ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 공인인증서 강제 의무 폐지, 공인인증서의 의미와 그 이후에 대해서...
    Security 2014. 6. 15. 09:00
    반응형
    아래 글은 공인인증서 강제 의무가 폐지된 이후에 다른 곳에 기고하기 위해 적은 글인데 기고 자체가 무산되어서 그냥 지우기도 아깝고 해서 공개하는 글임. 그러니 시기와 관점에 차이가 있을 수 있다는 것을 미리 알려드리니 참고하길 바람.


    최근 공인인증서에 대한 의무 탑재 폐지가 이뤄진 이후 다양한 인증 방식 및 결제 방식에 대한 이야기가 나오고 있고 또 논란도 뜨겁게 일고 있다. 오랫동안 한국 IT의 한 축으로 자리잡아왔던 공인인증서 시스템에 대한 전반적인 재점검 및 인증, 결제 수단의 다양화 확보가 필요하다는 얘기가 각계각층에서 나오고 있는 상황이다. 수년전부터 공인인증서의 폐지를 주장했던 오픈넷 진영과 공인인증서의 유지를 주장하고 있는 금융감독원 및 여러 업체, 기관들의 싸움도 이제는 슬슬 마무리가 되어가야 할 상황처럼 보이기도 하고 말이다. 공인인증서의 의미와 향후의 방향은 어떻게 갈 것인지 가볍게 살펴봤다.

    나올 때에는 최신 기술, 그리고 한국 IT의 발전을 이끈 기술인 공인인증서

    2000년대 초반에 나온 공인인증서 시스템은 어떻게 보면 한국의 IT 산업을 발전시켰고 이끌고 갔던 IT 기술의 핵심 축이라고 해도 과언은 아니다. 인터넷이 본격적으로 한국에 도입되어 대중화가 될 무렵 아직 기술이 여물지 못하던 시대에 나름대로 한국적인 기술이라고 여겨지는 방식으로 공인인증서 시스템이 만들어졌다. 그 당시에 거의 절대 다수가 사용하고 있었던 OS가 MS의 Windows XP 였고, 웹브라우저는 인터넷 익스플로러 6(IE6)였기 때문에 OS와 웹브라우저에 맞는 기술을 이용하여 인증 시스템을 설계하게 되었고 그것이 지금에 문제가 되고 있는 ActiveX 기술을 도입하게 된 원인이 되었다.

    ActiveX 기술은 요즘 들어서 욕을 많이 얻어먹고 있지만 어떻게 보면 그냥 웹브라우저의 플러그인일 뿐이다. IE의 플러그인 기술로 크롬이나 파이어폭스의 확장기능과 동일하다고 보면 된다. 하지만 처음 설계 및 개발때의 상황은 크롬이나 파이어폭스가 없었고(그 당시에는 파이어폭스의 전신이라 불릴 수 있는 넷스케이프가 있었다) IE가 절대 다수가 사용한 웹브라우저였기 때문에 그에 맞춰서 ActiveX를 이용한 인증 및 보안 시스템이 설계되고 만들어질 수 밖에 없었다. 물론 지금에 와서 지속적으로 기술에 맞게 타 브라우저와 타 OS에 호환되도록 만들었다면 공인인증서가 지금의 이 사단(?)이 나지는 않았겠지만 여하튼 그 당시에는 ActiveX를 사용해서 공인인증서를 만들어서 사용하더라도 지금처럼 이렇게 문제가 되지는 않았다.

    그리고 공인인증서 기술에 들어간 다양한 보안 기술은 역시 그 당시에 사용할 수 있었던 기술 중 웹 환경에서 사용할 수 있는 최대의 기술을 다 동원해서 만든 것이라고 봐야 할 것이다. 암호화 기술이나 키보드 후킹 방지 기술, 화면 저장 방지 기술 등 지금의 공인인증서 및 인터넷 뱅킹, 결제 시 설치되는 다양한 보안 솔루션들은 대부분 2000년대 초, 중반기에 국가의 가이드라인에 맞춰서 만들어진 기술이다. 그리고 그 기술은 그 당시에는 최신의 기술이었으며 혁신이나 다름없었고 지금의 수많은 기술들이 그 당시 이러한 기술들을 바탕으로 지금까지 발전한 사례가 많다.

