공인인증서의 우월적 지위 폐지로 인해 변해갈 본인 인증 방식의 변화에 대해서
며칠이 된 뉴스이기는 하지만 보안 분야를 지속적으로 해오고 있는 내 입장에서 매우 흥미로운 뉴스가 나왔다. 1월 24일에 정부에서 공인인증서의 공인이라는 우월적 지위를 폐지하겠다는 뉴스가 바로 그 주인공이다.
공인인증서의 폐지나 다름없다는 평가가 나오고 있는데 이유인 즉 그동안 공인인증서가 정부, 공공기관 및 금융기관 서비스를 이용하는데 있어서 거의 유일무이한 인증수단으로 이용되고 있었으며 그 근거가 전자서명법으로 법적인 근거가 있다보니, 그리고 그 법에서 허용하는 보안성을 충족(?)하는 다른 인증 방법이 나오지 못하다보니 공인인증서는 그 우월적 지위를 이용하여 한국 인터넷 시장의 인증 시장에서 가지는 파워는 절대적이었는데 그 우월적 지위가 없어지면 사람들이 공인인증서 사용을 (불편함 등을 이유로) 거부할 것이며 공인인증서보다 더 편하게 인증을 받는 방법으로 대거 이동을 할 것이기 때문에 공인인증서 폐지나 다름없다고 얘기하는 것이다. 참고로 이 의견은 내 개인적인 생각이기는 하다.
원래의 목적 외 용도로 사용되면서 시작된 불쌍한 공인인증서의 비극
공인인증서에 대해서는 이런저런 할 얘기는 많다. 엄밀히 따져 현재 공인인증서의 사용에 따른 불편은 원래의 공인인증서의 목적보다 더 남용해서 사용함으로 인해 야기되었다고 생각을 한다. 뭐 솔직히 말하면 남용한 업계로 인해 공인인증서 자체가 좀 불쌍해진 케이스라고나 할까.
원래 공인인증서의 목적은 전자서명을 하는데 있어서 서명에 대한 인증, 신원 확인, 위변조 방지 및 부인방지가 목적이다. 전자서명은 인터넷을 비롯한 온라인 상에서 계약문서(혹은 공문서 등)에 서명을 하는데 온라인은 오프라인과 달리 손으로 서명을 할 수 없으니 디지털 방식으로 서명하는 것으로 그 전자서명을 공인인증서를 통해 진행하도록 되어 있다. 그리고 그 공인인증서로 전자서명을 한 계약문서에 대해서는 향후에 서명에 대한 부인을 할 수 없는 법적 근거를 갖는다는 것이 공인인증서의 목적이라고 할 수 있다.
공공 서비스의 로그인 서비스로 남용된 공인인증서 시스템의 예
그런데 그 공인인증서의 기능 중에 신원 확인이 있으며 이것이 법적 근거를 갖는 본인 인증이기 때문에 본인 인증이 확실히 필요한 정부, 공공기관 서비스나 금융 거래가 진행되는 인터넷 뱅킹, 주식 거래 등의 금융 서비스, 결제 등이 필요한 쇼핑몰 서비스에서는 다른 인증 방식을 도입하기 보다는 공인인증서를 이용한 인증을 이용한다면 확실한 본인 인증이 됨과 동시에 본인 인증에 대한 법적인 책임을 피할 수 있기 때문에 인증 방식으로 공인인증서가 본격적으로 쓰이기 시작했다고 생각을 한다. 공증이 필요한, 쌍방의 서명이 필요한 온라인 전자서명에서만 사용되어야 할 공인인증서가 인증 서비스 시장으로 용도가 변경되어 사용되기 시작되면서 공인인증서의 비극(?)이 시작되었다고 개인적으로는 보고 있다.
물론 앞서 말했던 것처럼 공인인증서의 기능 중에 신원 확인 기능이 있기 때문에 충분히 공인인증서 솔루션을 본인 인증 방식으로 채택할 수는 있다. 문제는 꼭 필요한 곳에서만 본인을 인증할 때만 사용하면 그나마 괜찮을 것을 서비스의 로그인 용도로까지 쓰기 시작하다보니 공인인증서에 대한 불편한 부분이 제대로 부각되기 시작되었고 수년전부터 공인인증서 폐지 운동이 지속적으로 나오다가 결국 지금에 와서는 공인인증서의 법적 지위를 강탈당하는 상황까지 오게 된 것이다.
