공인인증서 폐지, 대체인증 기술은?
상태바
공인인증서 폐지, 대체인증 기술은?
  • 이경이 수석
  • 승인 2020.12.15 09:00
  • 조회수 252
  • 댓글 0
이 콘텐츠를 공유합니다

공인인증서는 초기 도입 시 전자상거래 활성화 등 국가정보화에 기여하였으나, 공인인증서의 시장 독점 및 전자서명 기술 발전과 서비스 혁신에 저해하는 등의 문제가 제기되어 국제적 기준을 고려한 전자서명 제도를 도입하는 등 전자서명 제도를 국가 위주에서 민간 위주로 개편하여 경쟁력 제고 및 국민의 선택권 확대를 위해 추진되었다. 국내 인증서비스에 적용되는 신기술 동향을 분석하고, 공인인증서 폐지에 따른 대체 인증 기술이 관련 산업에 미치는 영향 및 시사점을 도출하고자 한다. 

 

‘공인’ 폐지의 전자서명법 개정 

공인인증서의 도입에서 폐지까지

1999년 도입된 공인인증서는 온라인 신원보증 및 문서의 위.변조를 막기 위해 만들어져 인터넷 뱅킹 및 전자정부 서비스 등에서 활용되었다. 액티브엑스로 인한 불편함 등으로 개선 요구가 높아졌으며, 독점적 지위를 폐지하는 등의 ‘전자서명법 개정’ 전부개정안이 국회 통과 되어, 12월 전면 시행 예정이다. 

공인인증서의 문제점

기존 공인인증서 제도는 공인인증서의 우월적 법적 지위로 공인인증서 시장을 독점하였으며, 신기술 기업의 시장진입을 저해 또는 공인인증서의 기술 및 서비스 혁신을 저해하는 등의 문제점을 가지고 있었다.  개정된 전자서명법으로 5개 기관(한국정보인증(kisa), 코스콤(Signkorea), 금융결제원(yessign), 한국전자인증(crosscert))이 발급하는 독점기능이 사라지고 신기술을 적용한 다양한 인증서비스를 사용할 수 있게 되었다.

불편한 공인인증서 발급/ (출처: 2020.05.20, 한국경제신문, 공인인증서 역사 속으로…’전자서명’ 춘추전국시대 열린다, 관련기사)
불편한 공인인증서 발급/ (출처: 2020.05.20, 한국경제신문, 공인인증서 역사 속으로…’전자서명’ 춘추전국시대 열린다, 관련기사)

 

간편하고 안전한 인증 서비스의 요구 

금융권의 간편결제 시장에서 공인인증서를 사용하면서 기존 패스워드 대체 할 수 있는 강력한 인증 수단의 요구와 반복되는 프로그램 설치 및 시스템 구축 등의 비용증가 등을 해결할 수 있는 편리하고 안전한 공인인증서의 대체 인증 서비스의 요구가 높아졌다.

간편결제 시장에서의 간편인증 

간편인증 수단으로 본인 및 거래인증에 핀.패턴인증, ARS인증, 휴대폰 SMS인증, 계좌. 카드 인증, 생체인증 등을 활용하며, 비금융업자들은 고객 본인인증 과정을 거쳐 개인정보, 비밀번호, 지급수단을 등록하고 매번 결제.송금시 간편송금을 인증하는 방식으로 활용하고 있다. 

(출처 : 금융결제원, 비금융-간편결제 송금서비스 현황, 행정안전부, 공공웹사이트 인증수단 소개서)

간편결제 이용자는 간편결제 본인인증 수단으로 비밀번호(75.5%), 패턴암호(28.2%), 생체정보(20.4%)를 주로 이용하며, 편리성을 앞세운 간편결제 서비스의 보안성이 일반결제의 보안성 대비 높다는 인식이 48.1% (높음:43%, 매우높음:5.1)로 나타나 보안성에 대한 우려는 낮은 것으로 분석된다.

