공인인증서가 폐지된다?
최근 과학기술정보통신부에서 발의한 전자서명법 개정안이 국회에 상정되었다는 기사가 올라왔습니다. 공인인증서가 도입된지 벌써 20년이라고 하는데, 공인인증서 제도가 사라지면 과연 어떻게 세상이 바뀌게 될까요?
개정안의 핵심은 공인인증서, 공인인증기관, 공인전자서명제도를 폐지하는 것이라는데, 실제 개정안에는 해당 단어가 모두 삭제되었고 전자 서명이라는 단어만 남았습니다. 공인전자서명이 없어지고 법령 또는 약관 등에 의해서 상호간에 전자 서명에 대한 효력을 부여할 수 있는 것으로 개정되고 있습니다.
개정안의 주요 내용은 다음과 같습니다.
공인인증기관이 없어지는 대신 전자서명인증사업자를 지정•인증을 통해서 인증업무의 안정성과 신뢰성 확보 및 가입자를 보호하겠다고 개정이 진행되고 있습니다.
공인인증서 대체 기술은?
그러면, 어떤 전자 서명 기술이 공인인증서를 대체하게 될지 한번 살펴보겠습니다.
공인인증서는 사실 2가지 용도로 사용되고 있습니다. 본인 확인과 전자 서명입니다. 본인 확인은 쉽게 말하자면 인증서로 로그인하는 용도가 가장 흔합니다. 그리고 민원 서류 등을 발급받을 때 신청자 본인 확인을 위해서 주민등록번호와 공인인증서 간의 일치 여부를 확인하는 것이 있습니다.
전자 서명은 실제 이체나 쇼핑몰에서 30만 원 이상 구매 등의 금융거래 사실에 대한 확인, 공공 사이트에서의 입찰 신청, 민원서류 신청 및 발급 등에 대한 사실 확인을 위한 용도로 주로 사용되고 있습니다.
본인 확인은 이미 시장에 다양한(?) 인증 수단이 나와 있습니다.
대표적인 수단은 우리가 가장 많이 사용하고 있는 휴대폰 SMS 인증이 있습니다. 사용자들이 가장 많이 본인 확인용으로 사용하는 것으로 통신사를 선택한 후 이름, 생년월일, 성별, 전화번호를 입력하고 6자리 인증번호를 받아서 인증하는 SMS 인증 서비스입니다. 최근에서는 통신사가 One Pass이름으로 통합된 서비스를 제공하고 있습니다. 여기에 향후에는 전자 서명 서비스까지 추가한다고 하니, 어찌 보면 향후 가장 강력한 공인인증서 대체 수단이 될 수 있을 것입니다.
행정안전부에서의 디지털 원패스라는 전자정부 사이트에 대한 통합 인증 서비스도 있습니다. 현재의 디지털 원패스는 인증의 개념으로만 서비스하고 있습니다만, 향후에는 전자 서명이 본인 확인만으로도 가능하다면 디지털 원패스를 이용해서 전자 서명에도 사용할 수 있게 될 것입니다.
이외에도 신용카드 인증, 아이핀 등의 본인 확인 수단이 더 있습니다. 전자 서명의 핵심은 전자 서명 주체의 고유한 정보를 사용하는 것입니다.
그런 점에서 PKI 방식은 서로 쌍을 이루는 개인키, 공개키를 만들어서 개인키는 본인만이 소유하게 하고 개인키를 이용해서 전자 서명 암호화를 수행하도록 하고, 공개키는 오픈된 장소에 놔두고 개인키를 이용해서 전자 서명 암호화한 값을 검증(복호화)하는데 사용하는, 가장 유효한 전자 서명 방식이라고 할 수 있습니다. 이러한 PKI 키쌍의 사용을 안전하게 사용할 수 있는 서비스를 제공해주는 공인인증기관을 지정하고, 이를 인정해주는 것이 전자서명법 입니다.
공인인증서 제도가 폐지되었다고 해서 인증서가 사라지는 것은 아닙니다. 단지 공인이라는 말만 없어지는 것 뿐입니다. 즉 기존에 전자서명법에서 보장하던 공인인증서, 공인인증기관, 공인전자서명은 (사설)인증서, (사설)인증기관, 전자 서명으로 계속 존재하게 됩니다.
