전자서명법, 전자금융거래법개정안 - 인증제도및보안기술규제의선진화, 글로벌화전략 - 2013.5.23 김기창 ( 고려대학교법학전문대학원교수 ) 1. 정부주도 보안의문제점 1 공인인증서 1-1. 권한구분 개념이없던시절에개발된낡은기술 현행공인인증서기술은윈도우운영체제가일반유저 / 관리자권한구분을하지아니하던미개한시절 ( 윈도우 2000 이전 ) 의보안상황을전제로설계됨. 유저인증서 ( 공인인증서 ) 를운영체제의시스템파일폴더에저장하는문제 윈도우비스타부터는심지어 ActiveX 도 non-admin 권한 ( 제한된권한 ) 으로설치, 실행할수있도록개선되었으나, 국내보안인력은이런사실을이해못하고여전히관리자권한을전제로공인인증서기술을구현하고있는후진적상황 1-2. Keystore, Keychain, Keyring, Credentials Storage 개념에대한몰이해 NPKI 폴더 에유저인증서와유저개인키를저장하는공인인증서기술은개인인증서사용을위하여애초에주요 OS 에구현되어있는 Keystore, Keychain, Keyring, Credentials Storage 라는기술의존재자체를몰랐거나, 이들의기능이나존재이유를제대로이해하지못한시점에개발된후진적기술이었음. 아이폰도입후에비로소 ( 아이폰에한하여 ) Keychain 사용. NPKI 폴더에저장된유저개인키는무단복제가무한정가능함. 그러나이사실을모르는컴맹이용자를상대로하여 암호입력 이나 16 자리또는 8 자리숫자의 인증코드입력 을요구함으로써, 이취약점을기만적으로가려덮으려함. 1-3. 플러그인에의존하는해법 유저행태를 위험하도록 유도 : 설치하시겠습니까? 예 1
추가적 보안플러그인 설치를거듭강요함으로써, 유저행태를더욱위험하게유도 하지만, 추가적보안플러그인은실제로는실효성이없음 : 심리적안심 을주려는보안쇼 (security theatre) 에불과함. 파일 + 고정암호 의유출을보안플러그인 설치 로막을수는없음 1-4. 서버 인증개념부존재 공인인증서는 HTTP 접속 + 플러그인 형태로구현되는것. 따라서유저가플러그인을내려받을때 ( 서버 identity 확인이가장필요한순간 ) 에는어떠한서버인증수단도없음. 공인인증서기술은오로지 유저 인증용도로개발된것이라는근본적한계가있음. KISA 와국내공인인증기관들은아직도 서버 인증서를제대로만들지못함. 오페라웹브라우저로국내공인인증기관이발급한서버인증서를장착한웹서버에접속을시도하면, 접속오류발생. ex. https://www.kisa.or.kr (7 년이지난오늘도해결못하고있음 ) 공인인증기술과는달리, 웹브라우저에기본탑재된 유저인증 HTTPS 프로토콜접속 기술은서버인증과유저인증을 동시에 수행함. 예제, https://openweb.or.kr/cert/auth 1-5. 루트인증기관에대한독립적, 전문적, 정기적검증 ( 실사 ) 결여 공인인증체계의논리적, 제도적정점에위치한루트인증기관 (KISA) 는누구로부터도검증받지아니함. 루트인증기관의신뢰성확보가전세계적으로어떻게이루어지는지이해하지못한시점에도입된인증체제가바로한국의공인인증체계임. 국제적으로고립된인증체계 국가간 상호인정협정 을거론하는법제 27 조의 2 는전세계적으로구축된루트인증기관의신뢰성확보메카니즘 ( 제 3 자검증 ) 에대한몰이해를노출할뿐. 루트인증기관이한국처럼제 3 자에의하여검증받지아니하는경우, 그를정점으로구축된인증체계를믿을이유는없음. 실제로지금까지한국은어떤나라와도상호인정협정을체결하는데성공한바없음. 2
