공인인증서를 다른 인증으로 대체하는 대신 더 안전하고 편리하게 사용할 수 있는 방법은 없을까?
이 같은 질문에 대해 공인인증기관 중 하나인 한국전자인증은 클라우드를 일종의 하드웨어보안모듈(HSM)로 활용하는 방법을 고안했다. PC나 웹사이트에서 별도 인증모듈을 설치하지 않고 스마트폰과 연동해 클라우드 내부에서 전자서명이 이뤄져 결과만 전송되도록 한 것이다.
30일 한국전자인증은 서울 중구 프레스센터에서 기자간담회를 열고, 액티브X나 exe형태로 프로그램을 설치하지 않고서도 공인인증서를 사용할 수 있는 클라우드 기반 전자서명 서비스 '클라우드사인'을 선보였다.
여기에는 한국인터넷진흥원(KISA)이 과제로 수행한 '웹표준 기술 기반 통합인증플랫폼 기술개발 사업'에 참여한 티모넷이 개발한 기술이 녹아들어있다.
자사가 관리하는 데이터센터 내에 HSM을 구축한 뒤 클라우드에서 사용자들이 요청하면 내부에서 전자서명을 거친 결과를 필요한 웹사이트로 전송한다. 이런 방법으로 개인키가 유출될 가능성을 없애면서도 별도 추가 프로그램을 설치할 필요가 없도록 했다.
■ 공인인증서, 그동안 뭐가 문제였나
국내서 공인인증서는 크게 2가지 용도로 쓰인다. 본인을 확인하거나 온라인 상에서 중요한 문서에 대해 내가 확인한 것이 맞다는 것을 전자적으로 서명하기 위해서다.
문제는 그동안 공인인증서를 활용하는 방식에서 몇 가지 심각한 문제점이 등장했다는 사실이다. 공인인증서로 본인확인, 전자서명을 하기 위해서는 개인키가 필요하다. 이 키는 PC나 스마트폰 내 공개된 폴더에 내놓고 저장되는 탓에 유출 위험성이 컸다.
이를 예방하기 위해 개인키를 암호화 처리된 USB 형태 보안토큰에 집어넣어 밖으로 나오지 못하도록 하거나 기업 내에서 별도 하드웨어보안모듈(HSM)이라는 장비를 두는 등 방법을 썼다.
이와 함께 PC, 노트북에서는 은행이나 공공 웹사이트에서 공인인증서를 구동하기 위한 별도의 프로그램을 설치해야했다. 여전히 액티브X 기반 플러그인이 쓰이거나 exe 형태로 별도 프로그램이 필요했다.
국회 과학기술정보방송통신위원회 김경진 의원(국민의당)이 조사한 자료에 따르면 지난해 기준 액티브X를 쓰는 웹사이트는 2014년 대비 78% 줄었으나 그 자리를 exe파일이 대체했다.
■ 클라우드사인, HSM을 클라우드로 옮겨
클라우드사인은 기업마다 고가의 HSM을 쓰거나 개인이 보안토큰을 구매해서 갖고 다녀야 하는 환경을 클라우드로 옮겼다.
시연에서는 민간 나라장터를 운영 중인 나이스다큐, 신한은행, 국세청 홈택스에서 활용된 사례가 소개됐다.
이 서비스를 이용하기 위해서는 스마트폰에 클라우드사인 전용앱을 설치하는 과정이 필요하다. 현재 안드로이드를 지원하고 있으며 iOS도 곧 지원될 예정이다.
나이스다큐의 경우 각종 전자입찰, 전자계약에 대해 공인인증서로 전자서명하기 위해'클라우드 전자서명'을 누르면 스마트폰 번호를 입력하라는 메시지가 뜬다. 스마트폰 화면에 표시된 일회용 비밀번호를 해당 사이트에 입력한 뒤 지문인증을 거치면 전자서명이 이뤄진다.
신한은행의 경우 각 은행 웹사이트에 기본 적용된 보안토큰을 선택해 클라우드사인을 클릭하면 앞서와 같은 방법으로 전자서명이 이뤄진다.
그동안 사용자들 사이에 악명 높았던 홈택스도 비슷한 방식으로 활용할 수 있다.
한국전자인증 안군식 본부장에 따르면 클라우드사인은 글로벌 보안 인증인 CC인증(EAL4)과 함께 FIPS 140-2 레벨3 인증을 받았다. 개인키나 전자서명 정보가 외부로 유출될 우려가 거의 없다는 설명이다.
■ 은행-공공 등 확대가 관건
내년 초에는 매년 공인인증서를 갱신해야하는 불편함을 줄이기 위해 3년 유효기간을 가진 인증서를 발급해 이런 식으로 활용토록 한다는 계획이다.
안 본부장은 "사용자가 별도로 뭔가를 설치할 필요 없이 웹사이트가 제공하는 공인인증 모듈을 그대로 활용할 수 있다"고 설명했다.
한국전자인증은 클라우드사인을 개인에게는 1개 인증서 한해 무료로 제공할 예정이다. 최대 5개까지는 월990원을 과금한다.
사업자들용으로는 5개 인증서까지 월2천200원, 10개까지 5천500원, 20개까지 1만1천원에 공급된다. 다만 올해 12월까지는 모든 서비스를 무료로 제공할 계획이다.
관련기사
- "최근 5년 간 유출된 공인인증서 8만 건 이상"2017.10.30
- 클라우드 기반 FIDO 인증, 월 이용건수 1천만 넘어2017.10.30
- 공인인증서 없는 카카오뱅크, 보안 괜찮을까?2017.10.30
- "EXE 남는 액티브X 제거 정책 아쉽다"2017.10.30
다만 별도 설치 없이 공인인증서를 클라우드 기반 HSM에서 전자서명하는 방법을 쓴다고 하더라도 주요 은행이나 공공 웹사이트 등에 널리 적용돼야한다는 과제가 남아 있다.
안 본부장은 "현재 은행과 전자정부 관련 담당자들과 미팅 중"이라며 "무설치라는 것 때문에 관심은 높은 것 같다"고 설명했다.
