보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
21년만의 공인인증서 폐지
2021.03.03
19,360
01. 개요
2020년 12월 10일 전자서명법이 개정되면서 1999년부터 사용하던 공인인증서가 21년만에 폐지되었다. 과거, 전자상거래 등이 성행하면서 온라인상 개인정보 문제가 드러났고 이를 해결하기 위해 전자서명법의 제정과 동시에 공인인증서가 등장하였다.
하지만 ‘액티브 X’ 및 수십개의 보안프로그램 설치와 1년의 짧은 유효기간으로 인해 많은 사람들이 공인인증서 사용을 불편해하기 시작했다. 또한 시장독점을 초래하고 전자서명 기술의 발전과 서비스 혁신을 저해하며, 다양하고 편리한 전자서명수단에 대한 국민들의 선택권을 제한한다는 문제점이 발생했다.
기존 공인인증서는 과학기술정보통신부가 지정한 5개 기관(한국정보인증(KICA), 코스콤(KOSCOM), 금융결제원(KFTC), 한국전자인증(KECA), 한국무역정보통신(KTNET))으로 발급이 한정되어 있었지만 공인인증서가 폐지되면서 민간기업의 사설인증서도 선택하여 사용할 수 있게 되었다.
[그림 1] 지난 5월 20일 열린 국회에서 공인인증서 폐지와 관련된 전자서명법 개정안이 가결됐다.
(출처 : BBC NEWS 코리아, https://www.bbc.com/korean/news-55255331)
02. 공인인증서 폐지로 인한 변화는?
1) 기존 인증서의 변화
2020년 12월 10일 시행된 전자서명법의 개정으로 공인인증서의 독점적인 지위는 사라졌다. 민간이 내놓은 다양한 사설인증서를 선택할 수 있다. 그러나 기존 있었던 시스템이 폐지된 것은 아니므로 유효기간이 남아있는 공인인증서는 계속 쓸 수 있다. 또한, 공인인증서는 ‘공동’인증서로 이름이 바뀌면서 비록 공인이라는 이름은 사라지지만 여러 인증수단의 하나로써 계속 사용이 가능하다. ‘공인인증서 제도’가 사라지는 것이지 ‘공인인증서’ 자체가 사라지는 것은 아니다. 실제 공인인증서 발급 기관들은 공인인증서 발급 기술력을 바탕으로 다양한 곳에 인증서 및 인증기술을 공급하고 있다.
[그림 2] 한 은행 온라인 사이트의 공인인증서
(출처 : 조선비즈, https://biz.chosun.com/site/data/html_dir/2020/12/10/2020121001632.html)
앞으로의 조금 더 편리한 사용을 위해 기존에는 1년 밖에 쓰지 못했던 공인인증서의 유효기간을 3년으로 늘렸고, 자동 재발급 서비스와 지문이나 패턴을 통한 간편인증을 도입하는 등 변화를 시도하고 있다.
2) 사설인증 시대의 개막
공인인증서가 폐지되었다고 해서 당장 온라인 거래방식에 큰 변화가 생기지는 않는다.
우리는 이미 사설인증서를 사용하고 있다.
비대면 금융거래에 사용할 수 있는 인증서는 크게 기존 공인인증서를 대체하는 공동인증서, 개별 은행 등이 발급한 금융인증서, 통신사나 플랫폼사업자 등이 발급하는 민간인증서 3가지로 나뉜다.
