[시사매거진] 지금까지 ‘공인인증서’에 대한 말들이 많았다. 인터넷으로 중요한 일을 처리할 때 개인확인 용도로 썼던 공인인증서는 발급, 재발급, 옮기기 등 불편한 점이 한, 두 가지가 아니었다. 심지어 PC를 이용하지 못하는 올드 세대는 은행에 직접 가서 발급을 받는다거나, 발급을 받아도 제대로 된 사용방법을 몰라서 무용지물이었다. 또, 휴대전화 기종이나 사용하는 운영체제에 따라 공인인증서 저장이 불가하다는 불편함도 있었다. 이런 공인인증서가 21년 만에 폐지되고 새로운 인증서가 사용될 예정이다. 어떤 인증서가 있는지, 어떤 기술이 도입되는지 알아본다.

전자서명 시대 개막

6개 발급 업체(금융결제원·한국정보인증·한국전자인증·코스콤·한국무역정보통신·이니텍)가 누리고 있던 공인인증서의 독점적 지위가 21년 만에 역사 속으로 사라졌다. 공인인증서는 이제 ‘공동인증서’로 이름을 바꾸고 이동통신 3사, 카카오, 네이버 등 핀테크업체와 금융사 등 다양한 민간 업체들과의 전자서명 무한경쟁체제에 돌입한다.

지난 12월 10일 과학기술정보통신부에 따르면 1999년 도입한 공인인증서 제도 폐지가 핵심인 전자서명법 시행령 개정안이 이날 시행에 들어갔다. 공인인증서는 주민등록증이나 인감 날인 등을 대신해 인터넷상에서 본인 신원을 확인할 수 있도록 제정된 증명서로 21년간 그 자리를 지켜왔다. 하지만, 액티브 엑스나 키보드 보안 프로그램 등 실행 파일을 필수로 설치해야 하는데, 설치 불가능한 스마트폰이나 테블릿, 지원하지 않는 PC 운영체제 등 다양한 기기에서 활용하기 어려웠다. 기존 공인인증서는 매년 갱신해야 하는 불편함과 USB 같은 별도의 저장장치에 보관해야 한다는 문제점이 잇따르면서 결국 역사 속으로 사라지게 되었다.

금융인증서비스의 활용

이제 금융거래에 쓸 수 있는 인증서는 기존 공인인증서를 대체하는 공동인증서와 개별 은행이 발급한 인증서, 통신사나 플랫폼 사업자 등이 발급한 인증서 등 3가지로 확대됐다. 다만, 인증서마다 이용 방법, 이용 범위 등이 다르므로 자신에게 맞는 인증서를 알아보고 선택해야 한다.

공인인증서는 이제 공동인증서로 이름을 바꿔 민간 업체의 전자서명 서비스와 경쟁에 돌입하게 됐다. 이미 카카오페이·NHN페이코·네이버·토스 등 민간업체들이 가입자 확보에 나섰다.

카카오는 앞서 2017년 6월 카카오페이 인증을 내놓았다. 카카오톡을 기반으로 하다 보니 이달까지 누적 발급 2,000만 건을 돌파하면서 많은 사용자를 확보하고 있다.

이동통신 3사도 지난해 4월 패스(PASS) 인증서를 공동 출시했다. 패스도 지난달 기준 누적 발급 건수가 2,000만 건을 넘어섰다. 패스는 앱에서 6자리 간편 비밀번호(PIN)나 지문 등의 생체정보 인증으로 1분 안에 발급받을 수 있는 데다 인증서를 별도로 휴대전화에 등록하거나 PC로 내보내기 등을 하지 않아도 된다는 점에서 큰 장점이 있다.

네이버는 올해 3월 네이버 인증을 출시하면서 누적 발급 200만 건을 기록하고 있다. 네이버는 자사의 웹브라우저 ‘웨일’에 네이버 인증서를 탑재해 모바일 이외에 PC 에서도 인증서를 사용할 수 있다.

