[보도] 박소영 의장 "인터넷 인증서 지원 중단, 지속적 보안패치 적용 필요"

박 의장은 이날 서울 여의도 전경련회관 컨퍼런스센터 다이아몬드홀(3F)에서 미디어펜, 자유경제원, 한국핀테크포험 공동주최로 열린 '금융개혁 도전과 기회, 인터넷 전문은행의 성공 과제'라는 주제의 2016 크리에이티브 비전 포럼에서 국내 인터넷뱅킹의 보안에 대해 "국제적으로 TLS 1.0 프로토콜과 SHA1 해시 알고리즘을 사용하지 않도록 권고하고 있다"고 거론했다.

국내 인터넷뱅킹 서비스를 하고 있는 금융회사들은 서버 EV SSL 인증서 알고리즘에서 SHA-1을 쓰고 있다. 이는 보안성이 떨어질 뿐더러 당장 올해 하반기부터 사용하지 못한다.

구글 크롬은 이미 적용하고 있으며 마이크로스포트(MS)는 올해 6월부터 SHA-1을 지원하지 않겠다고 발표한 바 있다 .

SHA-1(Secure Hash Algorithm)은 미국 국가안보국(NSA)가 1993년 처음 설계했으며 미국 표준이다. 해시 알고리즘의 일종으로 SHA에서 변형된 SHA-1 함수가 현재의 TLS, SSL, SSH 등과 같은 보안 프로토콜 암호화에 사용되고 있다.

해시 알고리즘은 원본 데이터를 특정 법칙으로 데이터를 짧게 변형시키게 된다. 해시된 데이터는 역산하기 어렵다. 흔히 쓰이는 SSL/TSL 방식을 보면 서버 인증서의 서명 키와 개인 키를 각각 암호화하고 통신할 때마다 이를 맞춰보는 형태로 쓸수 있다.

SHA-1인증서 서명키와 개인키의 해시값이 동일하기 때문에 인증서 서명키와 개인키를 입수한 경우 원본 데이터를 모르더라도 인증서 서명키의 해시 값을 위조해 개인키의 원본 데이터를 훔칠 수 있다. 이에 암호해독 국제 전문가팀은 지난해 10월 SHA1의 폐기 시기를 현재의 계획보다 앞당길 필요가 있다고 권고했다.

이에 구글, MS, 모질라 등이 앞당겨 적용하고 있는 추세다.

박 의장은 "Window XP 환경이 크게 영향받는데 이에 대한 대책이 필요하다"면서 "보안패치가 지속적으로 업데이트 되는 운영체계를 사용해야 한다"고 설명했다.

한편 그는 금융당국에게 "완벽한 보안마련 때문에 핀테크 업체들과 은행간의 융합을 미뤄서는 안된다"라며 "다양한 핀테크 기업들이 온라인에서 활발하게 활동하는 시대를 맞이할 준비가 필요하다"고 당부했다.