인증서 종류 |
인증서 |
주요특징 | |
공동인증서 |
공동인증서 |
금융결제원, 코스콤 등 기존 공인인증기관 |
기존 공인인증서와 유사한 방식으로 이용 가능 |
금융인증서 |
금융인증서비스 |
금융결제원 |
여러 은행에서 가용 가능 클라우드 내 인증서 보관 유효기간 3년 은행 고객은 누구나 무료 이용 가능 |
KB모바일인증서 |
KB국민은행 |
패턴, 지문, 안면 인식으로 로그인 KB금융 계열사에서만 사용 가능하며 유효기간 없음 공공분야 시범사업자 선정 | |
NH원패스 |
NH농협은행 |
바이오 등 다양한 인증방식 제공 NH스마트뱅킹 고객이 별도 어플설치나 가입절차없이 농협 금융, 유통 서비스 가입 및 인증 가능 | |
하나원큐 모바일인증 |
하나은행 |
은행권 최초 ‘얼굴인증 서비스‘ 도입 하나금융그룹 관계사들과의 연계로 SSO 로그인 가능 | |
민간인증서 |
PASS 인증서 |
이동통신 3사 (SKT, KT, LG) |
이동통신 3사의 본인인증 앱 기반 앱에서 6자리 핀번호 입력이나 지문 등 생체 인증 가능 |
카카오페이 인증서 |
카카오 |
카카오톡 연동 가능 2017년 6월부터 서비스해 2000만 건 이상 발급 이용 기관 200개 이상 | |
네이버 인증서 |
네이버 |
공공, 민간 전자문서, 고지서 확인 네이버페이로 결제 가능 | |
페이코 인증서 |
NHN페이코 |
페이코 앱 기반 블록체인을 통한 무결성 검증 | |
토스 인증서 |
비바리퍼블리카 |
지문 등 생체인증이나 간편 비밀번호로 인증 수협은행, SC제일은행, 삼성화재, 하나손해보험, KB생명에서 사용 |
[표 1] 금융 거래에 쓸 수 있는 인증서 종류
03. 차세대 인증서 시장의 특징 및 기술
공인 전자 서명 제도 폐지 정책이 2018년 1월 발표된 이후, 다양한 금융인증서 및 민간인증서들이 나온 상태이다. 현재 업계에서 비교적 우위를 점하고 있는 민간인증서는 카카오페이 인증과 통신3사의 패스(PASS) 등이다.
1) 카카오페이 인증
2017년 6월 출시된 카카오페이 인증인 2000만 명 이상이 사용하고 있다. 국내 최초 모바일 메신저 기반 간편인증 서비스인'카카오페이 인증’은 ‘카카오톡'으로 전달된 메시지를 고객이 전자서명하면 이를 카카오페이가 전자문서로 생성해 이용기관에 제공하는 서비스이다. 대다수가 쓰는 카카오톡을 이용하기 때문에 접근하기가 편하고 제휴기관 서비스에 로그인 시 6자리 간편비밀번호나 지문•얼굴인식 등 생체정보를 이용한다. 카카오페이 인증을 통해 행정•공공기간 전자우편•중요문서를 카카오톡으로 간편하게 수신•열람 할 수 있으며 전자서명이 요구되는 주요국민연금공단, 한국교통안전공단 등 카카오페이 인증을 이용하는 기관은 200개가 넘는다. 공인인증서와 동일한 공개키 기반 구조(PKI, Public Key Infrastructure)로 구현하였으며 블록체인 기술을 적용하여 위•변조를 방지하는 등 보안성을 향상하였다.
2) 패스(PASS) 인증
통신 3사가 지난해 4월 출시한 패스(PASS) 인증서 누적 발급 건수도 2000만 건을 기록했다. 패스 인증서는 패스 앱에서 6자리 핀 번호나 지문 등의 생체 인증을 진행하면 1분 내에 발급이 가능하고 발급받은 인증서는 3년간 무료로 사용할 수 있다. 공공기관 온라인 서류발급 신청, 금융거래, 계약서 전자서명 등 다양한 인증서비스와 패스 모바일 운전면허 확인, 패스 간편 로그인 서비스도 제공한다. 패스 인증서는 기존 공인인증서나 금융권 앱 이상의 높은 보안 수준을 자랑한다. 특히 휴대폰 가입 정보를 기반으로 명의 인증과 기기 인증을 이중으로 거치를 구조로 휴대폰 분실•도난 시 인증서 이용을 차단하는 것이 특징이다. 또한 인증서를 휴대전화 내 보안 영역에 저장하는 아톤의 화이트박스 암호화 기술(WBC, White Box Cryptography) 기술 등을 적용해 고객의 개인정보를 안전하게 보호한다. 통신사 인증서버와 인증서 플랫폼 간의 전용 네트워크를 이중화하고 통신 구간의 보안도 강화해 외부 공격에 대비했다. 현재 동양생명보험, KB손해보험, IBK연금보험 등 주요 보험사에서 보험 가입문서 간편 조회 시 패스인증서를 사용하고 있으며 미래에셋대우는 증권사 최초로 전자투표 시스템 간소화를 위해 패스 인증서를 도입하였다.