따라서, 공인인증서를 대체하는 가장 첫 번째는 사설 인증서가 될 수 있습니다. 전자 서명이 가장 효과적인 수단이 PKI 방식이기 때문에, 인증서를 이용한 전자 서명은 계속 유효하게 사용될 수 있습니다. 특히 기존의 공인인증기관에서 발급하던 공인인증서는 이미 많은 인프라가 갖춰져 있기 때문에 기존의 공인인증서를 사설 인증서로 사용하는 곳이 당분간은 많지 않을까 싶습니다.
또 다른 수단으로는, 최근에 금융권에서 신규로 서비스한 뱅크사인이 있습니다. 뱅크사인은 18개 금융기관에서 블록체인 기반으로 인증서를 발급해고 사용할 수 있는 서비스입니다. 뱅크사인 역시 인증서 기반의 서비스입니다. 다만 발급해주는 주체가 공인인증기관이 아닌 은행연합회가 되는 것이고 인증서에 대한 효력을 증명해주는 방법에서 블록체인 기술이 들어가 있을 뿐입니다.
공인인증서와 비교해보자면 아래 표와 같습니다.
뱅크사인은 사용자들의 사용 환경이 바뀐 것이 좀더 큰 요소입니다. 사용자는 인증서 비밀번호가 아닌 그냥 PIN, 패턴, 지문 등만 등록하고 사용하면 뒤에서 인증서가 있는지도 모르게 그냥 로그인, 전자 서명을 할 수 있게 됩니다. 모바일 앱 뿐만 아니라 PC에서도 사용할 수 있도록 지원하고 있습니다. 다만, 블록체인 노드에 속해 있는 금융기관에서만 사용할 수 있는 제약은 있습니다.
다음으로는 최근 가장 핫하게 떠오르고 있는 FIDO가 있습니다. FIDO는 2014년 1.0 표준이 만들어졌고, 2018년 4월에는 2.0 표준이 발표되었습니다. FIDO의 최대 강점은 PC, 모바일 관련된 글로벌 IT 업체들이 모여서 표준을 만들었다는 점입니다. 특히 삼성, LG, 애플, 구글, MS 등의 H/W 및 OS 업체들까지 모두 참가하여 H/W 기반으로 보단 안전하게 FIDO 관련 정보를 처리를 할 수 있게 해줘서 보안성이 좋다고 하겠습니다.
또한 표준으로서 보안성, 편의성이 좋고 호환성이 높기 때문에 이는 결국 많은 사용자들을 확보할 수 있게 될 것이고 곧 전자 서명 시장에서 많은 점유율을 가질 수 있게 해주는 수단이 될 수 있겠습니다. 이미 기존의 PKI 업체들과 공인인증기관들은 FIDO 기반의 인증서 서비스, 솔루션을 준비 또는 발표하고 있습니다.
FIDO도 역시 PKI 기반으로 작동되는데, 역시 사용자들에게는 비밀번호, 패턴, 지문, 홍채 등의 다양한 수단을 통해서 인증만 수행하면 로그인, 전자 서명은 뒷단에서 알아서 작동되는 구조입니다. 다양한 인증 수단의 지원, 특히 생체 인증 수단을 제공한다라는 것과 생체 정보가 서버로 전송되지 않고 클라이언트 단에서만 처리된다는 것이 가장 큰 장점으로 부각되고 있습니다.
이미 공인인증기관, PKI 업체들 중에는 FIDO와 공인인증서를 결합하여 인증기관의 HSM 서버 단에 공인인증서를 보관하여 어디서든 인증서를 사용할 수 있게 해주는 서비스를 제공•준비하고 있습니다.
기존에 생체 인증에서는 생체 정보가 서버에 저장된다는 것이 가장 큰 부담감과 이슈로 다뤄지며, 생체 정보는 변경할 수 없는 정보이기 때문에 한번 노출되면 비밀번호와 다르게 변경할 수 없다라는 것이 최대 단점이었습니다. FIDO는 이를 어느 정도 보완해주고 있다고 하겠습니다.
