<10문10답>‘공인’ 딱지 떼는 인증서… 新전자서명 시대 돌입

클릭하시면 더 큰이미지를 보실 수 있습니다 게티이미지뱅크

기존 공인인증서 계속 사용… 자동갱신에 클라우드 보관 가능해져
생체인증·블록체인 기반 민간인증서 가세… 보안성이 성패 가를 듯

공인인증서 액티브X로 불만
생체인식 등 다양한 인증 도입

‘패스’‘카카오페이 인증’…
민간인증서 사용 점점 늘어

신원 분산관리 등 기술 발전
사업자들 앞다퉈 진출 채비

잠든 얼굴에 안면인식 풀리듯
보안 취약 땐 소비자만 피해

전자서명법 개정안의 국회 통과로 대표적인 ‘금융 적폐’로 꼽혀 온 공인인증서가 도입 21년 만에 역사의 뒤안길로 사라진다. 금융결제원 등 5개 기관에서 발급한 ‘공인인증서’에서 ‘공인’이라는 차별적 지위가 사라지는 것이다. 이미 시장에는 블록체인과 생체인식 기술 등을 활용한 민간 인증서들이 나와 있는 가운데 인증서 간의 경쟁이 치열해질 것으로 전망된다.


1. 공인인증서 폐지법 내용은

지난 20일 전자서명법 개정법률안이 국회를 통과했다. 일명 ‘공인인증서 폐지법’으로 불릴 정도로 1999년 도입돼 21년 동안 사용됐던 공인인증서를 폐지한 것이 주된 내용이다. △공인 전자서명의 우월한 법적 효력 폐지를 통한 다양한 전자서명수단 간의 경쟁 활성화 △전자서명 인증업무 평가·인정제도 도입 △전자서명 이용자에 대한 보호 조치 강화 등의 내용을 담고 있다.


2. 공인인증서 도입 계기와 원리는

공인인증서는 1999년 전자서명법 제정과 함께 도입됐다. 전자정부의 바람을 타고 등장했으며 비대면 전자상거래 활성화를 위해 마련됐다. 당시만 해도 비대면으로 신원을 확인할 수 있는 마땅한 수단이 없었다. 온라인 상의 상대방이 실제 거래 당사자인지 확인되지 않으면 거래 자체가 불가능했다. 이에 당사자의 신원을 확인하는 수단으로 공개키 기반 구조(PKI)에 소유자 정보를 추가해 만든 온라인판 인감증명이 공인인증서다. 전자서명법, 전자정부법, 전자금융거래법 등을 바탕으로 우월적인 법적 지위를 갖던 공인인증서는 국내 인터넷 전자상거래를 키우는 데 크게 기여했다.

발급기관은 금융결제원, 한국정보인증, 코스콤, 한국전자인증, 한국무역정보통신 등 5곳이다.


3. 공인인증서, 왜 천덕꾸러기가 됐나

도입 이후 한동안 국내 인터넷 전자상거래 시장을 키우는 데 기여했던 공인인증서와 공인인증 제도는 기술 발달 속도를 따라잡지 못하고 점점 ‘구닥다리’가 돼 갔다. 설치와 실행 과정에서 각종 플러그인, 액티브X 등 복잡한 프로그램을 동반해야 해 소비자 불만이 커졌다. 가령 공인인증서 설치 시 필수적인 액티브X는 미국 마이크로소프트(MS)가 개발한 기술인데, MS의 윈도와 이 회사의 웹브라우저 인터넷익스플로러(IE)가 아닌 다른 운영체제(OS)·브라우저 환경에선 잘 구동되지 않았다.

공인인증서 의무사용 규정은 2014년 폐지됐다. 당시 인기 드라마 ‘별에서 온 그대’의 주인공 천송이(전지현)가 입었던 코트를 중국인들이 직접 구매하려 했지만 공인인증서 때문에 살 수 없었다는 ‘천송이 코트 논란’ 이후 금융 당국은 공인인증서 의무사용 규정을 폐지했다. 그럼에도 다수 공공·금융기관은 여전히 공인인증서에 의존해왔다. 알파벳과 숫자, 특수문자까지 조합하는 장문의 공인인증서 비밀번호 입력 방식과 기기별 복사 및 보관 등 불편함은 꾸준히 제기됐다.


