산업 IT

[두잇]공인인증서 폐지…‘민간인증서’, 편리성·보안성 두 마리 토끼 잡을 수 있나(영상)







지난 10일부터 21년간 유지돼왔던 전자서명 방식인 공인인증서가 공인의 지위를 내려놓게 됐다. 공인인증서는 1999년 전자서명법을 제정하면서 도입한 전자서명 방법이다. 정부가 선정한 금융결제원, 한국정보인증 등 6개 공인인증기관에서 공인인증서를 발급할 수 있도록 독점적 권한을 부여했다. 이에 20년 넘게 인터넷 뱅킹 등 여러 서비스에서 꼭 공인인증서를 거쳐야만 했다.

10일부터 이들이 보유하던 공인이라는 독점적 지위가 소멸하면서 공인인증서와 민간업체에서 발급하는 전자서명 서비스는 모두 ‘공동인증서’로 명칭이 변경됐다. 이로써 공인인증서와 함께 이동통신3사의 PASS나 카카오페이 인증, 뱅크사인과 같은 민간인증서도 사용이 가능해졌다.


공인인증서가 폐지된 이유는 크게 세 가지를 꼽을 수 있다. 첫째, 공인인증서를 사용하기 위해 Active X나 여러 보안 프로그램들을 필수 설치해야 한다는 점이다. 둘째, 공인인증서의 유효기간 1년이라 매해 갱신을 해야 하는 번거로움이 있다. 또 갱신을 하면 기존에 등록된 타행인증서 등록도 전부 초기화되어 각 은행 인터넷 뱅킹에 접속해 다시 타행등록을 해줘야 한다. 셋째, 공인인증서의 우월적 지위 때문에 새로운 전자서명 서비스의 시장진입이 어려웠고, 기술과 서비스의 혁신이 잘 이루어지지 않았다.

이에 편리함을 무기로 새롭게 등장한 민간인증서는 공인인증서에 비해 편리해 보이기는 하지만 보안성에 의문을 갖게 된다. 민간인증서는 공인인증서와 어떻게 다른 보안 시스템을 갖고 있는 걸까?

공인인증서는 PKI(Public Key Infrastructure)기술을 기반으로 하는 공개키(비대칭키) 방식을 사용한다. PKI는 공개키 알고리즘을 통한 암호화 및 전자서명을 제공하기 위한 복합적인 보안 시스템 환경을 말한다. 서로 쌍을 이루는 개인키, 공개키를 만들어서 개인키는 본인만이 소유하게 한다. 개인키를 이용해서 전자 서명 암호화를 수행하도록 하고, 공개키는 오픈된 장소에 놔두고 개인키를 이용해서 전자 서명 암호화한 값을 검증하는데 사용한다. 따라서 공개키 방식은 데이터를 암호화하고 이를 다시 풀 수 있는 열쇠가 다르기 때문에 거의 완벽한 데이터 보안이 가능하고 정보 유출 가능성은 그만큼 적어진다.


대부분 민간인증서에서 도입하고 있는 보안 기술은 ‘FIDO’다. ‘Fast IDentity Online‘의 약자로, 온라인 환경에서 ID,비밀번호 없이 생체인식 기술을 활용하여 보다 편리하고 안전하게 개인 인증을 수행하는 기술이다. 공인인증서보다는 편리해보이지만 보안성은 어떨까? 사이버 보안 전문 기업 스틸리언 신동휘 소장님과 이야기를 나눠봤다.

관련기사



Q. 민간인증서가 편리해보이지만, 보안성에 대한 의문이 생긴다
보통 사람들은 편의성하고 보안성은 반비례한다고 생각한다. 맞다. 편의성이 있다고 생각하는 부분이 내가 느끼기에 쓰기 편한 것이다. 내가 쓰기 편한 게 보안성이 떨어졌다고 판단하기 어려운 부분이 생겨요. 인증은 기본적으로 세 가지 중에 하나를 선택하는 인증방식을 취한다. 첫째. 당신이 무엇을 알고 있느냐 두 번째. 당신이 무엇을 갖고 있느냐 세 번째. 당신이 누구냐, 당신이 무엇을 알고 있느냐를 활용한 인증방식이 패스워드. 당신이 무엇을 갖고 있느냐를 활용한 인증방식이 공인인증서. 당신이 누구냐는 게 정말 이 사람만 갖고 있을 수 있는 지문, DNA, 홍채 이런 것들이다. 이 세 개 중에 보안성이 가장 낮은 건 첫 번째이고, 세 번째로 갈수록 보안성이 높아진다. 인증 자체만 놓고 보면 민간인증서는 이 세 가지 중에 보안성이 제일 큰 세 번째 것을 쓰고 있는 것이다. 그러니까 편리하다는 건 프로토콜을 편리하게 만들어 놓은 거다. 사용자랑 상호작용이 상대적으로 적다는 점이 공인인증서와 차이점이다. 원래 기본적으로 보안이라는 건 한 개의 시스템을 놓고 아주 오랜 기간 동안 점검을 받고 개선돼야 어느정도 안정됐다고 본다.

Q. 여러 민간인증서 중에 안전한 민간인증서는?
민간인증서의 전체적인 프로토콜은 다 비슷하다. 공인인증서나 민간인증서의 근간은 다 PKI다. 거기에 세부적으로 블록체인이나 FIDO같은 기술이 들어가는 것이고, 민간인증기관들이 선택하는 것이다.

Q. 민간인증서를 사용하면서 사용자가 주의해야 할 사항은?
대부분의 경우는 사용자가 문제를 일으킨다. 핸드폰을 잠궈놔야 하는데 안 잠궈놓는다든지, 비밀번호를 ‘0000’으로 해놓는다거나 아니면 패턴을 밑으로 쭉 긋는 걸 해놓는다. 사용자가 본인의 정보를 관리해야 할 의무가 있음에도 불구하고 개인 정보에 접근할 수 있는 단계를 아주 쉽게 만들어 놓은 것이다. 사용자는 새로운 시스템이나 새로운 체계가 나오면 그 체계의 보안성에 대해서 상당히 많은 궁금증을 가진다. 당연하다. 그러나 보안체계를 관리하고 보완하는 것은 인증업체가 할 일이다. 그들이 제 할 일을 다 하지 않는다면 공격하는 사람들이 그냥 놔두지 않을 것이다.

내 정보가 핸드폰에 들어갔다, 내 정보가 어딘가에 갔다고 하면 그 정보에 접근할 수 있는 인증체계라든가 절차를 다소 복잡하더라도 나만 할 수 있는 체계를 고민할 필요가 있다. 핸드폰을 잘 다루는 것도 소비자가 할 일이다.

정부는 향후 민간인증서의 신뢰성과 보안성을 위해 전자서명 평가·인증 제도를 운영할 방침이다. 전자서명 안전성·신뢰성·보안성 등에 관한 기준으로 ’전자서명인증업무 운영기준‘을 고시하고, 사업자 준수 여부를 민간 평가·인정 기관이 확인한다.

/정현정기자·정민석 인턴기자jnghnjig@sedaily.com

정현정 기자
<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>




더보기
더보기





top버튼
팝업창 닫기
글자크기 설정
팝업창 닫기
공유하기