온라인 상에 본인을 확인하기 위한 수단으로 사용돼 온 공인인증서가 스마트폰 속으로 들어간다. 그동안 USB를 이용하는 방식은 번거롭고 불편했고, PC에 인증서를 저장하는 방식은 보안위험성이 지적돼왔기 때문이다. 새로운 방식은 스마트폰 자체가 일종의 '인감도장' 역할을 하는 셈이다.
PC 내에 저장된 공인인증서는 마음만 먹으면 쉽게 복사할 수 있다는 점은 그동안 수차례 문제로 지적돼왔다. 실제로 내 컴퓨터의 프로그램 파일 폴더 중 NPKI에서 공인인증서 파일을 확보(복사)할 수 있다. 이렇게 확보한 인증서의 비밀번호를 여러 가지 해킹 프로그램을 이용해 풀어내는 수법을 통한 사고가 자주 발생했다.
이를 방지하기 위해 유력한 대안으로 고려되고 있는 것이 스마트폰을 공인인증서로 사용하는 방식이다. 이미 일부 제1금융권에서 이 방식을 도입했고, 내달부터 다른 은행들도 이를 적용할 예정이다.지난 2009년 행정안전부와 한국인터넷진흥원(KISA)는 PC 내 공인인증서를 이용한 해킹 시도를 막기 위해 PC 내 저장을 금지하는 방안을 단계적으로 추진할 방침이라고 발표한 바 있다. 당시 정부는 내년을 목표로 PC 내 공인인증서 저장을 금지하는 방안을 추진해왔다.
국내 공인인증서비스를 제공하고 있는 인포바인, 루멘소프트 등 보안업체들은 이를 대비한 준비에 한창이다.
■PC 저장 대체 방식 뭐가 있나?
PC에 저장한 공인인증서를 대체하는 방식으로 새롭게 거론되고 있는 것은 크게 세 가지다. 먼저 스마트폰을 공인인증서로 활용하는 방식이 첫번째다.
이 분야에서 가장 발빠르게 움직이고 있는 기업은 루멘소프트이다. 재작년 행정안전부와 금융감독원으로부터 규격심사를 마친 이들의 스마트폰 인증서 서비스는 국민은행, 신한은행, 하나은행 등에 적용됐다.
두번째로는 인증서를 개인이 아니라 별도의 서버에 저장해 공개 키와 개인 키를 이용하는 '키 로밍 서비스'가 있다. 이 방식은 여러 개의 서버에 분산해 공인인증서를 관리하고 보안등급이 1등이라는 점에서 주목받고 있다.
세번째는 작년 9월부터 LG유플러스가 도입하기 시작한 가입자식별모듈(USIM)칩에 공인인증서를 저장하는 방식이다. 보안토큰과 마찬가지로 암호화 수준이 높은 인증서를 USIM칩에 저장해 놓는 식이다.
루멘소프트의 김광 인증사업팀장은 보안토큰의 경우 시중 은행에서 공인인증서 저장매체로 가장 높은 보안등급을 가졌으나 3~4만원대로 가격이 비싸 국방부, 대법원 등 보안레벨이 높은 곳에서만 주로 사용되고 있다고 밝혔다.
현재로서 가장 현실 가능성이 높고 거부감이 적은 방식은 스마트폰을 공인인증서로 사용하는 방식이다.
KISA 전자인증팀 임진수 팀장은 하드디스크에 공인인증서를 저장할 경우 경고메시지를 띄우고, USB 등 다른 저장매체를 인증서로 활용할 것을 유도하고 있다며 보안 위험성에 대응해 국민들에게 PC저장 금지 등의 안에 대해 거부감이 적도록 하는 여러 방법을 찾고 있다고 밝혔다.
■어떻게 사용하나 보니
스마트폰을 공인인증서로 활용하는 서비스는 모바일 앱을 이용한 뱅킹과는 다르다. 현재 논의되고 있는 방식은 PC에서 온라인 뱅킹을 이용하되 공인인증서만 스마트폰에 저장하자는 것이다.
