본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

[보안동향] 공인인증서 가고, 분산ID 어서오고!

2021.06.17

다음 질문에 대한 답은 무엇일까요? ‘작년에 공인인증서가 폐지됐는데, 그럼 이제 인증서 없이 금융거래를 할 수 있나요?’ 정답은 ‘아니요’입니다.

2020년 12월 10일 전자서명법 개정안 시행으로 금융거래 시 공인인증서 의무사용을 폐지하는 법안이 발효됐습니다. 이는 그동안 금융결제원 등 공인인증기관이 발급한 공인인증서에 대해서만 부여됐던 법적효력이 민간 사업자가 발급한 여러 인증서에도 동일하게 부여된다는 의미입니다. 그럼, 금융인증서비스는 기존의 공인인증서(현재 공동인증서)와 어떤 차이가 있을까요?

금융인증서비스 특징과 금융권 사설 인증서 구분

인증서 장단점 비교 (출처: 금융위원회 블로그)

금융결제원의 금융권 공동의 인증서비스는 공인인증서의 단점을 보완해 사용이 보다 간편합니다. 금융인증서비스는 ▲별도의 프로그램을 설치하지 않아도 되고 ▲인증서가 클라우드에 저장돼 스마트폰에 따로 이동‧저장할 필요가 없습니다. 또한 ▲지문인증이나 간편 비밀번호 등으로 간편하게 사용할 수 있으며 ▲다양한 인증 기술로 이용자에게 편의성과 간편함을 제공합니다.

금융권은 사설인증서, 바이오인증 등 다양한 인증수단을 활용하고 있으며, 최근에는 자체 인증서를 개발해 이용 범위를 확대하고 있습니다. KB국민은행은 행정안전부 공공분야 전자서명 확대 도입 시범사업의 후보사업자로 선정됐습니다. 네이버, 카카오 등 플랫폼 사업자나 이동통신사 등도 넓은 고객 접점을 기반으로 금융권 인증시장 진출을 추진하고 있습니다.

 금융권 활용 사설 인증서 (출처 : 금융보안원)

인증서 종류와 특징

그럼 인증서에는 어떤 종류가 있고, 어떤 특징을 가지고 있을까요? 다음은 각 인증서의 편의성, 보안성, 범용성, 갱신기간, 비용 등을 상세하게 비교한 내용입니다.

인증서 종류와 장단점 비교 (출처 : ‘커피 한잔의 여유’ 블로그)


대체로 보안성이 높으면 편의성이 떨어집니다. 기존의 공동인증서(공인인증서)와 달리 최근 생겨난 민간 인증서들은 포털, 핀테크, 금융기관, 통신사의 회원을 중심으로 서비스를 제공하고 있습니다. 사용 목적에 맞는 인증서를 선택해 사용하면 됩니다. 이런 인증서들과 함께 사용되는 대체 인증방식으로는 핀/패턴, ARS, SMS, 계좌, 카드, 생체 등 다양합니다.

간편결제 인증수단 종류 (출처 : 금융결제원)

공인인증서를 대체하는 분산 ID

  인증 환경의 변화 (출처 : 컴퓨터월드)

최근에는 공인인증서를 대체할 미래형 인증기술로 지문이나 홍채, 얼굴, 정맥 등을 이용하는 생체인식기술과 블록체인을 통해 고객 식별정보를 분산 저장하는 분산ID(DID) 기술이 주목받고 있습니다.

특허청의 통계를 보면 생체인증 및 분산ID 관련 특허 출원 건수는 2015년 123건에서 2019년 222 건으로 대폭 늘어났습니다. 그중 분산ID는 온라인상에서 사용자가 스스로 신원에 대한 증명관리, 신원정보 제출 범위 및 제출 대상 통제 등을 수행하는 체계입니다. 이때, 신원은 사용자의 이름, 나이, 개인 고유 식별정보, 인증정보 등을 말합니다.

전통적인 서버와 클라이언트 모델 신원 관리 체계와 다르게 분산ID를 사용하면 자신의 신원정보에 자기 주권 행사가 가능하게 됩니다. 사용자 스스로 신원정보의 사용 방법 및 목적을 결정할 수 있는 것입니다. 분산ID가 생겨난 이유는 우리가 가입했던 포털, 웹사이트 등 과 같은 서비스 제공기관에서 각각 사용자 정보를 관리하는 중 해킹, 부주의 등으로 인해 정보 유출 사고가 끊임없이 발생했기 때문입니다. 즉, 개인의 프라이버시를 보다 강화해 보호할 목적인 것이죠.

