Home > 전체기사
공인인증서, IP정보는 물론 HDD정보까지 수집 “왜이래!”
  |  입력 : 2010-07-05 15:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
예스싸인 약관개정...사용자 공지 미흡해 혼란 우려


금융결제원이 공인인증서에서 IP정보와 MAC주소, 하드디스크 시리얼 정보까지 수집해 보관하는 것으로 파악됐다. 결제원 측은 부정발급을 막기 위한 취지라고 설명하지만 사용자들 사이에서는 너무 과도한 정보수집이 아니냐는 불만이 증폭되고 있다.


금융결제원은 공인인증서 이용관리의 안전성 확보대책(행정안전부, 2009.9)을 이행하고, 공인인증서 부정사용 방지체계 구축을 통하여 전자금융거래의 안전성 확보를 도모하고자 예스싸인(yessign) 서비스 이용 약관을 변경해 7월 1일부터 적용하고 있다.

 

▲새로 바뀐 약관에는 IP와 MAC주소, 하드디스크 시리얼까지 수집한다는 내용이 포함돼 있다. ⓒ보안뉴스


주요 내용은 △‘사고정보’라는 정의를 추가, △인증서 강제폐지 및 발급제한 사유 추가, △‘정보수집 및 이용’ 항목 신설, △개인정보보호 항목 보완 등으로, 간추리자면 부정발급이 의심되는 경우 인증서 발급을 제한하고 강제폐지 할 수 있게 한다는 내용이다.


그러나 논란의 씨앗은 정보수집 부분에서 나타났다. 새로운 약관에서 추가된 정보수집 내역을 살펴보면 IP정보와 MAC주소, 하드디스크 시리얼 정보 등이 민감한 정보가 포함돼 있지만 사용자들에게 정보수집에 대한 내용이 제대로 전달되지 않은 것.


인터넷뱅킹 사용자 A씨는 “우연히 새로 개정된 약관을 보게 됐는데 하드디스크 시리얼 정보까지 수집한다는 내용을 보고 경악을 금치 못했다”면서 “이런 중요한 정보를 수집하면서, 은행에서는 단지 약관이 수정됐다는 공지를... 그것도 잘 보이지 않는 곳에 올려놓고 책임을 다했다고 하는 것은 너무 무례한 처사”라고 강하게 비난했다.


금융결제원이 이런 정보를 수집하는 이유는, 공인인증서의 부정사용을 막기위해 7월 중순을 목표로 구축하고 있는 ‘공인인증서 부정사용 방지시스템’에서 사용자 정보를 분석자료로 요구하기 때문이다. 이 시스템은 발급로그와 사용자 정보를 통해 부정발급을 분석하고 이에 대한 조치를 가능케 해주는 역할을 한다.


금융결제원의 한 관계자는 정보수집에 대해 “공인인증기관은 사고정보(IP주소 MAC 주소, 하드디스크 시리얼)를 이용해 부정발급자(부정적인 목적이나 비정상적인 방법으로 발급을 받는 사람)가 해당정보를 이용하는 경우, 공인인증서 온라인 재발급 원천차단 등 조치를 취하기 위함”이라고 설명하면서 “결제원은 5월 31일부터 각 은행에 공지하도록 관련 내용을 전달했다”고 말했다.


그러나 은행들은 정보수집에 대한 내용을 사용자들에게 전달하는데 소홀히 한 것으로 드러났다. 대부분 은행들은 다른 공지사항이 누적돼 관련 내용을 찾아보기가  쉽지 않았다.


인터넷뱅킹 사용자 B씨는 "은행 상품이 출시될 때마다 정신없이 팝업창이 떴지만 정작 이처럼 중요한 내용에는 이용하지 않았다"며 "이는 사용자에게 제대로 전달할 마음이 없었다고 밖에 생각할 수 없다”며 불편한 마음을 내비쳤다.


IP나 하드디스크 정보와 같은 민감한 사용자정보를 수집할 경우에는 취지를 제대로 설명하고 사용자들의 공감대를 만들어야 했지만 이를 소홀히 했다는 지적이다.


박나룡 보안전략연구소장은 “인증서의 부정발급 확인을 위해, 개인정보의 8대 원칙 중 하나인 최소 수집의 원칙에 위배되면서 까지 MAC 주소와 HDD 시리얼 정보를 수집한다는 것은 과도한 수집으로 오해 받을 수 있어 보인다”면서 “또한, 전자서명법 15조(공인인증서의 발급)에서도 MAC주소와 HDD 시리얼까지 수집할 수 있다고 볼 수 있는 근거가 부족해 보인다”고 지적했다.


이어 그는 “MAC정보와 HDD 시리얼 정보를 수집하기 위해서는, 사용자 PC에 대한 ‘적극적 정보수집’ 개념이 들어가게 되는데, 이에 대해 이용자가 개인PC에 대한 모니터링으로 오해하거나, 악용될 부분에 대한 우려를 해소시킬 수 있는 방안도 함께 제시되어야 할 것”이라며 “또한, 수집된 정보에 대한 보관기간을 언제까지 보관하고 어떻게 관리할 것인지에 대해서도 이용자에게 충분한 고지가 필요할 것으로 보인다”고 언급했다. 

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)