인증제도의근본기초인 신뢰성확보메커니즘 자체에대한무지를노출할뿐. 권위주의 에입각한공인인증제도 : 아무도검증안하는 KISA 를정점으로구축된공인인증체제를무작정믿으라고국민에게강요하는정부의요구는상식을벗어난것. 2. 정부주도 보안의문제점 2 규정보안끊임없이변하는기술적디테일을 행정규칙 의형태로 정부 가제정, 운용하는것이과연적절한지? 2-1. 금융위원회고시 전자금융감독규정제 3 장은매우상세한보안기술적디테일을규정화하고있음 (ex. 손전등비치의무등 ). 2-2. 행정안전부 고시 ( 아직미래부로변경되지도않음 ) 공인인증기관의시설및장비등에관한규정은 RSA 또는 KCDSA 1024 비트이상의전자서명키생성기능 등낡은기준을그대로방치 공인인증기관의보호조치에관한규정은 시스템에대한논리적인접근통제를설정할것 등공무원이검사할역량도없는내용 3. 정부주도 보안의문제점 3 점검부실, 부재 기술적디테일을담은 규정 이과연실제로준수되는지여부를누가검사 / 검증 / 실사하는지? 규정상 으로는전자금융감독규정의준수여부는금감원이검사. 보안성심의 는일회성검사. 하지만실제로금감원직원이검사를수행할전문성이있는지? 감독규정의나머지부분은과연언제, 얼마나자주금감원이검사하는지? ( 대형사고발생하면 특별검사 를실시, 하지만과연실효성있는지?) 공인인증기관에대한정기점검은 KISA 가수행. 그러나, KISA 에대한검증은누가하나? Nobody. 미래부직원이과연 KISA 를검증할역량이있는지? 검증수행기관을미래부나금융위가평가하고판단하여 지정 할역량이있나? 3
4. 관치보안, 규정보안 의참담한결과 북한이그랬어요ㅠㅠ... 악성코드배포웹서버 비율 세계최고 개인 PC 감염비율세계정상급 면피용보안 : 우리는규정이하라는것은모두했다. 따라서면책되어야한다 는주장제기가능성만을제공할뿐. 최소 요건을행정규정화하고위반시제재규정을둘경우 : 규정된이상은하지아니하는결과로되어원래의도와는달리 최소 규정이사실상 최대 조치내용으로둔갑. 규정을충족하였다고주장하며 면책 될가능성이생기기때문에, 자발적 으로보안에투자할인센티브는감소. 이문제를극복해보겠다고 억지투자를강요 하는규정을또다시도입 ( 전자금융감독규정제 8 조, 인력, 조직및예산에관한규정 ; 위헌소지있음 ) 이러한악순환은결국소비자피해로귀결 5. 보안기술발전, 보안감사서비스산업토대마련필요 5-1. 금융보안및인증업무수행 기준 을마련하고관리할역량 민간업계 / 전문기술단체가자율적으로제정하고, 관리 ( 업데이트 ) 하는금융보안및인증업무수행기준이생겨나도록권장, 지원할필요있음. 국제적으로인정받는다음기준들은모두 전문기술단체 가자체적으로마련하고관리하는것임. 어느나라의행정조직도여기에개입하지는않음 : PCI DSS (Payment Card Industry Data Security Standards) ( 금융보안기준 ) WebTrust Program for Certification Authorities ( 인증업무수행기준 ) Public key infrastructure for financial services Practices and policy framework ( 인증업부수행에관한 ISO 기준 ) Electronic Signatures and Infrastructures (ESI) Policy requirements for certification 4
authorities (ETSI) 유럽연합통신표준기구가제정한인증업무수행기준 한국의전문기술단체도이제는그역량을개발, 향상할시점에도달했다고봄. 국제적으로인정받는이러한기준을연구, 참고하여우리도이들에버금가는기준을마련하고자체적으로관리할역량을길러나가야할것임. 전문적기술기준을 정부 나 행정규정 에일임하는태도를계속한다면, 국내의전문기술집단은영원히후진성을면할수없고, 세계수준의기술역량을기를기회는박탈될것임. 5-2. 