"생체인증 퍼져도 공인인증서 계속 사용될 것"

ID와 비밀번호 방식을 대체한 생체인증기술플랫폼인 FIDO 표준이 삼성페이에 적용되면서 지문 등 생체정보를 각종 인증에 적극적으로 활용하려는 움직임이 국내에서도 활발해지고 있다.

최근 SGA솔루션즈는 이러한 시장을 겨냥해 SK텔레콤이 제공하는 모바일결제용 인증플랫폼을 FIDO 표준을 기반으로 개발해 공급했다. 이에 더해 앞으로는 FIDO 인증플랫폼을 기반으로 모바일뱅킹, 간편결제, 포털 본인인증 등 다양한 온라인 서비스로 영역을 확대해 나간다는 계획이다.

이런 와중에 이전까지 결제를 위한 인증수단으로 사용됐던 공인인증서 역시 FIDO 표준으로 대체하면 되는 것 아니냐는 의견도 나오고 있다.

최근 SGA솔루션즈 사옥에서 만난 최영철 대표는 "FIDO가 제시한 표준은 공인인증서에도 적용된 공개키기반구조(PKI)라는 암호화 기술을 기반으로 한다"며 "앞으로도 공인인증서를 활용하는 시장이 쉽게 사라지지는 않을 것"이라고 말한다.

■공인인증서-FIDO 표준, 뿌리가 같은 기술

최 대표는 1997년 당시 한국인터넷진흥원(KISA)의 전신인 한국정보보호센터 인증관리팀 근무 시절 1998년도에 제정된 전자서명법을 만드는 작업에 관여하고, 공인인증서 기술 규격을 만드는 작업에도 참여했었다. 이후 2000년 초 인증기술 전문회사인 비씨큐어를 창업한 뒤 현재 서버보안회사 레드게이트와 합병한 SGA솔루션즈라는 회사 대표를 맡고 있다. 그만큼 국내서 공인인증서가 도입돼 현재까지 사정을 잘 알고 있는 셈이다.

최 대표의 설명에 따르면 FIDO 표준은 공인인증서와 같은 뿌리에서 나온 기술이다. 공인인증서는 PKI라는 암호화 기술을 활용해 공개키, 개인키쌍으로 온라인 상에서 안전하게 정보를 교환할 수 있게 하는 것은 물론 상대방이 본인이 맞다는 사실을 입증하는 부인방지 기능을 가졌다. FIDO 표준은 공인인증서에 사용된 것과 같은 PKI 기술을 활용하되 인증서라는 개념만 빠진 것이다. 인증서에는 공개키에 대한 정보와 함께 소유자의 신분을 확인할 수 있게 해주는 정보가 암호화된 형태로 저장됐다.

이러한 인증서는 제3의 신뢰할 수 있는 기관을 통해 보증된다. 오프라인 상에서 민원서류를 떼거나 부동산계약을 할 때 필요한 인감도장이 온라인 상에서는 공개키, 개인키 조합을 통해 구현된다면 인증서 자체는 주민센터에서 인감도장이 본인 것이 맞는지를 확인해주는 일종의 인감도장증명서 같은 역할을 하는 것으로 비유된다. 온라인 상에서 일종의 인감도장 역할을 할 수 있게 만드는 인프라를 구현한 것은 전자계약, 전자입찰 등은 물론 온라인뱅킹, 온라인 결제에까지 폭넓게 사용되고 있다.

이와 비교해 FIDO 표준은 제3의 신뢰기관을 통해 인증서를 발급하고 이를 보증받는 대신 개인이 직접 인증을 거친다는 점에서 공인인증서가 사용되는 방식과는 차이점이 있다.

■전자결제-전자입찰 등...인증서 고유 영역 여전

그러나 FIDO 표준이 공인인증서에 적용된 '부인방지' 기능을 통해 온라인 상 문서거래를 보증하는 용도로까지 쓰이기는 어렵다. 과도하게 공인인증서가 쓰여왔던 단순로그인과 같은 영역에서는 이를 대체할 수 있지만 여전히 인증서가 쓰여야할 고유 영역이 존재한다는 설명이다.