간편결제 본인인증 수단 이용현황 '18년 (출처 : 금융결제원, 비금융-간편결제 송금서비스 현황, 과학기술정보통신부.한국인터넷진흥원, 2018 정보보호 이용실태조사)
간편결제 본인인증 수단 이용현황 '18년 (출처 : 금융결제원, 비금융-간편결제 송금서비스 현황, 과학기술정보통신부.한국인터넷진흥원, 2018 정보보호 이용실태조사)

편의성과 안전성을 보장한 사설인증 사례 : 카카오뱅크

카카오뱅크의 인증서비스는 공인인증은 아닌 사설인증이지만, 간편하면서도 다중보호 인증절차로 금융위원회 비대면 실명확인 요건을 갖추었으며, 일반은행 대비 모바일 환경에 집중 및 간소화로 이용자들에게 편리성을 제공하면서, 지난 ‘18년 카카오뱅크를 선택한 가장 큰 이유로 ‘공인인증서가 없다(62.8%)’를 꼽았다. 

 

인증 서비스에 요구되는 차세대 신원인증 체계와 기술

최근 공인인증서 대체 인증으로 지문, 홍채, 얼굴에 이어 행동 인식까지 진화된 생체 인식 기술은 FIDO 인증을 통해 금융, 보안, 검역 등 다양한 분야에서 활용되고 있으며, 블록체인 기술은 별도의 기관없이 저장된 데이터의 신뢰성을 담보할 수 있는 분산ID 시스템을 구현하고 사용할 수 있는 핵심 기술로서 전자서명, 프라이버시가 보호되는 생체정보 등과 접목하여 공공 및 금융 분야에서 기술 혁신 서비스로 활용되고 있다. 

▶ 온라인 보안인증, FIDO(Fast Identity Online)

FIDO(Fast Identity Online)는 온라인 환경에서 아이디와 패스워드 없이 생체인식 기술을 활용해 보다 편리하고 안전하게 개인 인증을 수행하는 기술을 말한다. FIDO Alliance는 범용 인증 프레임워크 표준 제정을 위해 ‘12년 7월에 설립된 협의회이며, 회원사로는 아마존, 구글, 삼성전자, 비자, 마이크로소프트, 애플 등 전세계 250여개 회사가 있다. 전세계 주요 기업과 서비스, 대부분의 최신 웹 브라우저가 FIDO를 지원하고 있으며, 현재 구현 방식에 따라  3가지 표준이 나와 있다. 

FIDO 프레임워크 / 주1) Universal Authentication Framework, 주2) Universal 2nd Factor 3) World Wide Web Consortium , 4) Web Authentication
FIDO 프레임워크 / 주1) Universal Authentication Framework, 주2) Universal 2nd Factor 3) World Wide Web Consortium , 4) Web Authentication

생체정보는 인증서버가 아닌 인증장치(예.스마트폰)에 안전하게 저장하고, 인증장치 내에서 생성된 개인키 서명결과로 인증장치여부를 인증(원격 인증)한다. 인증수단과 인증프로토콜을 분리해 보안성과 편리성을 보장하며, 서비스 서버 변경없이 다양한 인증 수단 사용이 가능하다.

FIDO의 주요 핵심 개념 / (출처:드림시큐리티, 차세대인증기술 FIDO, 재구성)
FIDO의 주요 핵심 개념 / (출처:드림시큐리티, 차세대인증기술 FIDO, 재구성)

FIDO 시스템은 FIDO서버, FIDO클라이언트, ASM(Authenticator Specific Module), 인증장치(Authenticator)로 구성되어 있으며, 주요기능으로 인증과 거래 확인을 위해 공개키 기반 전자서명을 활용하여 공개키 등록, 전자서명 생성 및 검증(인증과 거래확인), 등록 해지 과정으로 구성되어 있다. 

FIDO서버와 FIDO클라이언트는 응용 서비스의 인증정책에 부합하는 인증장치를 사용자 디바이스에서 검색, 호출하는 역할을 수행하며, ASM은 FIDO 클라이언트가 FIDO인증장치를 쉽게 사용할 수 있도록 표준화된 API를 제공하며, 인증장치는 사용자 인증 및 FIDO 프로토콜 수행에 필요한 보안정보를 생성.관리, 사용자로부터 입력된 인증정보를 확인, 필요한 보안 메시지 생성 역할을 수행한다. 

