<10문10답>복잡한 단계 안거치고도 보안성 강화.. 따로 저장할 필요도 없어

■ ‘독점’ 공인인증서 폐지

지문·안면인식 등 확산 추세… 내년 연말정산에도 이용 가능할듯

전세계 유일했던 ‘공인인증서’

액티브X 등 소비자 불편 극심

민간인증서 업체들 경쟁 가열

은행들 자체 인증서 제공하고

이동통신 3사 주도 ‘패스’ 내놔

카카오페이·토스도 발급 늘어

금융거래, 사용자 재산과 직결

고액대출 등 고위험 거래할땐

정부 ‘멀티팩터’ 추가 인증해야

드디어 중국인들도 ‘천송이 코트’를 살 수 있게 됐다. 2014년 당시 인기 드라마 ‘별에서 온 그대’의 주인공 천송이(전지현 역)가 입었던 코트를 중국인들이 직접 구매하려 했지만 “중국인들이 ‘공인인증서’가 없어 구매하지 못한다”는 문제가 제기된 뒤 6년 만에야 제대로 해결된 셈이다. 10일부터 지난 21년간 독점적 지위를 누렸던 공인인증서가 사라졌다. 물론 ‘공동인증서’란 이름으로 여전히 실생활에 쓰이겠지만, 독점적 지위가 사라지며 민간 인증서 사업에 뛰어든 업체 간 경쟁이 치열해지고 있다. 공인인증서가 없어지면 어떤 변화가 생기는지, 인증서 시장에 뛰어든 기업들은 어떤 편익을 제공할지 등을 10문 10답을 통해 살펴봤다.

1. 공인인증서 역사는

공인인증서는 1999년 전자서명법 제정과 함께 도입됐다. 공인인증서는 말 그대로 국가가 공인(公印)한 기관이 소유자 정보를 포함한 인증서를 발급해 주민등록증이나 인감 날인, 서명과 같은 신원 확인을 인터넷에서 처리할 수 있도록 개발됐다. 당사자의 신원을 확인하는 수단으로 공개키 기반 구조(PKI)에 소유자 정보를 추가해 만들었다. 당시만 해도 대면하지 않은 상태에서 신원을 확인할 수 있는 수단이 마땅치 않았다. 공인인증서는 인터넷이 막 보급되기 시작한 초기 안전한 전자서명 수단으로 광범위하게 활용되면서 금융·쇼핑·행정 등 온라인 업무처리 활성화에 기여했다는 평가를 받는다.

2. 공인인증서 왜 불편했나

공인인증서는 전 세계에서 유례를 찾기 어려운 한국만의 시스템이라 국제화 시대에 걸맞지 않았다. 인증서 설치·보관·갱신 등이 불편하고 다양한 기기에서 쓰기 어렵다는 지적도 계속됐다. 특히 설치와 실행 과정에서 각종 플러그인, 액티브X 등 복잡한 프로그램을 함께 설치해야 해 소비자 불편이 극심했다. 일례로 공인인증서를 설치할 때 필수적인 액티브X는 미국 마이크로소프트(MS)가 개발한 기술인데, MS의 웹브라우저 인터넷 익스플로러(IE)가 아닌 다른 운영체제(OS)·브라우저 환경에선 잘 구동되지 않았다. 알파벳과 숫자, 특수문자까지 조합해 만들어야 하는 긴 공인인증서 비밀번호 등의 불편함도 꾸준히 제기됐다. ‘천송이 코트’를 계기로 2014년 공인인증서 의무 사용 규정이 폐기됐지만, 공인인증서에 의존하는 기존 시스템은 크게 변하지 않았다.

3. 기존 공인인증서는 못 쓰나

쓸 수 있다. 공인인증서가 완전히 사라지는 것은 아니다. 다만 ‘공인’이라는 지위를 잃고 이름이 ‘공동인증서’로 바뀐다. 이용 중인 공인인증서는 그대로 사용할 수 있다. 만약 공인인증서 유효기간이 끝나면 공동인증서를 재발급·갱신하거나, 민간 인증서를 이용하면 된다. 공동인증서와 민간 인증서는 법적으로 같은 효력을 지닌다. 기존에 발급한 공인인증서의 유효기간이 1개월 이내로 남은 경우 갱신해 계속 사용할 수 있다. 갱신은 기존과 같이 공인인증서를 발급받았던 금융사 등의 홈페이지·모바일 앱에서 하면 된다. 갱신 횟수는 제한이 없다. 공동인증서를 새로 발급받을 수도 있다. 공동인증서는 공인인증서와 동일하게 은행 창구(신분증 지참)나 비대면 실명 확인을 거쳐 발급받으면 된다.

