서비스사업본부 보안분석팀 김수미

정부는 1999년부터 현재까지 20여 년간 사용되어 온 공인인증서를 폐지하기 위해 전자 상거래법과 전자 서명법 등 공인인증서 사용을 의무화한 법령 개정을 금년 하반기까지 순차적으로 추진한다고 밝혔다. 그 동안 우리는 인터넷을 이용한 은행업무, 전자상거래, 본인신원확인이 필요한 경우 인증을 위해 공인인증서의 전자서명을 이용해왔다.

공인인증서는 1999년 7월 처음 도입되었는데 인터넷뱅킹이 일반화 되면서 급속도로 퍼져나갔다. 2006년 공인인증서 사용 의무화가 되면서 사설인증기관이 사라지고 해외 보안 시스템의 진입 또한 차단되었다. 공인인증 프로그램은 그 당시 주를 이루었던 윈도우 운영체제와 인터넷 익스플로러 환경에 맞춰 제작되었고, 이로 인해 타 운영체제나 웹 브라우저 환경에서의 호환성 문제가 대두되어 왔다. 현재는 그 대안으로 범용프로그램(EXE)을 도입하여 사용하고 있다.

공인인증서는 은행 뿐만 아니라 카드회사, 인터넷 쇼핑몰, 민원서비스 등 본인확인을 요구하는 다양한 분야에 사용되고 있다. 브라우저 호환성 문제 외 인터넷 뱅킹 이용 시 보안프로그램만 5개 이상 설치해야 하고 설치 후에도 오류가 발생하는 등 여러 불편함이 존재하지만 매년 이용자 수는 급격하게 증가해오고 있다. 편리한 온라인 서비스의 이용자 수가 급증함에 따라 공인인증서 이용자 수도 늘어난 것이다. 온라인 서비스를 이용하기 위해서는 공인인증서가 필수이기 때문에 불편함을 감수하고도 사용할 수 밖에 없는 실정이다.

금융위원회는 2014년 초에 ‘천송이 코트‘ 논란이 일자 이듬해 3월 전자금융감독규정을 재정하여 인터넷 뱅킹 및 쇼핑몰 이용에 필요한 공인인증서 사용의 의무화를 폐지하였다. 하지만 금융사들은 2002년부터 15년 넘게 본인 인증의 수단으로 인증서를 사용했기에 새로운 보안 시스템을 도입하기는 쉽지 않다는 주장이다. 본인인증 수단으로 2006년 도입된 ‘i-PIN’의 경우 2013년 부정 발급 사건이 발생하여 보안 문제가 계속 제기되었고 이로 인해 여전히 사용률은 부진하다.

보안 사고의 책임을 금융사가 아닌 사용자에게 전가시키는데 유용하기 때문에 금융사들이 공인인증서를 선호한다는 지적도 있다. 외국에서는 인증 시 은행서버가 사용자에게 입증하지만 국내에서는 반대로 사용자가 본인임을 서버에게 입증해야 하므로 공인인증서 도용 등에 따른 책임을 소비자가 질 수 밖에 없는 실정이다. 

인터넷 뱅킹의 예시를 들어보자. 다음은 BoA(Bank of America)와 국내 은행의 송금 프로세스를 비교한 것이다. 해외의 경우에는 인증 부분이 매우 간단히 진행되고 절차 역시 간소화 되어있는 것이 특징이다. 그에 비해 국내의 경우 인증 부분에서 상당히 번거로운 절차를 걸친다.

일단 국내에서는 ‘공인인증서’라는 개념이 들어가고 이 인증서를 발급받기 위해 은행 방문 후 홈페이지에서 또 한 번의 등록이 필요하다. 또한 발급한 은행 외 해당 인증서를 사용해야 할 경우 ‘타 기관 인증서 등록’을 다시 한번 해야 사용이 가능하다. 등록을 하고 나서도 1년 후 재발급 신청을 해야 하며 로그인이나 이체 시 공인인증서 패스워드가 3회 이상 실패하면 패스워드 재발급을 위해 오프라인 은행을 또 한번 방문해야 하는 등의 불편함을 감수해야 한다.

해외의 경우 사용자의 행위 패턴을 분석하는 방식을 사용하기 때문에 간소화된 인증 절차의 놓치는 부분을 채워준다. 사용자의 이용 패턴을 기록하고 그 내용들을 분석하며 해당 사용자가 어떤 PC나 단말기를 이용해서 은행 거래를 많이 했는지 어느 지역에서 거래 이용을 많이 했는지에 대한 기록을 모두 분석한다. 기록된 내용을 다방면으로 분석하여 행위 패턴을 찾아내는 것이다. 만약 평소 패턴과 다른 송금 행위가 일어났을 때 바로 송금이 되지 않고 2차 확인 절차를 더 거치게 한다. BoA의 경우 사용자가 미리 지정해놓은 이미지(SiteKey)에 대한 답변이나 SMS 보안코드로 2차 인증 방식을 택했다. 이미지 답변의 경우 사용자가 가입 시 등록해놓은 것이기 때문에 2차 인증과 더불어 BoA에서 보낸 것인지 가짜 웹 사이트에서 보낸 것인지 확인하는 피싱(Phising)방지의 기능도 수행한다. 