FIDO UAF 아키텍처 / (출처 : TTA, 표준안내서 사용자 인증 파이도(FIDO)를 중심으로)
FIDO UAF 아키텍처 / (출처 : TTA, 표준안내서 사용자 인증 파이도(FIDO)를 중심으로)

생체인식 기술은 주로 개인정보 유출 위험에 대응하기 위한 보안기술과, 출입관리, 헬스케어, 공공 검역 등에 활용되고 있으며, 핀테크 산업 활성화 정책 등 금융규제 완화로 인해 공인인증서 대신 비대면 실명 확인을 위한 생체인식 기술 적용이 확대되고 있다.

생체 인식 기술 활용 분야 / (출처 : 융합연구정책센터, 바이오와 보안의 융합, 생체인식 기술)
생체 인식 기술 활용 분야 / (출처 : 융합연구정책센터, 바이오와 보안의 융합, 생체인식 기술)

▶ 블록체인 기반한 분산ID(DID, Decentralized IDentify)

분산ID는 실생활의 신분증(주민등록증.운전면허증 등)처럼 온라인 환경에서 정보 주체가 자신의 신원정보 (디지털신분증)를 관리.통제하는 디지털 신원관리체계이다. 개인정보 관리와 인증을 근본적으로 개선하는 모델로 온라인 환경에서 기업이 개인정보를 통제하는 방식이 아닌, 사용자가 직접 개인정보와 관련된 증명 발급과 제출을 수행하는 방식이 자기주권 신원(Self-Sovereign Identity:SSI)모델이다. 

신원관리 모델의 진화 / (출처: 정보통신기획평가원, Post-코로나 시대의 뉴노멀 기반 DID와 디지털화폐 동향)
신원관리 모델의 진화 / (출처: 정보통신기획평가원, Post-코로나 시대의 뉴노멀 기반 DID와 디지털화폐 동향)

분산ID는  SSI구현과 확산을 위해 국제 웹 표준기준인 W3C주도로 분산신원(DID, Decentralized Identifiers) 모델에 대한 표준화가 진행 중이며, W3C 분산ID 기술모델은 정보주체가 발급기관으로부터 본인정보가 포함된 신원증명서(Verifiable Credentials, VC)를 발급받아 전자지갑 등에 보관하고 이용기관에 직접 제출하는 방식으로 구성된다. 신원증명서를 정보주체가 전자지갑에서 직접 관리하며, 블록체인은 분산된 방식으로 유효성을 검증할 수 있도록 지원한다.

분산ID 기술모델 및 주요관리 정보 (W3C 표준) / (출처: 금융결제원, 분산형 신원증명(분산ID) 기술의 국내외 동향 및 시사점)
분산ID 기술모델 및 주요관리 정보 (W3C 표준) / (출처: 금융결제원, 분산형 신원증명(분산ID) 기술의 국내외 동향 및 시사점)

국내는 금융혁신 및 핀테크 활성화, 블록체인 신기술 산업육성 등의 정부정책과 연계하여 분산ID 사업이 다양하게 추진되고 있다. 금융위원회는 분산ID 관련 사업이 혁신금융서비스로 일부 지정되어 추진 중이며, 과학기술정보통신부는 분산ID관련 원천기술 연구개발 사업 등에 국가 R&D예산을 투입, 지원하고 있으며, 행전안전부는 전자증명서 유통 사업 등을 추진하고 있다. 

해외 적용 사례로는 현재까지 상용서비스보다는 파일럿 방식의 서비스를 진행중에 있으며, 분산ID가 초기 기술임에도 불구하고 자기주권 개념과 신기술 블록체인을 내포하고 있어 각국의 지방자치단체 및 정부기관 등의 관심이 집중되고 있으며, 영향력 있는 다수 참여기관이 컨소시엄을 구성 할 경우 민간이 주도하는 상향식(bottom-up) 방식으로도 대규모 플랫폼 생태계 구성이 가능하다는 특징을 가지고 있다. 

