[데이터넷] 공인인증서 문제가 많은 부분 해결됐지만, 여전히 ‘적폐’라고 느끼고 있는 이유는 너무 많은 개념과 기술, 법적인 부분이 무질서하게 등장하기 때문이다. 공인인증서 제도가 가진 문제와 해결책을 찾아보자는 논의에서 시작해 웹 표준 기술로 마무리하게 된다. 예를 들어 공인인증서 문제를 논할 때 언제나 액티브엑스 문제를 거론하게 되며, 클라우드 인증, 브라우저 인증, 간편인증, 생체인증, 블록체인 인증, 비밀번호 없는 로그인 등 여러 서비스가 얘기되면서 논점을 흐리게 된다.
전자서명과 인증, 그리고 웹 표준 기술이라는 전혀 다른 영역의 기술이 뒤섞여 이야기되면서 실제 논의되어야 할 핵심 내용이 뒷전으로 미뤄진다. 공인인증서 문제를 분석하기 전, 인증서가 왜 필요한지 살펴보자.
신원확인·전자서명 모두 가능한 공인인증서
오프라인에서 소비자가 물건을 구입한다면, 신용카드를 결제 단말에 인식시킨 후 서명을 한다. 이 서명이 신용카드의 서명과 일치하는 것을 확인하면 ‘신원확인(Identification)’이 되고, 결제가 이뤄진다.
온라인에서는 소비자가 직접 결제를 하는 것인지, 신용카드 번호를 도용해서 결제하는 것인지 확인하기 위해 온라인 본인 확인 과정을 거친다. ID/PW만으로도 본인확인이 가능하지만, 전자거래와 같은 중요한 거래는 추가인증을 요구하게 되며, 추가인증 수단 중 하나로 인증서가 사용될 수 있다. 소비자 본인이 갖고 있는 인증서를 호출한 후 비밀번호를 입력해 소유기반 인증(인증서 소지)과 지식기반 인증(비밀번호 입력)을 수행해 본인임을 입증한다. 신용카드 결제 때 인증서를 다시 호출해 비밀번호를 입력함으로써 인증 받은 소비자 본인이 해당 결제를 요청했다는 것을 확인하는 전자서명(Digital Signature)을 한다.
온라인 신원확인은 오프라인에서 신분증을 제시하는 것과 같다. 전자서명은 계약서에 사인을 하거나 도장을 날인해 해당 계약서의 내용이 맞다는 것을 확인하는 것과 같다. 이 모든 활동이 정당하게 이뤄졌다는 사실을 확인하는 것이 인증(Authentication)이다.
전자서명과 신원확인, 인증은 각각 다른 기술이 사용되며, 사용되는 목적도 다르다. 이 개념이 서로 섞여서 혼란을 주는 이유는 공인인증서 때문이다. 공인인증서는 신원확인, 전자서명의 기능을 모두 갖고 있는 ‘만능’ 인증서다. 공인인증서만으로 개인이나 기업이 전자상거래, 전자민원 등 여러 온라인 활동을 할 수 있었다. 정부가 단 하나의 기술이 여러 시장을 독점하도록 한 것이 공인인증서 문제의 본질이다.
사용 편의성 높아진 공인인증서
일반 소비자들이 느끼는 공인인증서 문제는 장애가 잦다는 점이다. 공인인증서를 웹 브라우저에 호출하기 위해 별도의 소프트웨어가 필요하다. 예전에는 브라우저에 플러그인을 설치해 사용했다. 브라우저가 비 표준 기술인 플러그인을 지원하지 않자 실행파일 형태로 PC에 설치하도록 했다. 이 소프트웨어가 잦은 장애를 일으켜 소비자를 불편하게 했다.
모바일에서는 이 같은 불편함을 겪지 않아도 된다. 모바일 앱에 공인인증서 호출 기능을 포함시키기 때문에 다른 프로그램을 설치하지 않고도 공인인증서를 사용할 수 있다. 공인인증서 사용에서 가장 불편했던 ‘플러그인’ 문제가 해결되니 사용 편의성이 높아져 공인인증서에 대한 불만도 줄어들었다.
공인인증서 대체 수단이 등장하면서 공인인증서를 더 이상 사용하지 않게 됐다고 생각하지만, 실제로 사용되는 수단은 대부분 공인인증서를 쉽게 사용하는 기술이지, 공인인증서를 대체하는 것은 아니다. 생체인증은 공인인증서의 비밀번호 입력을 생체인식으로 바꾼 것이며, 브라우저 인증서는 웹브라우저에 공인인증서를 저장하는 것, 클라우드 인증서는 클라우드 저장소에 공인인증서를 저장하는 것이다. 블록체인 기반 인증 역시 인증서를 블록체인에 저장하는 것이지 공인인증서를 대체하는 것은 아니다.
공인인증서 우월적 지위 제거해 시장 경쟁 촉진
공인인증서 사용 편의성이 높아진 것과 공인인증서 폐지는 전혀 다른 문제다. 공인인증서를 폐지하고 사용하지 못하도록 하는 것이 이상적인 해법은 아니다. 공인인증서 방식의 인증과 전자서명에 만족해하는 사람도 많다. 공인인증서는 지금과 같이 유지하되, 우월적 지위만을 없애고 다른 인증서도 사용할 수 있도록 하면서 기술과 시장의 발전을 꾀한다는 것이 정부의 방침이다.
전자서명법 개정안이 통과되면 현행 공인인증기관에서 발급한 공인인증서 외에 다양한 사설인증 기관에서 발급한 인증서도 다양하게 사용될 수 있다. 이 때 사설인증기관에 대한 평가인증 제도를 마련해 소비자와 거래를 안전하게 보호할 수 있다.
안군식 한국전자인증 부사장은 “전자서명법 개정안이 통과되어 다양한 전자서명 기술이 동등하게 경쟁할 수 있어야 IoT 환경을 기반으로 한 다양한 온라인 서비스가 활발하게 성장할 수 있을 것이다. 나아가 4차 산업혁명 시대로 접어들면서 스마트시티, 커넥티드카 및 V2X 등 다양한 스마트 서비스가 제공될 때 필요한 인증서의 규격과 모델에 대해서도 논의해야 할 것”이라고 말했다.
한편 한국전자인증은 클라우드에 인증서를 보관해 간편하게 전자서명을 수행하는 ‘클라우드사인’을 서비스하고 있다. FIDO와 CSC(Cloud Signature Consortium) 표준기술을 활용한 클라우드사인은 안전한 클라우드 저장소에 인증서를 보관해 사용자 기기에는 아무것도 설치하지 않고 전자서명이 이뤄지도록 한다. 개인키는 클라우드 상의 HSM에 저장해 키 유출을 방지하며 생체인식 기술을 이용해 편리하게 개인키에 접근할 수 있게 한다.
또한 한국전자인증의 FIDO 기반 생체인증 서비스는 KB 국민은행에 적용된 사례는 FIDO얼라이언스 홈페이지에 은행 적용 부문 우수사례로 소개되어 있다. 더불어 한국전자인증은 개인간 거래 시 전자계약서의 전자서명을 쉽고 편리하게 하는 서비스를 정부 SECaaS 지원 과제로 개발하고 있다. 클라우드를 통해 전자서명이 이뤄져 사용자 단말에 아무것도 설치하지 않고 전자서명이 가능하다. 아르바이트 고용계약 등 개인간 거래에 유용하게 사용될 수 있을 것으로 기대한다.