사람들은 일반적으로 동일한 ID 및 비밀번호를 여러 웹사이트에 사용하는데요. 가입한 웹사이트가 허술하게 관리되거나, 가입정보를 사용자의 동의없이 무단으로 이용될 수 있습니다. 이에 반해 DID는 블록체인을 통해 분산된 시스템을 구축함으로써 특정 기업에 종속되지 않고, 사용자가 자신의 정보를 관리할 수 있는 환경을 구축할 수 있습니다. 신원정보를 기업의 중앙화된 시스템으로 통제하는 것이 아니라 블록체인을 활용해 개인이 자신의 정보를 통제할 수 있게 됩니다. 금융권은 이런 분산ID기술의 표준을 제정해 활용하고 있습니다.

블록체인 기반의 금융분산ID 플랫폼 (출처 : 금융결제원 보도자료)


금융결제원은 온·오프라인 통합 신원증명인 금융분산ID를 고객확인 절차에 적용함으로써 반복적인 신원확인의 번거로움을 최소화하고 있습니다. 또한 모바일에서 쉽게 신원확인을 할 수 있도록 해 금융소비자가 보다 편리하고 안전하게 디지털 금융서비스를 이용할 수 있도록 지원하고 있습니다. 아울러 자격증명, 증명서 발급·제출 등의 업무에 금융분산ID를 이용해 종이 없는 금융거래를 도모하며, 금융 디지털 혁신을 추진할 계획이라고 합니다.

DID기술의 한계 극복을 위한 노력

국내에 적용되고 있는 DID기술은 신원인증과 관리 등 모든 것을 해결하기에 아직 부족한 면이 있습니다. 한국정보보호학회가 주관한 ‘2020 NetSec-KR 제26회 정보통신망 정보보호 컨퍼런스’에서 김승주 고려대 정보보호대학원 교수는 ‘DID에 대한 오해와 진실’을 주제로 DID를 만들 때 고려해야 할 중요한 세 가지 핵심사항을 다음과 같이 제시했습니다. “첫째, 작동 원리가 투명하게 공개돼야 하고 둘째, 아이디 정보가 위변조 되지 않아야 하고 셋째, 글로벌하게 사용할 수 있어야 한다.”

이 세 가지를 충족하기 위해서는 퍼블릭 블록체인으로 DID를 구현해야 한다고 강조합니다. 그러면서 “국내는 아직 이동통신사가 만든 프라이빗 블록체인을 기반으로 하고 있어 글로벌 사용에 문제가 발생한다”며 “향후 국내 DID는 퍼블릭 블록체인으로 구현돼야 한다”고 밝혔습니다.

지금까지 살펴본 바와 같이 전자서명법 개정으로 인해 공인인증서 의무 사용이 폐지됐고, 다양한 민간인증서 및 분산ID 기술 등 새로운 대체인증 기술을 선보이고 있습니다. 관계당국과 관련 학계 및 업계도 편의성뿐만 아니라 보안성도 고려하고 있으니, 앞으로 안심하고 사용해도 될 것입니다.

[참고자료]

1. 2021년 디지털금융 및 사이버보안 이슈 전망, 금융보안원
2. 인증서 종류와 장단점 비교, ‘커피 한 장의 여유와 여유’ 블로그
3. 공인인증서 폐지 대체인증 기술은?, 투e컨설팅  
4. 미래형 인증기술 특허 현황 , 매일경제신문
5. 분산ID 상용화로 바뀔 금융 생태계, LG CNS 블로그 
6. 인증환경의 변화, 컴퓨터월드
7. 뱅크사인, 은행 공동‘금융분산ID’로 이젠 더 편하고 안전하게 바뀝니다. 기대하세요!, 금융결제원 보도자료 (2020. 10. 29)
8. 김승주 교수 “DID, 오해와 진실…올바른 생태계 조성이 중요, 데일리시큐 

글 ㅣ LG CNS 사이버시큐리티팀

챗봇과 대화를 할 수 있어요