 

인증 기술 발전에 따른 기대효과 및 고려사항

기술적인 관점에서의 발전과 자기주권 모델(SSI)

분산ID는 기존 인증서와 동일한 공개키 기반(PKI)를 사용하여 기술적 체계가 유사하고, 인증서 검증에 블록체인을 사용하는 등 기술적 측면에서의 차이점은 크게 없으면서 추가로 기존 인증서와 동일하게 인증, 본인확인, 전자서명, 고객 동의 등에 활용 할 수 있어 사용 편의성을 제공한다. 분산ID에서의 블록체인 기술은 신원을 즉시 검증 할 수 있는 기술적 신뢰를 제공함으로서 다양한 종류의 신원증명서를 유통 할 수 있는 혁신적 비즈니스의 잠재력이 있는 플랫폼 기술이다. 

분산ID는 기존 신원 인증 방식과 다르게 자기주권으로 센터에 의존하지 않고 신원증명 통제권, 본인정보에 대한 자유로운 이동권, 감시 사회로부터의 프라이버시 보호를 보장한다.  현행 신원증명에 대한 관리체계와 사회적 인식의 변화에 따른 개념으로 분산ID의 자기주권 실현에 필요한 사회적 합의가 다소 시간이 소요 될 것으로 예상되나, 현행 법.제도에 의해 보호 받기 어려웠던 영역을 중심으로 개정이 예정된 전자서명법의 개선방향을 중심으로 점진적으로 수요가 증가 할 것으로 기대된다. 

인증서비스 모든 단계의 보안 대책과 글로벌 표준화

안전성과 편리성을 보장하는 생체인증 및 분산ID의  보안 및 인증기술도 완벽하게 보안을 장담할 수는 없다. 사용자 단말 구간에만 집중돼 있고, 정교한 악성코드를 통한 공격방식에는 논리적 취약성을 가지고 있으며, 생체인증 및 분산ID 기술 모두 단말에 인증정보를 관리하고 있어 단말기 분실에 대한 위험이 존재하므로, 서비스의 모든 단계에 대한 면밀한 보안대책이 요구된다. 

국내에서의 생체인식 기술은 FIDO Alliance통해 글로벌 기업들이 인증을 통해 국제 표준화 준수가 가능하나, 분산ID는 국내 3개의 컨소시엄(MyiD, DID initial, DID Alliance)을 통해서 활발한 서비스가 제공 중이나 글로벌 표준 준수와는 거리가 멀다. 이에 국내 기업도 글로벌 표준을 마련하기 위해 적용사례를 활용한 글로벌 표준을 마련하여 서비스 경쟁력 향상이 필요하다. 

혁신성 및 새로운 비즈니스 모델의 기대

혁신적 트랜드인 블록체인과 자기주권 개념의 전자지갑을 활용한 다양한 신규 비즈니스의 기회로 활용될 것으로 예상되며, 개정된 전자서명법으로 다양한 전자서명, 인증수단의 활용 장려와 바이오 인증, 분산신원 확인(DID) 등 새롭게 출현하는 다양한 인증수단이 활용과 함께 혁신적인 비즈니스 모델의 출현이 기대된다. 

 

참고문헌
2020.05, 과학기술정보통신부, 전자서명법 조문별 제.개정 이유서
2017.12, 소프트웨어정책연구소, 공인인증과 전자서명의 미래
2019.08, 금융결제원, 비금융 간편결제 송금서비스 현황
2020.09, 금융결제원, KFTC지급결제동향 제308호, 공인인증제도 폐지 후의 전자서명 시장의 변화와 시사점
2016.11, 드림씨큐리티, 차세대인증기술 FIDO
2018.02, 융합연구정책센터, 바이오와 보안의 융합, 생체인식 기술)
2017.    TTA, 표준안내서 사용자인증 파이도(FIDO)를 중심으로
2020.06, 금융보안원, 블록체인 상반기 동향보고(2020년 상반기)
2020.01, 한국정보보보산업협회, 블록체인 기술 동향 보고서
2019.12, 금융결제원, 분산형 신원증명(분산ID) 기술의 국내외 동향 및 시사점
2019.04, AEP코리아네트, FIDO 이해하기 : 등록과 인증
2020.05. 한국경제신문, 공인인증서 역사 속으로…’전자서명’ 춘추전국시대 열린다, 유진우
2020.11, FIDO Allicance, https://fidoalliance.org/overview/history/?lang=ko
 

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.