민간전문업체가수행하는보안감사서비스시장활성화필요 위에소개한 기준 을제정하고관리하는 전문기술단체 들은, 금융회사나인증기관이그기준을과연준수하는지를점검할전문점검 ( 보안감사 ) 업체에대한품질관리도자율적으로수행하고있음. Licensed WebTrust Practitioners : International SysTrust Seal WebTrust Seal PCI Qualified Security Assessors (QSAs) 국내의 전문기술단체 들도이제는이처럼 보안감사업체의품질관리 를수행할수있는역량을자체적으로기르도록노력해나가야할때가되었다고봄. 보안점검 ( 금융보안기준이나인증업무수행기준을금융회사나인증업체가과연준수하는지여부에대한점검 ) 을정부, 행정부서가하겠다고나설경우, 민간의전문보안감사서비스업체가등장할수가없고, 활발히영업할수도없고, 민간보안감사업체의품질관리를국내의 전문기술단체 들이할역량을기를기회도원천박탈됨. 현재의공인인증체제와전자금융감독체제는금융보안이나인증서비스보안점검을 KISA/ 금감원 / 미래부가 독점 하겠다는것이지만, 다음과같은심각한문제가있음 KISA 자체는아무도검증안함 금감원 / 미래부는보안점검을수행할역량자체가없음. 5
6. 한국의공인인증제도에대한국제적평판 I am well aware of the South Korea screw up. We use it as an example of how not to do it. - Mr Andy Smith (BCS The Chartered Institute for IT) 2013.4.23. Mr Andy Smith 는영국정부의국무회의 (Cabinet Office) 가채택한아래백서의집필자임 PKI Implementation Strategy, v. 1.0 (2013.2.28) Public Key Infrastructure, v. 1.0 (2011.7.28) 7. 전자금융거래법개정안 제 21 조제 3 항을다음과같이개정 : 금융위원회는전항의기준을정함에있어서보안기술과인증기술의공정한경쟁을저해하거나, 특정기술또는서비스의사용을강제하여서는아니된다. 이를계기로, 전자금융감독규정의전면재검토역시필요함 : 감독규정은근본원칙만을제정 (BCBS 전자금융위험관리원칙참조 ) 상세한보안감사기준은업계 / 전문기술단체가제정하고, 상시관리 ( 업데이트 ) 하는것이옳음. 보안점검은전문보안감사업체 (security auditor) 가정기적으로실시하고, 보안감사보고서를공개. 보안감사업체는자신의전문성을소명하고금융위에등록하고영업 금융회사는자신이어느업체로부터보안감사를받는지를공지하고, 보안감사보고서도투명하게공개하여야함. 8. 전자서명법개정법률안 공인 제도폐지 일방적 전자서명강요중단 : 합의에기한전자서명사용 ( 한미 FTA 참조 ) 전자서명의 추정력 규정삭제 ( 법관의자유심증존중 ) 루트인증기관에대한제 3 자검증제도도입 ( 인증서비스에대한 Governance, safety assurance 6
의문제 ). 미래부는인증업무수행기준의핵심원칙과최소한의가치만을제정, 공지 구체적인인증업무수행기준자체는업계 / 전문기술단체가독자적, 자율적으로작성하고, 상시관리 ( 업데이트 ) 국제적으로인정받는인증업무수행기준은이를국내에서도존중하고반영해야함. 인증업무수행기준준수여부는전문보안감사업체가상시적 ( 정기적 ) 으로점검 ( 실사 ) 전문보안감사 ( 인증업무감사 ) 업체는자신의전문성을소명하고미래부에등록하고영업 보안감사업체들의품질관리는업계 / 전문기술단체가자율적인 License, 감사서비스품질관리제도를운영함으로써확보 국제적으로인정받는보안감사업체의전문성과신뢰성은국내에서도이를존중 9. 행정권력의사전통제 v 업계의자율규제 + 사법부에의한사후통제 정부의사전지정, 사전인가의폐해 예들들어, 정보보호사전점검에관한고시 ( 방통위고시 ) 를보면, 사전점검수행기관 ( 보안감사서비스업체 ) 를정부 ( 방통위 ) 가지정하도록규정하고있으나 ( 제 6 조 ), 이러한제도는보안감사서비스시장에대한 진입장벽 으로작용할뿐아니라, 방통위직원이전문보안감사업체의역량과전문성을실제로 평가 할역량은없음. 