“공인인증서=액티브X 공식 깨졌다”…공인인증 업계 신뢰성 회복 안간힘
2016.02.29 00:21:18
[미디어잇 노동균] 정부와 관련 업계가 공인인증서와 액티브X의 질긴 악연을 청산하기 위한 행보에 적극 나서기 시작했다. 공인인증서 기술의 핵심인 공개키기반구조(PKI)를 내세워 핀테크 시대에 걸맞은 인증 수단으로 거듭나겠다는 것인데, 국민적 공감대를 얼마나 이끌어낼 수 있을지 주목된다.
▲정부는 공인인증서-생체인증 연계기술 개발 사업을 통해 공인인증서 2.0 시대를 연다는 계획이다.
공인인증서와 액티브X의 잘못된 만남은 인터넷 뱅킹에 공인인증서 사용 의무화가 도입된 2002년으로 거슬러 올라간다. 당초 공인인증서는 전자서명법에 기반해 거래 당사자가 거래 의사를 표시하는 수단으로 도입됐다. 온라인상의 계약 문서에 쓸 수 있는 신뢰 가능한 전자서명 수단으로 공인인증서를 대중화시키는 것이 정부의 목적이었다.
그러나 공인인증서의 원활한 배포를 위해 액티브X를 적극 활용한 것이 불행의 씨앗이었다. 공인인증 프로그램은 물론, 보안성 향상을 이유로 수많은 프로그램을 사용자 PC에 설치하면서 각종 부작용이 속출하기 시작했다. 이를 두고 금융사가 보안 사고의 책임을 사용자에게 전가하려 한다는 날 선 비판도 피할 수 없었다. 여기에 잇따른 공인인증서 유출 사고는 공인인증서와 액티브X 퇴출 여론에 기름을 부었다.
관계 당국이 실질적인 조치에 나선 것은 지난 2014년 대통령의 일명 ‘천송이 코트’ 발언이 나온 시점부터다. 당장 같은 해 전자금융감독규정 시행세칙 개정안 시행으로 온라인 카드 결제 시 공인인증서 의무사용 제도가 폐지됐고, 이듬해인 2015년에는 전자금융거래법 개정안 시행으로 인터넷 뱅킹 시 공인인증서 의무사용 규제가 폐지되기에 이르렀다.
이에 공인인증 업계도 적극 대응에 나섰다. 최근 한국PKI포럼이 주최하고, 한국인터넷진흥원이 후원한 간편 웹 표준 공인인증서 이용 기술에 대한 발표회 및 전시회에서는 액티브X와 보안 프로그램 설치가 필요 없는 새로운 공인인증서 솔루션이 대거 등장했다. 이 전시회에는 한국전자인증, 위즈베라, 케이사인, 이니텍, 드림시큐리티, 티모넷, 한컴시큐어, 한국정보인증 8개사가 참가했다.
이들이 선보인 솔루션은 공인인증서에 생체인증 기술을 접목하고, USIM이나 트러스트존, 근거리무선통신(NFC) IC 카드 보안 토큰을 연동시켜 기존보다 사용성이 대폭 개선된 점이 특징이다. 행사 주최 측은 액티브X로 인한 공인인증서의 부정적인 이미지를 벗고, 이미 전 세계적으로 검증받은 PKI 기술의 우수성을 널리 알린다는 계획이다.
▲간편 웹 표준 공인인증서 이용 기술에 대한 발표회 및 전시회에서 한국정보인증이 선보인 트러스트존을 활용한 K-FIDO 바이오인증 솔루션(사진= 한국정보인증)
주최 측은 “공인인증서가 액티브X로 배포되면서 많은 문제를 낳았다는 점은 충분히 인지하고 있으며, 이제는 기술적으로 공인인증서가 곧 액티브X라는 공식은 깨졌다고 봐야 한다”며 “무엇보다 국내에서 핀테크라 하면 공인인증서와 PKI 기술 활용 배제부터 시작하는 것인 양 몰아가는 인식도 함께 바뀌어야 할 것”이라고 강조했다.
실제로 전문가들 사이에서도 PKI 기술의 보안성에 대해서는 이견이 없다. PKI는 송신자와 수신자가 각각 공개키와 비밀키를 갖고 암호화와 복호화를 수행하기 때문에 비밀키만 잘 보관하면 제3자에게 노출될 우려가 없다. 다만, 공인인증서의 경우 초기 허술한 비밀키 보관 방식으로 인해 사용자들로부터 신뢰성을 잃기 시작했다.
일각에서는 ‘공인인증서=액티브X’라는 공식만큼이나 ‘PKI=공인인증서’라는 공식도 공인인증 업계가 스스로 만든 것이라고 지적한다. 공인인증 업계가 PKI 기술의 완성도에 기대 공인인증서의 보안성을 강조하고자 PKI와 공인인증서를 동일시하는 마케팅 전략을 펼쳐왔다는 것. 이 논리대로라면 PKI 기술을 사용하고 있는 애플이나 구글 등도 마치 공인인증서를 도입한 것처럼 오해를 불러일으킬 수 있다.
‘공인’이라는 딱지도 여전히 논란거리다. 당초 정부는 민간 및 공공 부문에 전자서명을 확대하기 위해 공인이라는 수식어를 붙였으나, 결과적으로 다른 인증 수단은 비공인이라는 인상을 남겼다. 서비스 사업자들 입장에서도 이미 시장 지배자적인 입지를 갖춘 공인인증서를 사용하는 것이 사용자 확보에 유리하기 때문에 다른 인증 수단을 돌아볼 여유가 충분치 않다.
업계 관계자는 “장단점이 있는 하나의 인증 수단으로서 공인인증서를 무조건 평가절하할 이유도, 절대적으로 선호할 이유도 없다”며 “결국 공인인증서가 신뢰성을 회복하기 위해서는 공정한 시장 경쟁의 기반 위에서 사용자들의 평가를 받는 것이 가장 바람직하다”라고 말했다.
노동균 기자 saferoh@chosunbiz.com
인텔시큐리티, LG전자 최신 스마트폰 'G5' 보안 책임진다
비츠모, 베젤없는 스마트폰 '제로스핀' 출시