    또한 공인인증서는 어떻게 보면 철저하게 한국식 인증 방식이라고 할 수 있다. 이른바 인감도장과 같은, 디지탈 인감도장의 개념이 도입된 인증서라는 얘기다. 공인인증서의 핵심 기능 중 하나가 부인방지 기능이 있다. 부인방지는 이 공인인증서로 인증을 받아 진행한 작업에 대해서 본인이 인증해서 진행한 작업이기 때문에 나중에 이를 부인하지 못하게 하는 방법이다. 즉, 사후 증명이 가능한 방식으로 우리가 보통 주민센터나 공공기관, 관공서 등에서 인감도장을 이용하여 서류에 개인인증을 하는 것과 마찬가지라고 보면 된다. 실 생활에서는 인감도장을 직접 사용하지만 인터넷과 같은 온라인에서는 인감도장을 사용할 수 없기 때문에 공인인증서가 대신 사용되어진다고 하는 것이다. 물론 인감도장보다는 일반 도장의 성격에 더 가깝기는 하지만 의미는 그렇다고 볼 수 있다. 한국식 관리 방법이 나름 잘 녹아들어간 방식이라고 하는 것이다.

    공인인증서 자체의 문제보다는 ActiveX 방식의 문제가..

    그런데 왜 이리도 문제가 되는가? 공인인증서가 문제가 된 다기 보다는 아마도 ActiveX라는 기술 방식에 대한 불만이 공인인증서 문제로 옮겨간 것이 아닌가 하는 생각이 든다. 우리가 많이 사용하는 웹브라우저라고 한다면 IE, 크롬, 파이어폭스, 사파리 정도가 될 것이다. 그 외에도 오페라 등 수많은 웹브라우저들이 있다. 이들은 기본적으로 인증서 인식 시스템과 암호화 시스템을 갖고 있다. 하지만 대부분의 웹브라우저가 미국에서 만들어진 미국 표준 제품들이다. 한국식 표준이라고 불릴 수 있는 공인인증서나 SEED, ARIA와 같은 국내 기술은 적용되어있지 않다. 그렇다보니 이들 시스템에 한국식 표준을 적용하기 위해서 어쩔 수 없이 웹브라우저 플러그인을 사용하기 시작했고 그것이 과거부터 쭉 이어진 ActiveX 방식으로 지금까지 이어지게 된 것이다. 그런데 매번 설치해야 하고 ActiveX 방식은 OS의 시스템 부분을 건드리기 때문에 충돌도 일어나기도 하고, 이래저래 불편도 많고 문제점도 많이 노출이 되었다. 하지만 이미 공인인증서를 이용하는 서비스들은 대부분 이런 ActiveX 기반의 공인인증서, 보안 시스템을 이용하기 때문에 사용자 입장에서는 어쩔 수 없이 불편한 ActiveX 방식의 현재 시스템을 사용할 수 밖에 없고, 그러다보니 ActiveX 방식의 불편함이 공인인증서의 불편함으로, 결국은 공인인증서 강제 의무 폐지까지 이르게 된 것이라 보고 있다.

    다양한 대안이 거론되고 있지만 실제 도입과 활성화까지는 갈 길이..

    어찌되었던 과거 오랫동안 대한민국의 IT의 한축을 이뤄왔던 공인인증서는 이제 설 자리를 많이 잃어버리게 된 것은 사실인 듯 싶다. 그리고 그 대안으로 여러 가지 기술들이 나오고 있는데 미국의 아마존이나 이베이, 구글 등에서 많이 사용하고 있는 방식들이 그 대안으로 얘기가 되고 있다. 아마존의 원클릭 방식이나 구글월렛, 페이팔과 같은 방식이 대안으로 대두되고 있는 상황이다. 대안으로 나온 기술들은 대부분 웹브라우저에서 기본으로 제공하는 기술을 그대로 이용하기 때문에 ActiveX와 같은 플러그인을 필요로 하지 않는다.