KISA가 작년 말에 발표한 전자서명 이용실태조사 보고서에 따르면 인터넷 이용자들 중 본인 확인을 위해 공인인증서를 이용하는 사용하는 응답자는 97.4%(중복응답)에 달했다. 이중 인터넷 뱅킹 이용자가 96.7%(중복응답) 였으며, 이들 중에서 인증서 보관매체로 USB를 이용하는 경우가 71.9%를 차지했으며 PC는 54.3%를 기록했다.
온라인 뱅킹 이용자들 대다수가 USB 다음으로 위험성이 높은 PC에 인증서 파일을 저장해 사용해 왔다는 것이다.
대신 USB처럼 별도의 저장매체를 들고 다닐 필요없이 스마트폰에 저장된 공인인증서를 아무 때나 활용할 수 있다는 장점이 있다. 온라인 결제를 위해 PC마다 인증서를 설치해야하는 번거로움도 줄어든다.
루멘소프트 김광 팀장은 지난 2009년부터 서비스하기 시작한 '모비사인'이 이러한 방식을 구현했으며 금융결제원, KISA, 행안부 등으로부터 공인인증 규격을 인정받았다고 밝혔다.
보안업체 인포바인이 서비스하고 있는 '유비키' 역시 하나의 모바일 기기에서 공인인증서를 사용하는 것만으로 다른 모든 단말기의 본인인증이 가능하다. 이 기업은 지난 6월 말 각 온라인 뱅킹 사이트의 보안 수준에 맞게 본인 인증을 하는 통합 인증시스템 특허를 취득했다.
■다른 분야로 활용 가능성 높아
스마트폰이 공인인증서 역할을 하게되면서 새로운 시장기회도 생겨나고 있다. 대표적인 예가 스마트TV를 이용한 뱅킹서비스다. 업계에 따르면 기존 스마트TV에서 뱅킹서비스를 이용하기 위해 어떻게 본인임을 확인할 수 있을지에 대한 문제가 지적돼왔다.
루멘소프트 측은 스마트폰이 공인인증서로 기능하게 되면 이 같은 문제가 쉽게 해결된다고 말했다. 예를 들어 결제를 위해 본인을 확인하려면 스마트폰을 꺼내 본인을 인증받으면 되기 때문이다. 기존 방식이라면 인증서가 저장된 USB를 스마트TV의 포트에 꽂는 등의 번거로움을 감수해야했다.
이밖에 ATM기기에서도 기존에 신용카드의 마그네틱 부문과 IC칩을 사용하는 방식이 필요없어진다. 카드가 없이도 본인을 인증할 수 있는 스마트폰이 있다면 카드가 따로 필요없어지게 되기 때문이다.
■스마트폰 뱅킹도 100% 안전치 않아
각종 안드로이드 운영체제(OS) 기반 스마트폰을 통한 보안사고가 터지는 가운데 스마트폰 뱅킹 서비스 또한 100% 안전하다고 볼 수는 없다.
공격자들은 스마트폰용 앱에 악성코드를 심어 개인정보를 탈취하는가 하면 앱의 일부 기능을 위·변조해 사용권한을 탈취하기도 한다.
지난 7월 미국 보안회사인 트렌드마이크로 조사 결과 안드로이드 기반 기기에서 상반기에만 약 2만5천개의
새로운 악성코드가 발견됐으며 이 추세대로라면 연말까지 약 12만9천개의 악성코드가 발생할 것으로 전망했다.
관련기사
- ‘스마트폰 모바일뱅킹族 3천만 돌파2012.09.04
- 인터넷뱅킹 불법 예금인출 악성파일 등장2012.09.04
- "스마트뱅킹 1위, 국민은행" 이유는?2012.09.04
- 스마트 뱅킹…그 불편한 공인인증서2012.09.04
KISA에 따르면 작년 기준으로 스마트폰 이용자의 66.2%가 스마트폰 뱅킹을 이용한 경험이 있다. 그만큼 PC에서의 인터넷뱅킹 외에 스마트폰을 이용한 결제서비스를 사용하고 있는 인구가 늘고 있는 상황이다.
국내 보안업계 관계자들은 해외에 비해서는 덜하지만 이미 국내 은행서비스의 스마트폰 뱅킹용 앱 중 일부에서 보안사고가 발생하고 있다며 아직 대형사고로 이어지진 않았으나 앞으로 더욱 주의가 필요한 시점이라고 당부했다.