[그림 2] BoA SiteKey 인증 

물론 국내에서도 14년부터 구축되어 FDS(Fraud Detection System/이상금융거래탐지시스템)로 패턴 분석을 하고 있지만 FDS가 도입된 후에도 공인인증서를 같이 사용해야 하는 불편함은 여전하다. 오탐에 대한 고도화 또한 계속되고 있지만 일찍 도입한 해외의 경우보다 늦은 감이 없지 않다. 의무화가 폐지된 이후에도 공인인증서가 사라질 수 없는 이유 중에 하나일 것이다.

이번에 발표한 전자 서명법 개정법률(안)은 공인인증서의 시장독점과 사용자 불편 그리고 전자서명 기술 및 서비스 혁신에 대한 내용이 담겨 있다. 기존 공인전자서명과 그 외 전자서명을 전자서명으로 통합하여 다양한 기업에서 개발한 전자서명 기술을 사용할 수 있도록 하였다. 

[표 2] 전자서명 기술 평가 및 인증 과정

정부는 평가‧지정해 온 공인인증서 제도를 폐지하고 전문성 있는 평가기관 및 인정기관의 평가관리(제5조)가 이루어지도록 함으로써 전자서명의 신뢰성 및 이용자 보호 수준을 제고한다는 개정 방안을 마련했다. 즉, 전자서명인증업무 평가제가 도입된다는 뜻이다. 전자서명인증사업자는 운영기준을 준수하였는지 여부를 평가기관과 인증기관을 거쳐 해당 전자서명인증업무가 운영기준을 준수한다는 증명서를 발급받을 수 있다.

[표 3] 전자서명법 현행과 규제대안 비교

이번 개정안은 입법예고 기간(마감 2018. 05. 09) 동안 다양한 이해관계자와 국민 의견을 충분히 수렴한 후 규제 심사, 법제처 심사, 차관회의와 국무회의 의결을 거쳐 국회에 제출될 예정이다. 다음 표는 정부가 전자서명법 개정을 위해 진행해 온 전체 추진과정이다. 

[그림 3] 정부의 전자서명법 개정 추진과정

중요한 것은 전자서명법 개정 이후 편리하고 보안성이 높은 새로운 인증 기술이 도입될지 여부이다. 새로운 기술이 도입되더라도 기존 사용자들에게 익숙한 공인인증서 방식이 바로 제거될 수는 없을 것이다. 보안성과 사용자 편의성을 모두 만족시키는 기술이 생기더라도 사용자들의 적응을 위해서는 시간이 필요하다. 최근 공인인증서 폐기 시행을 앞두고 새로운 인증 기술로 생체인식과 블록체인이 각광받고 있다. 지문과 홍채는 이미 많이 보급화되어 있고 현재 정맥인증 또한 많은 곳에서 도입을 시도 중이다. 이 기술을 오프라인이 아닌 온라인 뱅킹으로 어떻게 접목 및 대중화 시킬지가 관건일 것이다.

전국은행연합회는 18개의 은행권이 참여하는 블록체인 공동인증 시스템을 구축 중이며 4월 시범적용 후 7월 상용화할 예정이라고 발표했다. 상용화가 된다면 사용자는 공인인증서 앱을 설치하고 블록체인 네트워크에 등록된 인증서를 한 번만 발급받으면 18개 은행에서 이를 공동으로 사용할 수 있다. 패스워드 형식에서 벗어나 지문이나 패턴, 핀번호 등 다양해지며 인증서 유효기간의 갱신 기간도 3년 이상으로 늘어난다. 하지만 기존 사용하는 공인인증서의 불편함만 줄어들 뿐이지 개념은 같다는 다른 입장도 존재한다.

인증의 핵심은 보안이지만 사용자 측면에서 보면 편의성도 무시할 수 없다. 기존 20년간 사용해 온 공인인증서가 크게 욕먹은 이유이기도 하다. 이번 전자서명법 개정으로 공인인증서를 대체할 수 있는 다양한 전자서명 기술이 선보여지고 경쟁함으로써 사용자가 선택할 수 있는 인증 수단의 종류가 늘어날 것으로 기대된다. 또한 기존 인증서의 불편함을 뒤로하고 보안과 사용자 편의성 두 마리의 토끼를 잡을 수 있는 좋은 기회가 아닐까 싶다.