사이버 인감인 공인인증서를 보다 안전하게 이용하려고 스마트폰 가입자식별모듈(유심)에 저장하려다 오히려 보안 위협에 노출될 수 있다는 문제가 지적됐다. 일부 이통사가 유심에 공인인증서를 넣는 과정에서 발생할 수 있는 취약점은 매우 특수한 상황이라며 서비스에 문제가 없다고 밝혀 논란이 예상된다.
20일 KAIST 정보보호대학원(김용대 교수팀)은 PC에 저장한 공인인증서를 유심으로 옮기는 과정에서 보안 취약점이 발견돼 대책 마련이 시급하다고 밝혔다. KAIST는 관련 취약점을 통신사와 개발사에 알리고 조속한 조치를 촉구했다.
통신 3사는 지난 15일 개인정보유출에 따른 고객정보보호 강화 방안의 일환으로 유심 기반의 공인인증서 서비스 ‘스마트인증’을 시작했다. 공인인증서는 전자금융거래 시 본인 확인을 위해 폭넓게 이용되는 수단인데 탈취사고가 기승을 부리면서 보안성 문제가 끊이지 않았다.
스마트인증은 스마트폰에 넣는 유심칩에 공인인증서를 저장하고 전자서명을 하는 서비스다. 스마트폰 유심과 공인인증서를 일체화해 외부 복제가 힘들어 보안성이 높다.
KAIST 정보보호대학원은 유심에 들어간 공인인증서를 탈취하는 것은 어렵지만 스마트인증 서비스를 이용하는 과정 전반에 보안이 고려되지 않았다고 지적했다. PC에서 유심으로 공인인증서를 옮길 때 스마트폰에서 비밀번호와 비밀키가 암호화되지 않아 그대로 노출되는 취약점을 찾아냈다.
공인인증서를 안전하게 보관하려고 유심에 옮기는 과정이 해커에게 인증서 비밀번호와 비밀키를 그대로 보여주는 과정인 셈이다.
일부 통신사 서비스는 스마트폰 보안 취약점이 스마트인증에 영향을 준다. 스마트폰 드라이브 레이어에서 공인인증서 관련 비밀번호와 비밀키 로그를 그대로 보여준다. 업데이트가 쉬운 애플리케이션과 달리 스마트폰 펌웨어까지 손대야 하는 것으로 알려져 더욱 심각하다.
김용대 KAIST 교수는 “PC에서 스마트폰 유심으로 공인인증서를 가져오는 애플리케이션의 취약점”이라며 “모든 과정이 암호화되지 않은 데서 비롯됐다”고 설명했다. 김 교수는 “유심에 저장된 공인인증서는 PC보다 안전성이 높지만 스마트인증 과정 전반에 보안 취약점을 확인하지 않고 서비스를 한 것이 아쉽다”고 덧붙였다.
이에 대해 통신3사는 서비스에 문제가 없다고 하면서 뒤로는 관련 앱 등에 취약점 패치를 진행했다. 통신3사는 “스마트인증은 유심에서 공인인증서를 빼나가는 것을 방지하는 서비스”라며 “PC에서 스마트폰으로 옮기는 과정에서 나타는 취약점은 특수한 상황에서 일어나는 공격으로 일어나기 희박하다”고 답했다.
김인순기자 insoon@etnews.com
