30만원 이상 온라인 결제시 공인인증서를 쓰지 않고도 결제할 수 있는 대체기술이 금융감독원으로부터 보안성을 인정 받았다. 이에 따라 비공인인증서 결제 기술이 은행, 카드사 등 금융권으로 확대될 수 있는 계기가 마련됐다.
금융감독원 IT보안팀은 11일 전자금융거래인증방법평가위원회를 열고, LG CNS 엠페이 V2.0에 대해 공인인증서가 필요없는 결제 수단에 필요한 보안 가군 인증을 부여했다고 밝혔다. 함께 보안 가군을 신청했던 페이게이트 금액인증은 부인방지기능에 대해 보완이 필요하다는 이유로 인증을 받지 못했다.
보안 가군 인증을 받기 위해서는 부인방지기능, 중간자 공격 방지가 필수다. 부인방지기능은 말 그대로 내가 결제한 내역을 부인할 수 없게 만드는 것으로 기존에 공인인증서에 적용된 공개키기반구조(PKI)가 이를 지원했다. 중간자 공격은 사용자 PC/스마트폰과 전자결제에 필요한 데이터를 주고 받는 웹서버 사이에서 데이터를 가로채거나 조작하는 공격수법을 말한다.
관건이 됐던 부인방지기능에 대해 인증위 사무국을 맡고 있는 금감원 IT보안팀 관계자는 엠페이는 앱을 설치해서 앱과 서버 사이 비밀키를 공유하고, 공유한 비밀키로 인증값을 생성, 이를 통해 결제하는 방식으로 인증평가위원들로부터 해당 기능을 구현하고 있다는 점을 인정받았다고 설명했다.
현재까지 전자상거래에 활용돼 온 대표적인 결제수단은 안전결제(ISP), 안심결제 등이다. 이 방식들은 금융적합성검증을 거쳐 주요 카드사 30만원 미만 결제에 활용되고 있다. 30만원 이상 결제를 위해서는 공인인증서를 통해 추가적인 인증을 받아야 했다.
그러나 전자금융감독규정 시행세칙 개정으로 전자상거래 시 공인인증서 의무사용은 폐지됐다. 기존에 30만원 이상 온라인 결제에 필요한 보안 가군 인증을 받지 않았다고 하더라도 은행, 카드사 등 금융회사가 해당 기술을 적용할 수 있게 된 것이다.
관련기사
- 공인인증서 없이 샵메일 쓴다고? 실효성 논란2014.07.14
- 한국정보인증 "올해 공인인증서 안전저장법 마련"2014.07.14
- 금융위 "공인인증서 없이 온라인 카드결제 OK"2014.07.14
- 공인인증서 유출 불안 커지는데…대책은?2014.07.14
그럼에도 금융권은 비공인인증서 방식을 사용하기를 꺼려왔다. 전자금융감독규정 상 반드시 부인방지기능을 사용토록 하면서 공인인증서를 활용하는 방식에 무게를 둬왔다. 인증위로부터 보안 가군 인증을 받았다는 것은 금감원으로부터 보안성을 보증받았다는 점에서 비공인인인증서 방식 기술이 더 널리 활용될 수 있게 하는 상징적인 의미가 있는 것으로 보인다.
적어도 전자상거래시 공인인증서 의무사용이 폐지됐음에도 불구하고, 대체기술을 찾지 못해 어려움을 겪었던 국내 결제 환경에 새로운 바람이 불게 된 것은 분명하다.