4. 금융거래에 사용 가능한 인증서는

금융거래에 이용할 수 있는 인증서는 △기존 공인인증서를 대체하는 공동인증서(기존 공인인증기관 발급) △개별 은행 등이 발급한 인증서 △이동통신사나 플랫폼 사업자 등이 발급한 인증서가 있다. 다만 개별 은행이 발급한 인증서는 다른 금융기관에서 이용이 제한될 수 있다. 이동통신사나 플랫폼 사업자가 발급한 인증서는 금융실명법 수준의 실명 확인 절차를 거치지 않으면 금융거래 때 사용이 제한될 수 있다. 이 밖에도 향후 다양한 민간 인증서가 금융거래에 이용될 것으로 전망된다. 과학기술정보통신부가 공인인증서를 사용하고 있던 500개 웹사이트에서 현재 이용되는 민간 인증서를 확인한 결과, 간편한 가입·발급 절차, 비밀번호(PIN)·생체·패턴 등으로 편리성을 갖춘 민간 인증서(약 7개)가 점차 도입되고 있었다. 11월 말 기준 민간 인증서 발급 건수(6646만 건)는 공인인증서(4676만 건)를 넘어서기도 했다.

5. 금융권이 주도하는 주요 인증서는

KB국민·하나·NH농협·기업은행 등 일부 은행은 자체 인증서를 발급하고 있다. 그중 국민은행은 금융권에서 선제적으로 대응했다고 평가받는다. 2019년 7월 선보인 민간 인증서 ‘KB모바일인증서’는 약 1년 만인 올해 12월 가입자가 530만 명을 돌파했다. 국민은행은 연내 1000만 명이 이 인증서를 이용할 것으로 예상했다. 패턴, 지문, 얼굴(Face) ID 중 하나를 선택해 간편하게 로그인할 수 있고, 1회용 비밀번호 생성기(OTP)나 보안카드 없이 금융거래를 할 수 있다. KB금융그룹 5개 계열사 앱에서 이 인증서로 로그인이 가능하다. 농협은행은 NH원패스, 하나은행은 하나원큐 모바일 인증 등을 제공하고 있다. 기존 공인인증기관이던 금융결제원의 ‘금융인증서비스’는 국민·신한·우리·하나·농협은행 등 주요 은행을 포함해 총 22개 금융기관에서 이용할 수 있다.

6. 통신사와 플랫폼사업자의 인증서는

현재 이동통신 3사(SK텔레콤·KT·LG유플러스)가 주도하는 ‘패스(Pass) 인증서’와 카카오페이의 ‘카카오페이 인증서’, 비바리퍼블리카의 ‘토스 인증서’ 등은 나란히 누적 발급 건수 2000만 건을 돌파했다. 이들은 간편함과 접근성을 무기로 ‘국민인증서’ 자리를 선점하기 위해 경쟁하고 있다. 패스는 인증서 발급 절차를 기존 6단계에서 약관 동의와 PIN, 생체 인증 등 2단계로 축소했다. 패스는 현재 농협은행·흥국생명·신한금융투자·미래에셋대우·KB증권 등 다양한 금융사와 제휴를 맺고 있다.

카카오페이 인증서는 카카오톡을 통해 간편 인증이 필요할 때나 제휴기관 서비스에 로그인할 때 사용할 수 있다. 별도 프로그램은 설치하지 않아도 된다. 지난해에는 ‘행정·공공기관 모바일 전자고지’ 정보통신기술(ICT) 규제 샌드박스 임시허가 사업자로 선정됐다. 카카오페이 인증을 통해 행정·공공기관의 전자우편·중요 문서를 카카오톡으로 수신·열람하는 서비스가 제공되고 있다. 안내되는 내용은 한국교통안전공단의 자동차 검사 사전 안내문, 국민연금공단의 연금 가입 내역 안내문 등이다.

