이통사 인증수단·블록체인이 공인인증서를 대체?....“착시 현상”
[디지털데일리 최민지기자] 블록체인, 이동통신사 인증수단, 생체인증이 불편한 공인인증서 대체수단으로 등장했다는 마케팅이 범람하고 있다.
그러나 한국인터넷진흥원(KISA)은 “사실과 다르다”며 불편한 기색을 드러내고 있다.
결론부터 말하자면 이동통신사들이 공인인증서 대체수단이라며 내놓는 인증앱도 공인인증서를 대체하는 것이 아닌 본인인증 확인 수단이다. 블록체인과 생체인증 일부 방식은 공인인증서 기반의 공개키기반구조(PKI) 기술로 이뤄진다.
박상환 KISA 홍보실장은 “블록체인과 파이도(FIDO), 클라이언트 저장방식의 생체인증은 PKI 기술이 적용돼 있다”며 “이통사에서 내세우는 인증수단은 핵심 서비스를 홍보하기 위해 공인인증서를 대체한다고 마케팅 하지만 이는 잘못된 사실”이라고 말했다.
공인인증서는 PKI 기술 기반의 전자서명 기술이다. 개인키와 공개키를 사용하는 비대칭형 암호화기술로, 암호화 및 전자서명을 안전하게 사용하고 관리하기 위한 정보보호 국제표준 방식이다.
공인인증서는 전자서명이 원래 목적이며, 본인확인은 부가기능에 속한다. 원래 자필서명 대신 전자서명을 이용할 수 있게 해 전자문서 이용 활성화 및 정보화 촉진에 기여하는 것이 목적이었다. 다만, 전자서명은 서명자 확인이 가능해 본인확인 용도로도 이용 가능하다는 설명이다.
최근 SK텔레콤은 본인확인 서비스 ‘T인증’을 선보이면서 ‘공공인증서 대체제’로 홍보를 강화하고 있다. KB국민은행에 공인인증서를 대체하는 인증수단으로 T인증이 제공되고 있고, 이를 사용하면 공인인증서와 OTP, 보안카드 휴대 없이 휴대폰만으로 이체 가능하다는 것. KT와 LG유플러스의 인증 서비스도 공인인증서 대체하는 수단으로 소개되고 있다.
이와 관련 백종현 KISA 차세대인증보안팀장은 “PIN번호, 신용카드 인증만 있으면 공인인증서는 필요 없다는 것은 잘못된 설명”이라며 “단순 본인확인을 위한 수단이며, 전자서명을 목적으로 하는 공인인증서를 대체하는 기술은 아니다”고 선을 그었다.
KISA의 설명을 요약해보면, 사용자가 공인인증서 화면에서 공인인증번호를 입력하지 않을뿐 실제로는 기존의 공인인증 프로세스가 작동하고 있는 것이다. 즉, 공인인증서가 마치 사라진 것처럼 보이는 착시현상이다.
실제로 이는 지문 인식방식만으로 모바일뱅킹에 접속해 금융거래를 완결시키는 생체인식 기반 모바일뱅킹서비스에서 적용되고 있다. 우리은행 등은 현재 고객에게 공인인증서가 없는 모바일뱅킹서비스를 제공하고 있다고 밝히고 있지만 실제로는 KISA가 개발한 생체인증 정보를 공인인증 프로세스로 전환시키는 기술을 적용하고 있기때문에 그렇게 보일뿐이다.
한편 공공거래 장부, 분산형 데이터 저장기술인 블록체인도 공인인증서 대체수단으로 언급되고 있다. 이에 백팀장은 “블록체인 자체는 사용자 확인 기술이 없어 PKI, FIDO 등 기존 사용자 확인 기술을 결합해 이용한다”며 “사설인증과 생체인증 만으로는 실명 본인확인이 안되기 때문에 추가 본인확인 절차가 필요한 상황”이라고 반박했다.
사실여부를 떠나 차세대 기술들이 앞다퉈 공인인증서 대체수단으로 나서고 있는 이유는 그만큼 공인인증서가 불편하다는 사회의식의 방증이다. 은행 웹사이트에서 공인인증서를 발급받기 위해서는 액티브X를 비롯해 수많은 보안프로그램을 설치해야만 한다. 연말정산의 악몽이 시작되는 것도 이 때문이다.
KISA는 공인인증서가 액티브X 문제로 인해 함께 호도되고 있다는 입장이다. 이에 액티브X 의존도를 줄이기 위한 노력을 경주하고 있다고 밝혔다.
KISA에 따르면 국내 민간 100대 웹사이트에서 사용하는 액티브X 수는 2014년 1644개에서 2016년 358개로 78.2% 감소했다. 그러나 공공 부문 액티브X의 경우 예산확보 지체 등으로 개선이 지연되고 있다. 홈택스(19개), 민원24(11개), 건강보험공단(22개) 등 국민 체감도(이용률)가 높은 대표 대민행정서비스에서 여전히 액티브X를 다수 사용하고 있는 실정이다.
백 팀장은 “공인인증서는 액티브X, EXE 설치 없는 웹표준 방식의 공인인증서 이용 기술을 개발·보급하고 있으며, 비밀번호 입력 불편없이 지문 또는 홍채 등 생체인증만으로 간편하게 이용 가능토록 했다”며 “안전한 저장매체를 보급해 유효기간을 최대 5년으로 늘려 갱신발급 불편 및 해킹우려를 해소했다”고 강조했다.
또 “키보드 보안프로그램 등 금융권 웹사이트에서 요구하는 각종 설치 프로그램으로 이용자들이 불편을 겪고 있는 것을 해결하려면 비용 부담이 상당할 것”며 “금융기관이 나서줘야 하며, 이용자중대과실 조항에 대한 개정도 논의되고 있다”고 덧붙였다.
<최민지 기자>cmj@ddaily.co.kr
[IT백과] 생성형AI의 진화 ‘AI 에이전트’, 기존 AI 비서와 뭐가 다를까?
2024-12-21 13:27:59[종합] AI 초격차 확보 공고히 한 오픈AI…12일간 여정 끝엔 ‘쩐의전쟁’ 남았다
2024-12-21 11:15:25오픈AI, o1보다 더 강력한 o3 예고…개발자·연구자 대상 사전 테스트 실시
2024-12-21 08:02:48