4. 향후 인증은 어떻게 하나

기존에 쓰던 공인인증서를 계속 사용할 수도 있지만 점차 다양한 인증서를 통한 인증이 가능할 것으로 보인다. 다만, 금융 거래 외에도 국세청 연말정산 사이트나 각종 증명서를 발급해주는 정부 민원 사이트에서는 본인 인증 수단으로 공인인증서가 오랫동안 이용돼 다른 인증 방식이 이들 정부 사이트로 확산하는 데는 시간이 걸릴 수 있다. 공공기관에서도 사설 인증이 도입되면 지금보다 더욱 간편한 방식으로 본인 인증이 가능해질 전망이다.


5. 기존 공인인증서는 못 쓰나

이번 법안은 공인인증서의 우월적인 지위를 폐지하는 것이어서 기존 5개 기관에서 발급한 인증서가 무효가 되는 것은 아니다. 쓰던 인증서는 유효기간까지 계속 사용할 수 있다. 유효기간 이후에도 이용자의 선택에 따라 연장하는 등 역시 계속 사용이 가능하다. 다만 기존 인증서의 ‘공인’ 지위가 없어지고 편리한 인증서가 계속 등장할 가능성이 크기 때문에 시간이 흐를수록 기존 인증서 사용자는 감소할 수 있다. 이에 공인인증서를 발급해 온 금융결제원은 기존 인증서의 편리성을 높이는 방안을 발표했다. 기존에 복잡했던 비밀번호를 6자리 핀(PIN)번호로 바꾸고 지문·안면·홍채와 같은 생체인식 기반 인증을 도입한다고 밝혔다. 기존 1년이었던 유효기간도 3년으로 늘리며 만료 시 자동 갱신된다. 이와 함께 인증서 이용 범위도 넓히는 한편, 하드·이동식 디스크에 인증서를 보관하는 방식도 금융결제원 클라우드 보관으로 바꿀 계획이다.

클릭하시면 더 큰이미지를 보실 수 있습니다

6. 현재 사설 인증서는 무엇이 있나

현재 사설 인증서로는 대표적으로 통신 3사(SK텔레콤·KT·LG유플러스)와 핀테크 보안기업 아톤이 만든 본인 인증 통합브랜드 ‘패스(PASS)’, 카카오가 서비스하는 ‘카카오페이 인증’, 은행연합회와 회원사들이 만든 은행권 공동인증서비스 ‘뱅크사인’ 등이 있다.

패스 가입자는 6월 중 3000만 명 돌파를 앞두고 있으며 ‘패스인증서’ 발급 건수도 연말이면 2000만 건에 달할 것으로 예상된다. 패스는 애플리케이션 실행 후 6자리 핀번호 또는 생체인증으로 1분 내 바로 전자서명이 가능하다는 편리성을 강조하고 있다.

최근 사용자 1000만 명을 돌파한 카카오페이 인증은 공인인증서와 동일한 PKI 전자서명 기술에 위·변조가 불가능한 블록체인 기술을 적용한 점을 특징으로 내세우고 있다. 카카오톡에서 인증 절차가 이뤄지는 특성상 접근성이 높다는 것이 장점이다.

뱅크사인은 16개 은행과 은행연합회가 함께 도입한 서비스로 한 번 발급하면 여러 은행에서 사용할 수 있으며 블록체인 기술을 적용한 보안성, 간편한 로그인, 3년의 인증서 유효기간이 강점이다.


7. 공인인증서 외에 다른 인증 기술은 어디까지 나왔나

시장에 출시된 다양한 인증 기술에는 △생체정보인증 △분산신원확인(DID) △신용카드 인증 △ARS·SMS 인증 △휴대전화 인증 △일회용 비밀번호(OTP) 인증 등이 있다. 생체인증은 다양한 기관에서 본인 인증 수단으로 활용하고 있다. 아이디와 비밀번호 등은 사용자가 실수로 잘못 입력하거나 잊을 수도 있지만 고유의 생체정보를 통한 인증은 이런 문제에서 자유롭다. 생체인증은 초기 지문인식을 중심으로 개발됐지만, 홍채·안면인식 등 다양한 신체 분야로 발전하고 있다. 신종 코로나바이러스 감염증(코로나19) 확산 이후에는 비접촉식 생체인증에 대한 수요가 급증하면서 카메라 앞에 멈출 필요 없이 지나가는 것만으로 인증하는 워크스루형 얼굴인식 솔루션 등도 개발되는 추세다.