최 대표는 "단순 로그인이나 간편결제와 같은 경우에는 FIDO 표준을 활용해 공인인증서를 대체할 수 있지만 오프라인 상에서 인감도장이 필요한 영역에서는 여전히 공인인증서 외에는 당장 뾰족한 대안이 없는 것이 현실"이라고 밝혔다.

따라서 FIDO 표준은 로그인, 결제 영역을 더 편리하게 활용할 수 있는 수단으로 부상하고 있지만, 전자계약, 전자입찰, 인터넷뱅킹 등 영역까지 들어오기에는 추가적인 보완수단이 필요할 것으로 전망된다.

■공인인증서 노린 해킹...개인키 노출이 골치거리

공인인증서를 둘러싼 가장 큰 논란은 왜 이렇게 안전한 인증서를 쓰는데도 온라인뱅킹이 해킹돼 사용자들이 피해를 입는 사건들이 발생하고 있냐는 것이다. 해당 인프라를 구축하고 운영해 온 관계부처와 함께 한국인터넷진흥원(KISA), 5개 공인인증기관 등의 책임을 피하기 어려운 부분이다.

공인인증서 자체는 PC에 저장된다고 하더라도 크게 보안에 취약할 이유는 적다. 문제는 이와 함께 개인만 알 수 있는 비밀열쇠 역할을 하는 개인키 역시 같은 곳에 함께 저장돼 있다는 점이다. 공격자는 피싱, 파밍 등 수법을 동원해 사용자 PC나 노트북 내에 저장된 인증서와 함께 개인키를 훔친다. 핵심은 그동안 개인키를 제대로 관리할 수 있는 방법에 대한 연구를 소홀히 했었다는 점이다. 공격자들은 개인키와 공인인증서 파일을 훔쳐낸 뒤, 수많은 일반 웹사이트에 사용되는 비밀번호와 공인인증서 전자서명창에서 입력하는 비밀번호가 유사한 경우가 많다는 점을 노려 이런 정보를 대입한다. 그 뒤에는 파밍 등을 통해 확보한 보안카드 번호를 입력하는 방법으로 자금을 훔쳐내 온 것이다.

최근 들어 이런 문제를 해결하기 위해 인증서와 함께 개인키를 스마트폰 내 안전한 저장소 역할을 할 수 있는 유심칩이나 신용카드/현금카드에 탑재된 IC칩 내에 저장하는 방식이 등장하고는 있으나 아직까지 보급되고 있지는 못하고 있는 실정이다.

그나마 일반 회사들이 법인용으로 발급받은 공인인증서와 개인키는 별도의 보안매체(HSM)에 저장해 사용하는 덕에 안전성을 확보할 수 있었다.

관련기사

최 대표는 "공인인증서와 액티브X/플러그인 문제를 같은 것으로 보고 접근하는 방식도 경계해야한다"고 강조했다. 공인인증서를 사용하기 위해서는 별도의 암호모듈을 별도로 설치해야한다. 이 모듈이 웹브라우저에서 기본제공되는 기능이 아닌 탓에 추가적인 프로그램을 설치하는 기술을 써야했고, 그렇게 활용됐던 것이 액티브X나 NPAPI와 같은 플러그인이다. 멀티브라우저를 지원하기 위해서는 여러 웹브라우저가 공통적인 암호모듈을 지원해야한다는 것이다. 웹표준 그룹인 'W3C'는 '웹크립토API'를 제정해 HTML5 환경에서부터는 암호모듈까지 지원토록하는 방안을 논의 중이지만 아직 국내 환경에 그대로 적용하기는 어려운 상황이다.

이어 그는 "앞으로는 공인인증서가 반드시 필요한 고유의 업무영역은 그대로 유지되면서 보다 간편하게 사용할 수 있는 방법이 마련되는가 하면, 기존에 인증서가 쓰였던 단순로그인이나 간편결제 등에서는 FIDO 표준을 활용하는 형태가 될 것으로 보인다"고 전망했다.