비바리퍼블리카가 운영하는 모바일 금융 앱 토스(toss)는 누적 발급 건수 2,300만 건을 넘어섰다. NHN페이코는 지난 9월 인증서를 출시하며 경쟁에 가세했다.

시중은행 중에는 KB금융이 가장 발 빠르게 움직였다. KB금융은 지난해 7월 ‘KB 모바일인증서’를 내놓으면서 생체인식이나 패턴으로 로그인할 수 있다는 장점을 바탕으로 500만 건 이상을 발급했다. 하나은행은 지난 8월 휴대전화 기종과 관계없이 사용할 수 있는 얼굴인증 서비스를 도입했고, NH농협은행은 지난달 간편인증 서비스인 ‘NH 원패스’를 출시했다.

은행권 공동 설립 기관인 금융결제원은 기존 공인인증서를 업그레이드해 ‘금융인증서’로 이름을 바꿨다. 이날부터 대부분 은행의 인터넷뱅킹 메뉴에서 무료로 발급해 바로 인증서 사용이 가능하다. 기존 공인인증서는 갱신할 필요 없이 유효기간까지 사용할 수 있다.

바뀌는 인증서에 대한 궁금점

이같이 공인인증서 폐지는 인증서 없는 금융거래를 의미한다. 금융위 관계자는 “인증서 자체가 폐지되는 게 아니라 공인인증서라는 지위가 사라지는 것”이라고 강조했다. 기존에는 금융결제원, 한국인터넷진흥원(KISA) 등 공인인증서기관이 발급한 인증서만 전자서명법에 따른 서명 날인 효과를 가졌지만, 앞으로는 민간 사업자가 발급한 인증서도 동일한 법적 효력을 가지며, 비대면 금융거래에 민간 인증서도 사용할 수 있게 된 것이다.

기존에 발급받은 공인인증서는 계속 금융 거래 등에서 사용할 수 있다. 다만 명칭이 공인 인증서가 아닌 ‘공동’인증서로 바뀌는 것 뿐이다. 유효기간이 얼마 남지 않았다면 기존에 인증서를 발급받았던 금융회사 등의 홈페이지나 모바일 앱에서 갱신해서 사용하면 된다.

아울러 공인인증서를 새로 발급받고 싶다면 기존과 동일하게 신분증을 지참해서 은행에 방문하거나 비대면 실명 확인을 거쳐 발급받으면 된다. 이때도 공인이 아닌 공동인증서를 발급 받는 것이다.

민간인증서가 기존의 공인인증서보다 나은 점에 대한 질문에 기존 공인인증서 금융위 관계자는 “다양한 민간인증서 간 경쟁이 촉진되면 혁신적인 인증기술이 새롭게 출현해 국민이 더 편리하고 안전한 인증서를 이용할 수 있을 것”이라고 답했다.

보안이 최우선, 인증의 안정성 문제

새로운 기술로 무장한 민간인증서들은 기술적인 측면이나 편의성 측면에서 뛰어나다는 평가를 받고 있다. 하지만 스마트폰에 실리콘 케이스를 씌운 상태에서 지문 보안이 뚫린다는 문제라든지, 음성인식 생체인증을 도입한 외국 은행의 경우 쌍둥이 목소리를 구분하지 못하는 등 보안에 허점을 보이고 있는 것으로 나타났다.

이에 정부는 민간인증서가 위변조 방지대책이라든지 자료 보호조치 같은 보안 장치를 잘 마련해 운영되고 있는지 철저한 검증과 평가를 하겠다고 강조하고 있다.

이어 민간인증서 사용으로 인해 보안이 취약해질 우려가 있다는 지적에 대해서는 “민간인증서를 금융거래에 이용하려면 인증서 발급할 때 금융실명법 수준의 신원 확인을 거쳐야 한다”라며 “아울러 출금이나 이체 등의 금융거래에 대해서는 엄격한 보안 심사를 거친 인증서가 사용될 수 있게 하겠다”고 강조했다. 인증서가 갖춰야 할 기술적 요건을 제시하고 제3의 공신력 있는 기관이 민간인증서가 이를 충족했는지 심사하는 것이다. 대출이나 고액 자금 이체 등 고위험 거래는 인증서에 대한 지문, 얼굴인식 등 추가 인증을 받도록 하겠다는 설명이다.

