NPKI Digital Certificate and the Security of Electronic Financial Transactions
모든 전자금융거래에 반드시 공인인증서를 사용하도록 규정된 현행 전자금융 감독규정은 보안기술의 경쟁과 개발을 저해하는 측면이 있으며, 인증서 기술이 제공하는 보안 효능에 대한 과장된 기대에 근거하고 있다. 인증서 발급, 관리가 어떻게 수행되는지, 인증서 개인키가 어떤 저장 매체에 저장되는지, 실제로 인증서 사용에 동원되는 소프트웨어가 어떻게 설계되는지 등에 따라서 PKI인증서 기술은 높은 수준의 보안을 제공할 수도 있고 낮은 수준의 보안을 제공하는데 그칠 수도 있다. 이런 기술적 현실을 도외시 한채 공인인증서를 사용하기만 하면 만족스러운 수준의 보안이 마치 확보될 수 있는 것처럼 전제한 현행 감독규정은 보안 기술에 대한 무지와 강제 수단을 동원하여 공인인증 제도를 유지, 확산하려는 그릇된 정책적 고려, 그리고 공인인증 업체의 이해관계를 반영할 것일 뿐 진정한 거래의 안전을 위한 규정이라고 하기는 어렵다. 또한 거래내역 전자서명은 침입 공격에 대한 방어 수단도 아니고, 보안을 위한 조치도 아니라 사고 거래 여부에 대한 분쟁이 발생하였을 경우 입증의 수단에 불과하며, 전자서명이 가지는 부인방지 효력은 실은 매우 제한적이라는 점을 지적한다. 이 글은 전자금융 거래의 안전을 확보하기 위하여 고려되어야 할 여러 측면들을 종합적으로 제시함으로써, 공인인증서가 차지하는 비중을 균형있게 이해하는데 기여하고자 한다.
This paper present an argument that the current government regulation requiring the use ofNational PKI digital certificate in all financial transactions is suppressing competition of varioussecurity technologies. The provision is grounded upon an exaggerated expection about the securityof PKI technology. Depending on how the certificates are issued and managed, what storagedevices are used for private key file and how the relevant software modules are designed, the PKItechnology can offer security which varies greatly. Ignoring these technical details, the currentprovision simply assumes that as long as PKI technology is used, the transaction will somehowbecome ‘secure’. The provision is grounded upon ignorance of security technology, misguidedpolicy consideration which is aimed at spreading and maintaining NPKI system by resorting to amandatory provision and the vested intests of PKI vendors. The provision is not really aboutsecuring the financial transactions but about securing the business influence of NPKI system andNPKI vendors.The paper also points out that electronic signature is not about securing the transaction but toobtain evidence which may be produced if and when a dispute arises as to a transaction. The muchvaunted ‘non-repudiation’effect of electronic signature is in fact of limited usefulness because thesignature merely tells that ‘someone’(the signatory) has signed. The signature cannot provideany means of demonstrating who was the signatory.The paper offers a discussion of various points which must be taken into account in order toensure security of financial transactions. It is hoped that the role and the usefulness of NPKIcertificates can be assessed with a more balanced approach, avoiding the blind admiration of PKIand encryption technologies.