지난 10일부터 21년간 유지돼왔던 전자서명 방식인 공인인증서가 공인의 지위를 내려놓게 됐다. 공인인증서는 1999년 전자서명법을 제정하면서 도입한 전자서명 방법이다. 정부가 선정한 금융결제원, 한국정보인증 등 6개 공인인증기관에서 공인인증서를 발급할 수 있도록 독점적 권한을 부여했다. 이에 20년 넘게 인터넷 뱅킹 등 여러 서비스에서 꼭 공인인증서를 거쳐야만 했다.
10일부터 이들이 보유하던 공인이라는 독점적 지위가 소멸하면서 공인인증서와 민간업체에서 발급하는 전자서명 서비스는 모두 ‘공동인증서’로 명칭이 변경됐다. 이로써 공인인증서와 함께 이동통신3사의 PASS나 카카오페이 인증, 뱅크사인과 같은 민간인증서도 사용이 가능해졌다.
공인인증서가 폐지된 이유는 크게 세 가지를 꼽을 수 있다. 첫째, 공인인증서를 사용하기 위해 Active X나 여러 보안 프로그램들을 필수 설치해야 한다는 점이다. 둘째, 공인인증서의 유효기간 1년이라 매해 갱신을 해야 하는 번거로움이 있다. 또 갱신을 하면 기존에 등록된 타행인증서 등록도 전부 초기화되어 각 은행 인터넷 뱅킹에 접속해 다시 타행등록을 해줘야 한다. 셋째, 공인인증서의 우월적 지위 때문에 새로운 전자서명 서비스의 시장진입이 어려웠고, 기술과 서비스의 혁신이 잘 이루어지지 않았다.
이에 편리함을 무기로 새롭게 등장한 민간인증서는 공인인증서에 비해 편리해 보이기는 하지만 보안성에 의문을 갖게 된다. 민간인증서는 공인인증서와 어떻게 다른 보안 시스템을 갖고 있는 걸까?
공인인증서는 PKI(Public Key Infrastructure)기술을 기반으로 하는 공개키(비대칭키) 방식을 사용한다. PKI는 공개키 알고리즘을 통한 암호화 및 전자서명을 제공하기 위한 복합적인 보안 시스템 환경을 말한다. 서로 쌍을 이루는 개인키, 공개키를 만들어서 개인키는 본인만이 소유하게 한다. 개인키를 이용해서 전자 서명 암호화를 수행하도록 하고, 공개키는 오픈된 장소에 놔두고 개인키를 이용해서 전자 서명 암호화한 값을 검증하는데 사용한다. 따라서 공개키 방식은 데이터를 암호화하고 이를 다시 풀 수 있는 열쇠가 다르기 때문에 거의 완벽한 데이터 보안이 가능하고 정보 유출 가능성은 그만큼 적어진다.
대부분 민간인증서에서 도입하고 있는 보안 기술은 ‘FIDO’다. ‘Fast IDentity Online‘의 약자로, 온라인 환경에서 ID,비밀번호 없이 생체인식 기술을 활용하여 보다 편리하고 안전하게 개인 인증을 수행하는 기술이다. 공인인증서보다는 편리해보이지만 보안성은 어떨까? 사이버 보안 전문 기업 스틸리언 신동휘 소장님과 이야기를 나눠봤다.
Q. 민간인증서가 편리해보이지만, 보안성에 대한 의문이 생긴다 |
Q. 여러 민간인증서 중에 안전한 민간인증서는? |
Q. 민간인증서를 사용하면서 사용자가 주의해야 할 사항은? |
내 정보가 핸드폰에 들어갔다, 내 정보가 어딘가에 갔다고 하면 그 정보에 접근할 수 있는 인증체계라든가 절차를 다소 복잡하더라도 나만 할 수 있는 체계를 고민할 필요가 있다. 핸드폰을 잘 다루는 것도 소비자가 할 일이다.
정부는 향후 민간인증서의 신뢰성과 보안성을 위해 전자서명 평가·인증 제도를 운영할 방침이다. 전자서명 안전성·신뢰성·보안성 등에 관한 기준으로 ’전자서명인증업무 운영기준‘을 고시하고, 사업자 준수 여부를 민간 평가·인정 기관이 확인한다.
/정현정기자·정민석 인턴기자jnghnjig@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