    대안 중 하나로 얘기 나오고 있는 아마존의 원클릭 방식은 신용카드의 카드번호와 유효기간, CVS(카드 뒤에 적혀있는 3자리 숫자로 신용카드의 암호화도 같은 존재) 값을 입력하면 결제가 가능하다. 물론 사용자PC와 아마존의 결제 서비스 사이에는 HTTPS라는 보안 웹통신을 이용하여 보호된다. 그리고 HTTPS 외에 다른 보안 장치는 대부분 서비스가 처리하는 방식으로 되어 있다. 즉, 공인인증서를 사용하는 국내의 경우에는 사용자가 자신의 PC에 공인인증서 시스템을 비롯한 다양한 보안 솔루션을 설치해서 사용하도록 되어있다. 보안이 주로 사용자 단에서 이뤄진다는 얘기다. 하지만 아마존을 비롯한 대안으로 얘기되고 있는 방식은 대부분 보안이 서비스 단에서 이뤄진다는 것이 특징이다. 그리고 문제가 생겼을 경우 서비스를 책임지고 있는 사업자가 해당 문제에 대한 책임을 지게 되어있는 것이 대안으로 얘기되고 있는 기술들의 특징이다. 사용자 입장에서는 더 편리하지만 사업자 입장에서는 더 골치 아프게 된다는 얘기도 된다. 하지만 점점 사용자 편의 위주로 서비스가 개편되어가고 있는 요즘의 상황에서는 사업자 입장에서는 어쩔 수 없이 따라가야 하는 상황임은 분명한 듯 싶다.

    대안으로 나오고 있는 기술에 대한 문제점은 많이 존재한다. 아마존의 원클릭이나 구글월렛, 페이팔 등의 대안으로 떠오르고 있는 서비스들은 언론 등에는 잘 노출되지 않지만 수많은 사고들이 그 이면에서 일어나고 있다. 하지만 충분히 보상이 가능하다고 보고 그들은 서비스를 진행한다. 사용자 입장에서도 편리하기 때문에, 그리고 문제가 생겨도 충분히 사업자 측으로부터 보상을 받을 수 있다는 신뢰 때문에 해당 서비스를 이용하곤 한다. 국내에서 이런 대안으로 떠오르고 있는 서비스가 활성화되기 위해서는 이런 신뢰가 우선적으로 성립되어야 할 듯 싶다.

    어찌되었던 공인인증서 의무 폐지가 현실화 되었고 대안으로 떠오르고 있는 기술에 대해서 이런저런 검증 작업에 들어가고 있는 상황임은 분명하다. 하지만 위에서 얘기했듯 대안으로 떠오르고 있는 기술에 대한 검증이 완벽하게 이뤄지지 않는 한, 그리고 서비스에 대한 신뢰성 성립이 진행되지 않는 한 공인인증서와 함께 계속 이런 기술들이 양립되면서 한동안 인터넷 결제 시장은 혼란스러운 과도기를 거치지 않을까 하는 우려를 해본다. 공인인증서 유지를 지지하고 있는 진영에서 이대로 가만있지는 않을 테니 말이다. 현재 상황에 걸 맞는 기술을 갖고 나와서 대안 기술에 대해서 경쟁을 할 테니 말이다. 그리고 아직까지 대한민국의 대부분의 결제시스템이 공인인증서 기반으로 되어있기 때문에 기술 교체에 대한 비용에 대해서 사업자가 과연 얼마만큼 투자를 할 것인가에 대해서도 생각을 해봐야 할 상황이다. 투자한 만큼 이득이 나지 않으면 대안 교체에 대한 계획을 세우기가 어려운 것이 현실적인 문제일 테니 말이다.


    반응형

    댓글

Designed by Tistory.