불편을 초래하는 공인인증서 시스템의 태생적 한계
공인인증서 시스템이 왜 요모양 요꼴로 왔는지는 이 블로그의 여러 포스팅을 통해서 언급한 바가 있다. 간단히 요약하자면 공인인증서 시스템의 요구사항이 공인인증서 시스템을 만들기 시작한 시점에서는 표준 웹기술로는 구현이 불가능하며 외부 기술(이라고 쓰고 플러그인이라고 읽으며 통칭 ActiveX라고 하자. 그 당시에는 IE6가 거의 절대적인 웹브라우저였으며 Windows OS가 국내 사용자의 99%를 차지하고 있었으니)을 이용해야만 가능했기에 그 당시에 가장 많이 사용했던 OS인 Windows에서 또 가장 많이 사용하고 있던 웹브라우저인 IE6를 기준으로 외부 기술인 ActiveX를 이용하여 그 요구사항들을 구현하게 되었으며 그것이 지금까지 쭉 이어지게 되었다고 보면 된다.
물론 근 17~8년 가까이 세월이 지나오면서 웹 환경이 변했는데 공인인증서 환경은 왜 그대로인가라고 얘기를 할 수 있다. 그런데 그 이유는 공인인증서를 주로 사용하고 있는 서비스들의 특성, 특히 금융 서비스들의 특성을 생각하면 얼추 이해가 되는데 안정성에 특히나 목숨을 거는(돈이 오가는 서비스다보니) 금융권의 특성으로 인해 새로운 기술의 도입에 대해 안정성이 확보되고 수백번 이상 검증을 거치지 않는 이상 도입을 꺼리는 상황이 이어지며 지금까지 오게 되었다고 보면 된다. 공인인증서의 환경이 17~8년전 환경이 그대로 유지된 것은 아니고 조금씩 바뀌기는 했지만 크게 바뀌지 못했던 것은 공인인증서 관련 회사들의 로비 때문도 있겠지만 그것보다는 공인인증서를 사용하는 서비스의 운영 기업의 특성도 한몫했다고 본다.
뭐 어찌되었던간에 그 말많고 탈이 많았던(?) 공인인증서가 폐지 수순을 밟고 있다. 앞서 언급했던 것처럼 현재의 공인인증서 시스템은 단순히 공인인증서 처리를 위한 부분 뿐만이 아니라 공인인증서 안의 키를 이용한 암호화 통신, 공인인증서의 암호 입력을 보호하기 위한 키보드 보안 등의 다양한 보안 시스템들이 함께 동작하는 구조다보니 생각보다 엄청 불편했던 것이 사실이다. 솔직히 따져서 공인인증서 처리보다는 키보드 보안과 암호화 통신을 위한 모듈 설치가 더 귀찮았다고 보고는 있지만 어찌되었던 공인인증서 시스템은 보통 이런 보안 시스템들까지 합쳐서 얘기를 하다보니 상당히 불편한 것이 사실이다. 그러다보니 공인인증서가 그 공적인 지위를 빼앗기게 되면 당연히 이 불편한 시스템을 탈피하고자 하는 사용자들의 움직임들이 매우 크게 진행될 것이 분명하다.
공인인증서를 대체할만한 인증 기술들은?
솔직히 전자서명을 위한 부인방지 부분까지 없어질 것인지는 모르겠다만 정부는 전자서명법을 일부 개정해서 현재의 공인인증서의 인증 부분에 대한 내용은 손을 볼 예정이라고 한다. 그리고 이 공인인증서를 대체할 다양한 인증 방법들이 언급되고 있기도 하다. 일단 본인 인증이라는 부분만 따져서 얘기를 해보도록 하자. 여러가지 인증 방법들이 공인인증서의 인증 방법을 대체하는 방법으로 얘기되고 있는데 모바일의 생채 인증(지문인식, 얼굴인식, 홍채인식 등)을 연계해서 인증하는 방법과 이통사의 휴대전화 인증을 통한 인증 방법이 대표적인 공인인증서의 인증 대체 방식으로 언급되고 있다.
모바일 지문인식 시스템은 현 시점에서 가장 편한 인증 방법이라고 할 수 있다
생채 인증의 경우 지문이나 홍채 등의 생채 정보는 개인을 판별할 수 있는 가장 강력한 수단이며 기존 공인인증서의 암호를 입력하는 방식보다 훨씬 편리하기 때문에 각광을 받고 있다. 여기에는 스마트폰이 본인만 지니고 있는 개인 장비라는 기본적인 인식 위에 2차 인증으로 생채인증을 더해 본인임을 확실하게 인증하는 것으로 얘기되고 있어 공인인증서를 대체하는 인증 방법으로 많이 얘기되고 있는 것이 사실이다.