정부는보안감사업체의품질관리를수행하는데필요한전문성이없음. 그럼에도정부가보안감사업체를 지정 하려할경우, 민간 / 업계의역량, 기술, 전문성발달의기초가아예박탈됨. 민간자율, 진입장벽제거, 자유경쟁확보필요 업계 / 전문기술집단의 평판 에기초한사전적품질관리가이루어질것 수검기관 / 금융회사의 self interest 가작동함을이해할필요있음 : 무료 검사가아니라, 비싼돈을지불하고 유료검증 을받는금융회사등이, 허술한검증서비스를일부러묵인할이유는없음. 7
충분한, 적절한, 합리적인 등에대한판단은 ( 사후적 ) 재판절차를통하여판정. 10. 전자금융사고거래에대한책임 ( 개인고객의경우 ) 한국 : 금융회사가배상 ( 전자금융거래법제 9 조 ) 개인고객의고의, 중과실을금융회사가입증하면고객부담 미국 : 금융회사가배상 (EFTA; 15 U.S.C. 1693g(a)) 접근매체유출 / 분실을고객이 알고나서이틀내에신고하면 그사이에아무리많이사고거래가이루어졌더라도 50 달러만고객부담 신용카드번호 를공격자가알아내서거래한경우, 고객이해당거래사실을통보받은날 ( 거래명세서를배달받은날 ) 로부터 60 일내에이의제기하면, 고객부담은 0. 문제의거래내역을통지받고 60 일이지나도록고객이문제제기를안하면, 고객부담액증가. 영국 : 금융회사가배상 (Financial Conduct Authority 규정 ) Your bank may only refuse a refund for an unauthorised transaction if it can prove you are at fault because you acted fraudulently, or because you deliberately, or with gross negligence, failed to protect the details of your card, PIN or password in a way that allowed the transaction. 규제당국의올바른자세는, 금융회사들, 당신들이알아서보안기술을선택하라. 단, 사고가나면철저히물어줘야한다 는것임. 규제당국이금융회사에게특정보안기술 ( 공인인증서 ) 을사용하도록강제할거면, 사고거래책임도그기술사용을강요한금융위 / 금감원해당공무원이지는것이옳을것임. 배상책임도지지않을규제당국이금융회사의인증 / 보안기술선택에개입해서이래라저래라강요하는것은무책임하고, 위법한것임 ( 특정업계와의결탁의혹을사게됨 ). 8
전자금융감독규정제 3 장 ( 현행감독규정제 7 조 - 제 41 조 ) 의개정방향 [ 예시 ] [ 금융위원회고시 ] 제 3 장전자금융거래의안전성확보및이용자보호 제 1 절규제자의임무 제 7 조 ( 금융소비자보호 ) 금융위원회와금융감독원은전자금융서비스가기술발전을반영한합리적방법으로안전하게제공되고, 전자금융거래와관련된분쟁이신속하고정당하게해결되도록하여금융소비자가적절히보호되는데필요한감독을수행한다. 제 8 조 ( 금융회사등의책임성확보 ) 금융위원회와금융감독원은금융회사등이우월적지위를남용하거나법령이정한책임을부당하게소비자또는다른사업자에게전가하거나회피하지않도록하는데필요한감독을수행한다. 제 9 조 ( 기술및서비스의자유로운경쟁과발전 ) 금융위원회와금융감독원은전자금융거래서비스제공에사용되는거래기술, 보안기술및보안감사서비스가활발하고공정하게경쟁하고발전할수있는시장환경이손상되지않도록감독을수행한다. 제 10 조 ( 규제의투명성및형평성 ) 금융위원회와금융감독원은전자금융거래서비스와관련된정보가적절한수준에서투명하게공개되고규제의형평성이유지되도록한다. 