3) 네이버 인증
네이버 인증서는 포털앱에 기반을 둔 인증서로 별도 인증서 비밀번호 필요없이 스마트폰의 화면 잠금 정보(생체정보, 암호, 패턴 등)를 그대로 활옹한다. 네이버 앱에 저장한 네이버 인증서로 필요할 때마다 스마트폰에서 본인인증과 서명을 할 수 있는 서비스이다. 모바일 뿐만 아니라 네이버에서 제공하는 웨일 브라우저에 네이버 인증서를 기본 탑재하여 모바일 추가 인증 절차 없이 PC 에서도 간편하게 사용이 가능하다. 이러한 무설치 간편 인증 방식은 금융•공공 등 인증 기반으로 제공되는 서비스를 이용하는데 필요한 주요 기능을 브라우저에 내장하여 별다른 프로그램을 설치하지 않아도 인증을 지원한다. 카카오 인증서와 마찬가질 공공•민간기관 전자문서와 고지서에 대한 인증열람 서비스를 제공하며 전자고지서를 확인한 다음 네이버페이를 사용하여 납부가 가능하다. 네이버 인증서는 실명아이디로만 발급가능하며 발급 시 휴대폰 본인인증이 반드시 필요하고 FIDO, PKI, 블록체인 등 여러 보안 기술을 적용했다. 고지서 자료 또한 기관이 정한 기간까지만 보관하고 기간이 지나면 완전히 파기한다. 현재 한국도로공사, 한국감정원, 국민연금공단, 시군구 민방위훈련, 메리츠화재, DB손해보험 등 총 39곳이 네이버 인증서를 도입하였다.
4) 토스 인증
토스 인증서는 토스기반의 간편인증서비스로 별도의 ID 및 PW 를 이용하지 않고 토스앱을 통해 서비스 이용과 상품 구매 등에 본인확인 및 전자서명을 할 수 있다. (예전)공인인증서 발급 기관인 한국전자인증과 인증서 총판계약을 체결하여 금융기관 및 정부기관 등 인증서가 필요한 기관에 토스 인증서를 공급하고 있다. 한국전자인증을 외부 인증기관(CA)로 두고 본인 확인에 공인인증서와 동일한 가상 식별방식(Virtual ID)을 사용하여 보안성을 높였다.
5) 금융 인증
금융그룹들도 여러 인증 서비스를 제공하고 있다. KB 금융은 지난해 7월 ‘KB모바일인증서’를 내놓아 500만 건 이상을 발급했고 패턴이나 지문, 페이스 아이디(얼굴인식) 등으로 간편하게 로그인할 수 있으며 유효기간이 없어 재발급을 걱정할 필요도 없다. KB모바일인증서는 스마트폰의 안전영역에 발급 및 저장되어 탈취 및 복제가 불가능하다. 젬알토의 자회사이자 모바일 애플리케이션 보안전문기업 영국 트러스토닉의 TAP(Trustonic Application Protection) 솔루션을 적용하였으며, 인증서의 유효성과 비밀번호를 검증하는 알고리즘은 KB국민은행 자체기술로 개발해 안전성과 보안성을 강화했다. 하나은행은 인공지능(AI) 기반의 얼굴인증 서비스를 선보였으며 신한은행도 QR코드 및 스마트폰의 지문, 패턴 등을 이용해 로그인 할 수 있는 ‘쏠패스’ 서비스를 구축했다.