블록체인 기술 기반의 DID도 주목을 받고 있다. DID는 개인정보를 제3의 기관(기업, 정부기관 등) 중앙서버에 두는 것이 아니라 스마트폰, 태블릿, PC 등 개인 기기에 분리해 관리한다. 위·변조가 불가능한 블록체인 상에서 해당 정보의 진위만 기록하고 별도 중개자 없이 본인 스스로 신분을 증명할 수 있다. DID를 적용할 경우 데이터를 분산 저장하기 때문에 보안이 뛰어나다는 장점이 있다. 서로 다른 인증 수단을 함께 적용하는 멀티팩터인증(MFA)도 많이 사용되고 있다. 아이디와 비밀번호 외에 생체인증, DID, OTP 등을 함께 적용하면 보안성을 높일 수 있기 때문이다.


8. 편리성이 제고된다는데, 인증서는 어떻게 이용하나

사설 인증서비스의 경우 별도의 모바일 앱 등을 통해 편리하게 이용할 수 있다. 이동통신 3사가 제공하는 패스는 구글 플레이스토어·앱스토어 등에서 패스 앱을 설치하면 이용이 가능하다. 패스 앱을 실행한 후 6자리 핀번호 입력 또는 생체인증을 하면 1분 안에 인증서가 발급된다.

카카오페이 인증은 모바일 메신저 카카오톡 하단 ‘더보기(… 모양)’ 탭을 누른 뒤 카카오페이 서비스에 접속하면 인증서비스를 이용할 수 있다. 추가 프로그램 설치 없이 카카오톡에 등록된 비밀번호로 간편하게 인증할 수 있으며 본인 인증, 전자서명, 우편대체, 모바일 앱 연계 인증 등 다양한 용도로 사용이 가능하다.

뱅크사인은 구글 플레이스토어·앱스토어에서 뱅크사인 앱을 설치한 뒤 거래은행 앱 인증센터 등에서 이용 신청을 해야 한다. 약관 동의를 한 뒤 휴대전화 확인, 계좌번호 확인, 보안매체 확인 등을 통해 본인 확인 절차를 거친다. 6자리 숫자 비밀번호 등 인증 수단을 설정하면 인증서 발급이 완료된다.


9. 인증 시장 전망은

공인인증서의 독점적 지위가 사라지면서 그동안 꾸준히 성장해온 사설 인증 시장이 더욱 확장될 것으로 전망된다. 패스와 카카오페이 인증 외에도 네이버 등 포털 사업자들도 진출 채비를 서두르고 있다. 사설 인증서가 활성화될 것이란 기대로 관련 종목도 주식시장에서 강세를 나타내고 있다. 한국전자인증, 라온시큐어, 한국정보인증, 아톤 등이 대표적이다. 김재훈 미래에셋대우 연구원은 “국회의 공인인증서 독점적 사용 폐지 결정에 따라 생체인증 기술과 그에 따른 보안 기술이 더욱 중요해질 것으로 예상된다”고 말했다.


10. 사설 인증서 난립 시 안전성 우려는 없나

기존 공인인증서에 비해 새롭게 떠오르는 인증서들은 기술적인 보안 측면에서나 사용의 편의성 측면에서 공인인증서보다 뛰어나다는 평가를 받는다. 그럼에도 일각에서는 보안 사각지대에 대한 우려도 제기된다. 보안성이 확보되지 않은 다양한 전자서명을 무차별적으로 활용하다 보면 오히려 소비자 피해나 분쟁이 증가할 수 있다는 지적이다. 특히 금융 분야에서 개인정보 유출로 인한 소비자 피해가 있었던 만큼 안전성과 보안성이 우선돼야 한다는 주장도 설득력을 얻고 있다.

최근 떠오른 인증 기술 중 보안에 대한 우려가 큰 기술이 생체인증이다. 애플의 안면인식 인증 기술인 ‘페이스 ID’는 쌍둥이 형제자매가 다른 형제자매의 스마트폰을 해킹하거나 아들이 부모의 휴대전화를 해킹하는 문제가 발생했었다. 삼성전자가 출시한 갤럭시S10과 갤럭시노트10 역시 실리콘 케이스를 씌운 상태에서 타인의 지문으로 보안이 뚫리는 문제가 발생한 바 있으며, 구글 ‘픽셀4’에 탑재된 얼굴인식 역시 사용자가 잠든 상태에서 보안이 해제되면서 안전성에 대한 우려가 커졌었다.

박세영·유회경·송정은·이승주 기자