7. 민간 인증서의 장점은

민간 인증서에 따라 장점은 제각각이다. 기존 공인인증서의 단점을 개선한 인증 서비스가 대세를 이룬다. 금융결제원의 금융인증서비스를 살펴보면 공인인증서는 플러그인 프로그램을 설치해야 하지만, 금융인증서비스는 별도 프로그램을 설치하지 않아도 된다. 저장 장소도 공인인증서는 스마트폰, 컴퓨터 등이었지만 금융인증서비스는 클라우드에 저장돼 따로 이동 저장할 필요가 없다. 금융인증서비스는 지문 인증이나 6자리 비밀번호 등으로 간편하게 인증해 사용할 수 있다. 그 외 개별 은행과 플랫폼 사업자는 각자가 제공하는 서비스 특성에 맞게 이용자 편의성과 보안성을 강화한 인증서를 제공하고 있다.

8. 민간 인증서로 연말정산 가능한가

정부는 내년 1월부터 홈텍스 연말정산 간소화 서비스(국세청)에 민간 인증서를 도입할 계획이다. 연말정산 간소화 서비스 웹사이트에서 간편 서명을 누르면, 이용 가능한 인증서 목록이 나온다. 사용자는 이 중 자신이 보유한 인증서를 선택해 연말정산을 진행하면 된다. 이를 위해 정부는 지난 9월 공공분야 전자서명 확대 도입을 위한 시범사업에 착수, 카카오(카카오인증), KB국민은행(KB스타뱅킹), NHN페이코(페이코), 한국정보인증(삼성PASS), 이동통신 3사(PASS) 등 5개 사업자를 후보 사업자로 선정했다. 정부는 물리적·기술적·관리적 보안사항을 점검한 후 연말 사업자를 최종 확정할 예정이다. 그 외 정부는 내년 1월부터 정부24 연말정산용 주민등록등본 발급서비스(행정안전부), 국민신문고(국민권익위원회) 등 주요 공공 웹사이트에 민간 인증서를 도입한다.

9. 어떤 인증 기술이 있나

현재 가장 활발하게 이용되는 기술은 생체정보 인증이다. 아이디와 비밀번호 등은 사용자가 기억하고 제대로 입력해야 하지만, 고유의 생체정보를 통한 인증은 이 같은 수고가 필요하지 않다. 생체정보 인증은 지문 인식을 중심으로 개발된 후 점차 홍채, 안면 인식 등 다양한 신체 분야로 확대되고 있다.

블록체인 기술 기반의 분산신원인증(DID)은 새롭게 각광받는 기술이다. DID는 개인정보를 기업, 정부기관 등 제3의 기관 중앙 서버에 두는 식이 아니라 스마트폰, 태블릿, PC 등 개인 기기에 분리해 관리한다. 위·변조가 불가능한 블록체인상에서 해당 정보의 진위만 기록하고 별도 중개자 없이 본인 스스로 신분을 증명할 수 있다. DID를 적용할 경우 데이터를 분산 저장하기 때문에 보안이 뛰어나다는 장점이 있다. 서로 다른 인증 수단을 함께 적용하는 멀티팩터인증(MFA)도 많이 사용되고 있다. 아이디와 비밀번호 외에 생체정보 인증, DID, OTP, 신용카드 인증, 휴대전화 인증 등을 함께 적용하면 보안성을 높일 수 있다.

10. 민간 인증서 안전성·보안성 문제는

금융거래 때 사용되는 인증서는 사용자의 재산과 직결되기 때문에 편리성뿐만 아니라 보안성과 안전성도 중요하다. 정부는 비대면 금융거래 때는 정부가 제시한 기술적 요건을 갖춘 후 제3의 공신력 있는 기관에서 심사를 받고 통과한 인증서만 사용되도록 제한했다. 또 대출이나 고액 자금 이체 등과 같은 고위험 거래 때는 멀티팩터인증(MFA)을 하도록 의무화했다. 고위험 거래 때는 인증서와 함께 지문이나 얼굴 인식 등 추가 인증을 받아야 한다는 의미다. 정부는 금융회사의 책임도 함께 강화했다. 정부는 다양한 인증서가 금융거래에 이용되기 때문에 금융거래 사고에 대한 금융회사의 배상 책임을 이용자가 허용하지 않은 결제·송금까지 확대했다.

민정혜·송정은 기자

[ 문화닷컴 바로가기 | 문화일보가 직접 편집한 뉴스 채널 | 모바일 웹]

[Copyrightⓒmunhwa.com '대한민국 오후를 여는 유일석간 문화일보' 무단 전재 및 재배포 금지(구독신청:02)3701-5555 / 모바일 웹:m.munhwa.com)]