"인증서 전자서명, 클라우드로 OK"

"한국은 아직 덜 진행되고 있지만, 조직의 인증기술도 이제 구축하기보다 클라우드 기반으로 바뀌는 추세다. 외국에선 서비스형 인증(Authentication as a Service, AaaS)이라 불린다."

12일 지디넷코리아가 서울 여의도 전경련회관에서 개최한 '파이낸스 이노베이션 컨퍼런스(FIC) 2017'에서 '클라우드사인과 FIDO인증'을 주제로 발표한 한국전자인증 안군식 본부장은 클라우드기반으로 국내 전자서명과 공인인증서 사용환경을 편리하게 만드는 자사 서비스를 소개했다.

안 본부장은 올해 2월 어도비, 올해 6월 구글에 인수된 글로벌사인이 각각 발표한 클라우드기반 전자서명 관련 서비스를 언급하며 클라우드기반 전자서명이 세계적 추세임을 지적했다. 한국에서 공인인증서 사용자들이 오랫동안 체감했듯 인증서에 전자서명을 하기위해서는 별도의 모듈이나 부가프로그램을 설치해야 하는 불편이 있는데, 클라우드기반 전자서명서비스는 이를 더 편리하게 만들려는 움직임이라 풀이했다.

한국전자인증은 '클라우드사인'이라는 클라우드기반 전자서명 솔루션을 보유했다. KISA 웹표준기술기반 통합인증플랫폼 기술개발 사업 결과물로 나왔다. 액티브X와 EXE 설치 없이 디지털 인증서에 전자서명을 할 수 있는 클라우드기반 인증체계를 지원한다. 대신 전자서명 사용자가 구글플레이나 앱스토어에서 앱을 내려받아 실행, 약관동의, 휴대전화 본인확인, 지문등록을 거쳐 가입을 완료하고 자신의 인증서를 한국전자인증의 클라우드사인으로 옮겨야 한다.

안 본부장은 "클라우드사인은 클라우드에 인증서를 보관하므로 사용자 환경에 서명용 모듈이 필요하지 않고, 인증서 사용자가 프로그램 무설치로 전자서명을 수행할 수 있다"며 "비밀번호 입력을 지문인증으로 대신하고, 클라우드로 저장매체를 이동하고, HSM라는 물리적 보호장치로 인증서를 보호해 안전하게 보관할 수 있고 유출가능성을 없앴다"고 설명했다.

클라우드사인은 새로 전자서명 시스템을 구축하려는 곳이든 기존 설치형 인증모듈 서비스를 갖춘 곳이든 쓸 수 있다. 사용시나리오는 다음 6단계 처리절차로 진행된다. 첫째, 은행, 증권사, 민원24 등 접속한 방문자에게 전자서명요청이 간다. 둘째, 이용자의 인증 및 전자서명요청이 한국전자인증으로 전달된다. 셋째, 전자서명요청정보가 앞단에 FDS를 구축한 한국전자인증의 중계서버, 인증서버를 거쳐 HSM으로 전달되고, 거기 저장된 인증서를 통해 전자서명정보가 생성된다. 넷째, 방문자에게 전자서명정보가 전달된다. 다섯째, 이용자가 방문사이트에 전자서명정보를 전송한다. 여섯째, 방문사이트가 전자서명값을 검증한다.

새로 전자서명 시스템을 구축한 '나이스다큐'같은 곳에선 방문자가 PC로 접속한 웹사이트의 기존 인증방법 선택환경에서 '클라우드서명'을 골라, 인증모듈 대신 웹페이지를 띄울 수 있다. 여기에 사용자 휴대전화 번호를 입력하면 그쪽으로 PIN번호가 전달된다. 이후 PC화면엔 클라우드사인의 HSM에 저장된 인증서가 불러지고, 사용자는 여기에 PIN번호 입력 및 지문인식 절차로 전자서명을 진행할 수 있다.

기존 금융, 공공기관처럼 이미 방문자에게 설치형으로 제공되는 전자서명 인증모듈을 갖춘 곳에서는 어떻게 돌아갈까. 인증모듈에서 '보안토큰'이라는 항목을 선택하고 한국전자인증에서 제공하는 클라우드사인용 모듈을 설치한다. 이후 휴대전화번호를 입력해 그 전화로 PIN번호가 발송되고, HSM을 통해 인증서 정보가 전달되는 방식으로 처리된다.

안 본부장은 "인증서를 HSM에 보관해 외부유출문제를 해결했고, 기존 인증모듈과의 호환성도 확보해 모든 사이트에 이용할 수 있으며, 지문인증, 디바이스인증, 사용기기를 켜고 끄는 제어기능을 쓸 수 있어 인증서 소유자의 통제성도 강화됐다"면서 "기업 환경에서 업무용 인증서 사용권한을 타인에게 위임할 수도 있다"고 덧붙였다.

그의 설명에 따르면 클라우드사인은 HSM을 통해 유출을 방지했기 때문에 국내 공인인증서 사용자들에게 불편한 1년짜리 인증서 유효기한을 3년으로 연장해 쓸 수 있는 조건을 충족한다. 하지만 아직 시중은행과 증권사의 협조가 필요한 상태다. 현재 3년짜리 인증서를 직접 발급해 넣는 방식이 아니라 1년짜리 인증서를 발급해 클라우드사인 HSM 영역에 옮기는 식으로만 구현됐기 때문이다.

안 본부장은 "클라우드사인의 HSM으로 인증서를 직접 발급할 수 없는 불편을 해결하려고 노력 중"이라고 언급했다.

한국전자인증은 클라우드사인 지원사이트 확대를 위해 무설치 웹모듈을 금융, 쇼핑, 민원사이트에 무료로 보급할 방침이다. 앞서 언급한대로 클라우드사인의 HSM 영역에 유효기간 3년짜리 인증서를 직접 발급받을 수 있게 만들 예정이다.

회사는 또 전자서명 및 인증서를 필요로하는 개인과 기업 사용자 각각에 클라우드사인을 제공할 계획이다. 개인용 무료서비스로 1개 기기에 인증서 1개를 사용하는 환경을 지원한다. 월 990원을 지불하면 인증서를 5개까지, 대표기기 1개에 더해 추가기기 5대까지 지원하는 개인용 고급형서비스도 지원할 계획이다. 사업자는 사용환경에 따라 기본부터 무제한까지 4단계 서비스를 구성해 제공할 계획이다.

안 본부장은 클라우드사인을 공인인증뿐아니라 사설인증 시스템 용도로 확산시킬 뜻을 내비쳤다. 외국의 AaaS 트렌드를 한국도 따라가게 될 것임을 시사했다. 향후 공인인증서뿐아니라 사설인증서 처리를 필요로하고 인증수단 또한 OTP, SMS, 각종 생체정보, ARS, 아이핀 등을 지원해야 하는 흐름이 되면, 해당 기능을 지원하는 솔루션을 일일이 구축하는 것보다 AaaS 방식으로 대응하는 게 효율적일 거란 관측이다.

그는 "기존 시스템 연계가 필요시 자체구축을 통해 대응할 수 있지만 이에 따라 필요한 하드웨어, 소프트웨어 유지보수 비용과 메이저 업그레이드 솔루션 가격을 부담해야 한다"며 "AaaS 방식은 더 빠르고 저렴하다"고 말했다.