04. 사설 인증서 괜찮을까?
앞서 여러 기업에서 공인인증서를 대체할 전자 서명 인증 제도를 공개한 만큼 사설인증의 발전이 더 기대된다. 블록체인, 생체인증 등 다양한 4차산업의 신기술을 활용한 전자서명 서비스 개발이 이루어질 것으로 보인다. 기존 공인인증서에 비해 새로운 기술의 민간 인증서들은 기술적 측면이나 보안 측면에서나 사용 편의성 측면에서 더 뛰어나다는 평가를 받는다.
그러나 인증서 보안기술도 논란이 되는 경우가 더러 있다.
구글 ‘픽셀4’는 사용자가 눈을 감은 상태에서 안면인식으로 보안 해제되었고 삼성전자의 갤럭시 S10과 갤럭시노트10 역시 실리콘케이스를 씌운 상태에서 타인의 지문으로 보안이 뚫리는 문제가 발생했었다. HSBC 은행도 음성인식 서비스로 생체인증을 도입했지만 목소리가 비슷한 쌍둥이들의 목소리를 구분하지 못해 논란이 됐다.
또한, 지난 5월 통신3사의 패스(PASS)는 앱 내 건강, 부동산, 주식 정보 등의 유료 부가서비스를 고객에게 제대로 고지하지 않은 채 가입을 유도하여 방통통신위원회로부터 시정조치를 받았다. 온라인 결제, 보안, 본인인증 등 화면 속에 이용자를 유인하는 유료 부가서비스가 있지는 않는지 확인하기 위해 정부는 민간인증서의 안전성과 운영을 평가하는 ‘전자서명인증 업무 평가•인정 제도’를 도입했다. 이에 따라 과기정통부 장관이 선정한 평가기관이 사업자의 운영 기준 준수 여부 등을 평가하게 된다. 위변조 방지 대책과 시설, 자료 보호조치 등 보안 장치와 공정한 운영 방식을 마련한 업체만 민간 인증서를 출시할 수 있다.
05. 결론 및 시사점
공인전자서명의 법적효력이 폐지되면서 공인•사설 인증서 차별이 없어져 전자서명시장의 자율경쟁이 촉진됨에 따라 다양한 신기술 전자서명개발 및 확산이 이루어질 것이며 이에 따라 이용자에게 신뢰성 및 인전성이 높은 전자서명의 선택을 지원해야 한다. 신기술 인증서들은 포스트코로나 시대 비대면 서비스의 핵심 인증기술이 되었다.
인증서가 다양해질 수록 보안의 사각지대가 발생할 우려가 있다. 온라인 금융거래는 실시간으로 거래가 이루어지고 대량으로 발생하기에 안전성과 보안성이 뒷받침 되어야 한다. 인증서 서비스 기업들은 본인 스스로의 책임과 의무를 갖고 안전하게 서비스하고, 사용자 역시 본인의 인증수단을 안전하게 관리할 수 있도록 해야할 것이다.
06. 참고자료
[1] 전자서명제도 20여년 만에 개편 다양한 신기술 전자서명 활성화 기반 조성, 과학기술정보통신부
[2] 제181호 과학기술&ICT 동향, 과학기술정보통신부
[3] 네이버 인증서 소개 및 이용 방법, NAVER네이버인증서 고객센터
[4] 공인인증서 대체할 사설인증서, 금융권 중심 활성화 ‘시동’ https://www.boannews.com/media/view.asp?idx=82244
[5] 공인인증서 10일 폐지… ‘인증서 춘추전국시대’ 막 올랐다 https://www.donga.com/news/Economy/article/all/20201207/104332874/1