닥다리 기술이다' 라는 주장은 사실이 아니다. 한국의 공인인증서가 채용하고 있는 SEED 등의 암호화 알고리즘은 40년 넘게 사용된 PKI에 기반한 공개키 인증 방식인 것은 사실이지만, 40년동안 보안성을 인정받았기에 계속 사용해 온 것이다."
반론:
'공인인증서는 낡은 암호체계를 이용하는 구닥다리 기술이다' 라는 어떤점을 보고 낡은 암호체계를 이용한다는건지, 출처는 어딘지,는 모르겠습니다.
포괄적으로 낡은 부분에 대해서 지적을 하자면, 2009년까지만해도 파이어폭스, 사파리, 오파라등의 웹브라우저는 256비트 암호화를 기본적으로 지원 하고 있었으나 공인인증서는 아직도 128비트를 사용하고 있었습니다.
또한 낡은 점을 지적하다면 공인인증서가 NPKI 혹은 GPKI 라는 폴더에 저장한다는점, 그리고 해당 인증서 기술을 사용하고자 별도로 프로그램을 설치해야 한다는점 등을 둘수가 있습니다.
문제점2. 보안은 편의성과 함께 가지 않는다. 관리만 잘 한다면 공인인증서 방식은 OTP + SSL 방식보다 더 안전하다고 여겨진다. 요약하자면, MITM을 비롯한 각종 멀웨어와 자동화된 해킹위협에 어느 정도 대처가 가능하다는 의미이다. 만약 기업이나 서비스 제공자 측에서 공인인증서와 함께 제공되는 외부 프로그램의 관리를 소홀히 한다면 이런 문제가 발생할 수 있다. 하지만 이런 현상은 인터넷 어디에서나 쉽게 볼 수 있는 현상이다.
반론: 관리를 잘한다면 오히려 OTP+SSL(TLS)이 더 안전합니다. 대부분의 인터넷뱅킹 사고가 클라이언트상에 관리를 못해서 해킹이나 이체 사고가 발생을 하는겁니다. 이때 암호와 사용자 정보나 인증서가 유출되지 말아야 하는데, 공인인증서는 인증서와 패스워드가 유출 되기 쉽습니다. 공인인증서로 사용자 인증시 악성코드나 키로거를 통해 암호가 유출 될 뿐만 아니라, 인증서도 손쉽게 유출이 됩니다. 거기서 끝나지 않고, SSL 암호화가 되지 않아서 통신내용도 도·감청에 노출 됩니다.
반면 OTP는 매번 사용자 인증 할때마다 OTP 암호가 변경됩니다. 관리측면에서도 OTP+SSL(TLS)이 훨씬 편합니다.
국내에서 사고가 나서 법정에서 공인인증서 업체들은 본인들 잘못(보안상 문제점)을 인정하지 않습니다. 관리를 잘 못한 사용자가 잘못이라고 말합니다. 사용자 혹은 고객 잘못이라고 따지면 ID/PW와 페이팔 결제 서비스도 잘못이 아닙니다. 사용자가 잘못입니다.
공인인증서가 OTP에 대해서 안전하다 안전하지 못하다고 하기엔 무리가 있습니다.
현재 국내에서 인터넷 뱅킹시 ID/PW+공인인증서+OTP 사용하고 있는데, ID/PW+공인인증서으로만 인터넷 뱅킹 서비스 하는 금융기관이 없기 때문입니다. 공인인증서가 그렇게 안전하면 OTP하고 초기에 도입했던 보안카드를 추가 인증 할필요가 없습니다.
또한 SSL(TLS)보다 안전하다고 한다면 SSL(TLS) 사용할 필요가 없게 됩니다. 그런데 왜 SSL(TLS)을 사용할까요? 나무위키 접속해보시면 HTTPS로 접속이 되어 있습니다. 나무위키에 SSL(TLS)을 사용하지 말고 공인인증서로 로그인을 해야 합니다.
인터넷 뱅킹시 OTP+SSL(TLS)하고 같이 사용하면서 공인인증서가 OTP+SSL(TLS)보다 안전하다는 것은 모순입니다.
추가 문제점 및 모순 되는 점이 더 있지만, 글이 길어지기 때문에 다음에 추가로 올리겠습니다.
보안이라는 것은 기본전제가 "언젠까는 깨진다/뚫린다."를 놓고... "그 뚫리기 전에 더 뚫기 어려운 방법을 추구하면서 덧대자(업데이트 등)" 는 것인데 말이죠.
당장에 2차대전 당시의 "에니그마" 도 경우의 수가 수조개~ 수천경 이 되어서 수십년동안 못뚫을 것이다. 라고 상정했던 것도 튜링머신 이라는 것을 개발하면서 뚫었던 것으로 보더라도요.
그 에니그마의 경우에도 무작정 손을 놓은 것은 아니기는 하였지만서도...