제 2 절금융회사최고경영진의책임 제 11 조 ( 관리감독체계의확립 ) 금융회사등의이사진과최고경영진은전자금융사업에관한위험을관리하고책임소재를분명히하는데필요한관리감독체계를자체적으로확립하여야한다. 제 12 조 ( 일괄위임의금지 ) 금융회사등의이사진과최고경영진은자신의전자금융사업에적용되는보안통제절차의핵심적사항을직접검토하고승인한다. 제 13 조 ( 외주계약관계등의점검과관리 ) 금융회사등의이사진과최고경영진은자신의전자금융사업이외주계약관계등제 3 자에게의존하는부분에대하여적절히점검하고관리하는데필요한상시적체계를수립한다. 제 14 조 ( 직원의훈련및교육 ) 금융회사등의이사진과최고경영진은전자금융사업에수반되는위험을관리하는데필요한인력을충분히확보하고그들에대한상시적이고정기적인훈련및교육프로그램을마련한다. 1
제 3 절보안통제조치 제 15 조 ( 적절한인증기술의채택 ) 금융회사등은거래의성격과해당거래에수반하는위험의수준을고려하여업계의기술수준을반영한합리적인당사자인증기술을채택하여야한다. 제 16 조 ( 분쟁예방및대처 ) 금융회사등은거래내용을고객이분명히이해할수있도록유저인터페이스를설계하고, 거래의주체와거래의내역을신뢰성있는방법으로확인하고, 거래데이터가변조되지않도록하며, 변조여부를판별하는데필요한합리적조치를채택함으로써전자금융거래와관련된분쟁을예방하고, 분쟁에대처하여야한다. 제 17 조 ( 업무권한의분할 ) 금융회사등은전자금융거래시스템, 데이타베이스, 프로그램의운용에있어서각직원의임무가적절히분리, 분할되도록하는데필요한조치를취함으로써자신의전자금융업무가직원들간에상호검증될수있도록해야한다. 제 18 조 ( 접근, 출입권한의통제 ) 금융회사등은전자금융거래시스템, 데이타베이스, 프로그램에대한접근권한및출입권한통제가적절히이루어지도록함으로써각직원이자기권한을스스로변경할수없도록하며, 업무권한의분리, 분할을통한상호검증체계가우회되지않도록해야한다. 제 19 조 ( 거래기록등의보호 ) 금융회사등은전자금융거래내역, 거래기록등의정보가변경되지않고보존될수있도록하는데필요한조치를마련하여야한다. 제 20 조 ( 검사이력및증거확보 ) 금융회사등은고객의모든전자금융거래에대하여감사 / 검사이력 (audit trails) 이남도록하고, 법원에제출될수있는증거자료를평소에확보하고, 증거자료가사후에변조되지않도록하는데필요한적절한조치들을상시로취해야한다. 제 21 조 ( 고객의비밀보호 ) 금융회사등은전자금융거래내역의비밀성을유지하는데필요한적절한조치를마련하여야한다. 제 4 절법적책임및평판에관한사항 제 22 조 ( 고객에게제공되어야할정보 ) 금융회사등은고객이거래할지여부를제대로판단하는데 필요한정보 ( 명칭, 규제상황등 ) 를적절히제공하여야한다. 제 23 조 ( 개인정보보호 ) 금융회사등은고객의개인정보를법령에따라준수하여야한다. 제 24 조 ( 사업지속에필요한대비책 ) 금융회사등은전자금융서비스가상시제공될수있도록사업 규모, 사업지속및비상대책에관한사전기획절차를마련하여야한다. 2
제 25 조 ( 재난회복및사고대응책 ) 금융회사등은전자금융서비스에대한내부자의공격이나외부자의공격등불의의사태를관리하고피해를최소화하는데필요한사고대응책을적절히개발하여시행한다. 제 26 조 ( 사고보고및분쟁절차모니터링 ) 금융감독원은전자금융사고거래의내용과규모를정확히파악하고, 공평하고신속한분쟁해결을위하여다음조치를취한다 : 1. 전자금융서비스와관련된소비자의불만, 이의, 환불신청등을통합적으로접수할수있는페이지 ( 금융소비자보호페이지 ) 를금융감독원이관리하고, 각금융회사는이페이지의링크를자신의홈페이지에게시한다. 2. 금융감독원은금융소비자보호페이지를통하여접수된소비자의불만, 이의, 환불신청을해당금융회사등에이첩하고, 분쟁해결과정을모니터링한다. 3. 