휴대전화 인증을 통한 인증 방법의 경우 이통사를 통해 가입할 때 본인 인증 과정을 거치기 때문에 이미 거친 본인 확인 과정을 휴대 전화 인증을 통해 퉁치는 방법으로 보면 되는데 앞서 모바일을 통한 생채인증에서 스마트폰의 소유가 본인임을 기반으로 하는 것은 비슷하며 ARS나 문자 인증을 통해 2차 인증으로 검증하는 것으로 공인인증서의 암호를 입력하는 것과는 크게 다를 것 없다고 생각할 수 있지만 공인인증서가 없이도 인증이 가능하다는 점에서 많이 얘기되고 있는 것이 사실이다.
또 신용카드를 통한 인증 서비스도 대안으로 떠오르고 있는데 신용카드를 사진으로 찍어서 인증 받는 방식, 혹은 신용카드의 번호와 뒤의 CVC 코드를 입력해서 인증 받는 방식이 대안으로 떠오르고 있다. 신용카드는 보통 본인에게만 발급이 되고 또 본인만 들고 다닌다는 일반적인 생각을 기반으로(물론 법인카드는 제외다) 인증에 이용하는 방식인데 앞서 언급한 2가지 방법과 함께 많이 언급되고 있다.
위에서 언급한 3가지 방법 외에도 카카오뱅크가 채택한 방식도 언급이 되고 있는데 카카오뱅크는 그냥 비밀번호를 입력하는 것으로 인증을 한다고는 하지만 그것은 겉으로 보이는 것만 그렇고 서비스 내부의 서버에서 진행되는 본인 인증 프로세스는 공개된 내용 외에도 더 복잡하고 강력한 보안 기술들이 더 들어갔기 때문에 지금까지 그런대로 문제없이 진행되고 있는데 이 시스템을 도입하기 위해서는 생각보다 어려움이 많을 수도 있겠다는 생각이 든다. 그 외에도 다양한 본인 인증 방식들이 언급되고 있다.
어찌되었던 앞서 언급한 방법들은 지금의 공인인증서의 인증 방식보다는 편하다는 강점이 있다. 물론 그 인증 방법들이 지금까지 공인인증서가 보유하고 있는 그런 보안성 및 안전성을 얼마나 확보를 했는가에 따라서 채택 여부가 가려지겠지만, 또 공인인증서의 법적 지위를 부여했던 전자서명법이 어떻게 개정되는가에 따라서 달라지겠지만 좌우간 앞서 말했던 인증 방식들 중에서 서비스 업체들이 구축하기 편한 방법을 채택해서 구축할 것이라 본다. 그렇다고 당장에 공인인증서 시스템을 걷어낼 것 같지는 않고 한동안은 함께 쓰겠지만 어느 한쪽으로 사용이 쏠리다보면 공인인증서 방식은 저절로 빠지지 않겠는가 하는 생각이 든다.
조만간 공인인증서의 불편에서 벗어나 좀 더 편한 인증 방식으로..
서두에 언급했던 것처럼 공인인증서의 오늘날의 이런 취급(?)은 공인인증서의 원래의 목적인 전자서명 시 신원 확인, 서명 인증 및 부인방지 기능을 벗어난 다른 시장(?)의 진출로 인해 야기된 비극(?)이라는 생각이 든다. 뭐 어쩌겠는가. 그것을 야기했던 것이 지금의 공인인증서 솔루션을 만들었던 업체들이며 정부 담당자들이니 자기네들이 저지른 것에 대한 대가를 지불받은(?) 것이라고 해야 맞는 것이 아니겠나 싶다. 그렇다고 대안으로 제시되는 위의 방법들이 온전히 공인인증서의 인증 방법을 대체할 것으로 보이지도 않는다. 지금의 방식만으로는 부족한 것이 있기 때문에 안정성과 보안성을 더 강화한 모바일 생채인증 방식이나 이통사의 휴대 전화 인증 방식 등이 나올 것으로 보이며 그것에 대한 보안성 심사가 진행될 것으로 그 이후에나 쓸 수 있지 않겠는가 하는 생각이 들기 때문이다.
결과가 어떻던간에 대한민국 인증 시장이 변하고 있는 것은 사실이다. 지금까지 불편을 감수하면서 썼던 공인인증서에서 조만간 벗어나게 될 것이며 지금보다는 훨씬 편한 인증 방법으로 정부 기관 서비스나 공공 서비스를 이용할 수 있을 것이며 인터넷 뱅킹이나 모바일 뱅킹에서 송금 서비스를 이용할 수 있을 것이다. 개인에게는 인증이 편해진만큼 서비스 활용이 더 활발해지기를 바랄 뿐이며 그동안 공인인증서로 인해 경색(?)된 인증 시장 역시 지금보다는 훨씬 더 활발히 성장할 수 있는 기회가 될 수 있기를 바랄 뿐이다.