보안에 대한 여러 가지 이슈가 나오면서, ‘블록체인 기술’이 또 한번 주목받고 있다. 신원인증이라는 중요한 보안 프로그램에 블록체인 기술을 도입해 위·변조 방지를 막고, 금융에 적용하자는 목소리가 커지고 있다.

최근 주목받는 블록체인 기술을 적용한 인증 체계인 분산ID(DID:Decentralized Identity), 탈중앙화 방식의 분산형 신원인증이다.

ID와 패스워드로 로그인하는 기존 방식에서는 우리가 입력하는 모든 정보를 ‘기관’에서 저장하고 관리한다. 기관이 중앙에서 이용자들의 데이터를 관리하기 때문에 내 정보에 대한 통제권을 내가 가질 수 없는 상황인 것이다. 즉, 나의 신원 데이터가 유출되거나 도용될 위험이 존재한다는 말이다.

블록체인을 화폐에 적용한 것이 암호화폐라면, ‘보안 인증’에 적용한 것이 분산ID이다. 중앙화된 시스템이 존재하지 않고, 개인정보를 내 단말기에 저장해 내가 나를 증명해야 할 때 필요한 정보만 내가 직접 제출하는 방식으로, 분산원장 안에 나의 신원정보가 암호화되어 저장되고, 나는 복호화에 필요한 키를 관리하는 방식이다.

공인인증서 폐지 결정으로 다양한 사설인증 도입 준비가 한창인 가운데, 많은 기업과 기관들은 더 안전하고 편리한 차세대 인증 방식을 검토하고 있고, 이미 여러 업체에서 DID에 대한 인증을 개발을 마치고 사용될 예정이다.

‘데이터3법’개정으로 이제 개인의 데이터 주권을 인정하고 개인정보는 스스로 제공하도록 하는 ‘마이데이터 산업’시대가 열렸다. 기업들의 가명 정보 활용이 활성화되면, 개인 맞춤형 제품과 서비스 출시가 더 많아지게 되고, 데이터 산업 진입장벽도 낮아져 다양한 신사업 추진이 더욱 쉬워질 것이다. 개인 소비자 입장에서도 흩어져 있던 나의 개인정보를 쉽고 빠르게 확인할 수 있다. 하지만 마이데이터 산업으로 얻게 될 혜택만큼 기업의 수익 창출 과정에서 개인정보가 오남용은 없을까 하는 걱정도 존재한다.

이런 여러 가지 이유에서‘자기주권 신원(SSI)’사상을 지키는 탈중앙화 방식의 DID가 4차 산업혁명 시대에 주도적인 역할을 할 것라는 전망이다.

이미 DID 디지털 신원 인증은 우리나라 뿐 아니라 세계 주요국에서도 준비하고 있다.

최근 블록체인 기반의 신원인증 서비스들이 우후죽순처럼 기사화되고 있다. 아직 완전한 ‘탈중앙화’방식의 서비스를 찾아보기는 어렵다. 내 스마트폰에 정보를 저장해 두었다가 필요할 때 내가 확인해 주는 방식은 같을지라도, 그 과정에서 여전히 중앙의 기관이 보유하고 있는 나의 정보를 통해 검증하는 방식이 다수다. 블록체인 기술이 적용되었다 해서 모두 탈중앙화된 방식, 자기주권 신원 인증 방식이라고는 볼 수 없다.

사용자의 편리함을 넘어, 사용자 개인 데이터를 완전히 개인의 소유로 만들기 위한 체제로의 전환이 필요한 때다.

임정빈 기자 114help@naver.com

새시대 새언론 시사매거진