금융감독원은각금융회사별사고거래의내용과규모를신뢰성있는방법으로파악하여보안기술의연구개발및서비스품질향상에필요한한도에서적절한수준과방법으로공표한다. 제 5 절보안감사서비스 제 27 조 ( 정기적, 전문적, 독립적보안감사 ) 1 금융회사등은다음중하나의보안점검기준에따른보안감사를수행할전문성과독립성이있는보안감사업체와계약을체결하고보안감사를년 1 회이상받아야한다. 1. PCI DSS 등국제적으로인정받는금융거래보안기준 2. 금융감독원이공표하는별지의보안기준 ( 금융감독원데이터보안기준 ; Korea Financial Supervisory Service Data Security Standards)( 이하, FSS DSS 라함 ) 2 금융감독원은 FSS DSS 의지속적인업데이트및국제화작업, FSS DSS 기준에따른보안감사서비스제공자의자격요건및품질관리에필요한업무를지원한다. 제 28 조 ( 신규솔루션에대한제 3 자검증 ) 1 금융회사등이전자금융거래솔루션을신규로채용할경우에는독립적이고전문적인보안감사업체의검증을받고, 그검증보고서를해당서비스개시후 6 개월이내에금융감독원에제출하여야한다. 2 전항의검증보고서는해당금융회사의웹사이트에도공지하여야한다. 3
인증업무수행기준등에관한고시 [ 예시 ] [ 미래창조과학부고시 ] 제 1 조 ( 인증업무수행기준 ) 전자서명법제 4 조제 1 항및제 2 항에따른인증업무수행기준은다음각 호의하나로한다. 1. WebTrust "Principles and Criteria for Certification Authorities 2.0" 2. WebTrust "Principles and Criteria for Certification Authorities - Extended Validation Audit Criteria 1.4" 3. ISO 21188:2006 Public key infrastructure for financial services -- Practices and policy framework 4. ETSI TS 101 456 V1.4.3 5. ETSI TS 102 042 V2.3.1 6. 미래창조과학부장관은위기준들과대등하다고인정하는기준을추가할수있다 제 2 조 ( 점검업무수행자의전문성, 독립성 ) 1 전자서명법제 4 조제 1 항의인증기관은인증업무수행기준준수여부를다음요건중하나를충족하는제 3 자로부터연 1 회이상점검받아야한다. 1. 제 1 조의각인증업무수행기준을제정, 관리하는주체로부터해당기준준수여부를검사할전문성과독립성이있음을인정받은자 2. 제 1 조의인증업무수행기준준수여부를검사할전문성과독립성이있다는사실을소명하고미래창조과학부장관에게신고한자. 2 제 1 항제 2 호의점검업무수행자의전문성은다음요건을기준으로판단한다. 1. 공개키기반구조및관련기술기준등인증업무의기술적내용에대한지식이있는지여부 2. 보안감사, 보안평가, 위험분석등의작업을수행한경험이있는지여부 3. 정직성과객관성을유지할수있는지여부 3 제 1 항제 2 호의점검업무수행자의독립성은다음요건을기준으로판단한다. 1. 해당점검업무의정당한대가외에인증기관으로부터급여, 자문료기타명목여하를막론한금전을지급받는지여부 2. 만일전항의금전을지급받을경우, 그성격과액수가공시되는지여부 3. 법령이나자신이소속된직업단체의자치규약에따라, 정직하고객관적인평가를하여야할의무를부담하는자인지여부제 3 조 ( 개인정보보호법준수 ) 전자서명법제 4 조의 1 항에따른인증기관은개인정보보호법준수여부에대한변호사의검토의견을자신의웹사이트에공지하여야하며, 이검토의견은연 1 회이상갱신되어야한다. 제 4 조 ( 배상책임재원의확보 ) 전자서명법제 4 조제 1 항에따른인증기관의자산액이 10 억원미만일경우, 최소 10 억원이상의배상책임보험을가입하여야한다.