FIDO와 달리 생체 정보를 서버(인증 기관)에 저장해서 전자 서명에 사용하는 서비스도 있습니다. 생체정보는 개인의 고유정보를 이용해서 전자 서명하게 되므로, 당연히 전자 서명 주체에 대해서 증명하는 것은 문제가 없겠으나, 이를 어떻게 안전하게 보관할 수 있느냐 라는 문제가 있습니다. 따라서, 생체정보 나눠서 신뢰할 수 있는 기관(금융결제원 등)에 분산 보관하고, 전자 서명 검증 시 이를 다시 합쳐서 검증하는 방법으로 서비스하고 있습니다.
이외에 간편결제 서비스도 하나의 대안이 될 수 있습니다. 이미 30만 원 이하의 결제 서비스에서는 비밀번호 등의 간편결제를 많이 이용하고 있습니다. 삼성페이, LG페이, 애플페이, 네이버페이, 카카오페이 등 간편결제 수단이 우리 주위에 많습니다.
국내에서 가장 많은 스마트폰을 팔고 있는 삼성, 검색 시장을 지배하고 있는 네이버, 모바일 영향력이 가장 큰 카카오 등에서 각자 보유하고 있는 사용자를 기반으로 간편결제를 적용하고 있습니다. 공인인증서 제도가 폐지되면 30만 원이라는 제약도 없어질 것이고, 페이에 대한 사용을 더욱 확대될 것입니다. 이외에도 카톡으로 문자를 받고서 결제하는 서비스도 있죠.
향후에는 이러한 서비스들이 더 다양할 될 것입니다.
대체 기술에 선택에 있어서 유의할 점은?
공인인증서가 폐지되는데 가장 큰 이유 중 하나는 플러그인 설치일 것입니다. 공인인증서를 사용하려면 ActiveX, EXE 등의 웹 브라우저 플러그인을 설치해야만 했습니다. 그러나 이러한 플러그인에 대한 보안 위협 등으로 이제는 플러그인을 사용하지 않도록 표준이나 기술이 발전하고 있습니다.
최근에 행정안정부에서도 공공 사이트 플러그인 제거 가이드라인을 발표했습니다. 아시다시피 ActiveX, EXE로 대표되는 플러그인이 지금과 같이 번창하게 되는데 가장 큰 역할을 한 것이 공인인증서입니다.
실제로 국내의 플러그인들이 시작된 것은 금융권에서 웹사이트의 암호화 통신에서 SEED라는 국내 암호화 알고리즘을 사용하도록 제한한 것과 공인인증서라는 두 가지가 시작이라고 하겠습니다. 당시에 웹 브라우저, 웹 서버에서 지원하는 암호화 통신인 SSL에서는 SEED라는 암호화 알고리즘을 지원하지 않았고, 공인인증서에서 사용되는 전자 서명 알고리즘 역시 지원하지 못했기 때문에, 별도의 프로그램을 설치해서 사용해야 했습니다.
여기에 공인인증서 비밀번호를 보호하려고 키보드 보안이 적용되고, 추가적으로 사용자 PC의 보안을 위해서 온라인 백신•방화벽이 설치되고, 전자 정부 확대로 민원 서류가 인터넷을 발급되면 발급되는 출력문서에 대해서 복사 방지, 위변조방지 등을 위해서 출력 보안 프로그램이 설치되면서 국내는 그야말로 플러그인이 없으면 금융, 공공 사이트들을 사용할 수 없는 플러그인 세상이 되었습니다.
지금은 SEED라는 알고리즘의 제약이 없어지고, 국내•외 표준으로 안전한 강도의 암호화 알고리즘만 적용하면 되기 때문에 SSL로도 암호화 통신이 가능해진 상태고, 이제는 공인인증서마저 폐지되려고 하고 있습니다.
따라서, 공인인증서 대체 기술들도 플러그인을 사용하지 않는 기술들이 대세입니다. 인증서도 플러그인을 설치해서 발급받고 사용하는 것이 아닌, 웹 표준에서 지원하는 기능을 이용하는 방법이 이미 나와 있습니다. HTML5에서의 Web Crypto API를 이용하면 브라우저에서 인증서를 직접 생성, 사용할 수 있습니다. 일부 금융권 사이트에는 이미 이러한 기능이 적용되어 있는 것을 볼 수 있습니다.
물론 아직까지 브라우저 인증서는 제약사항이 있습니다. 인증서가 웹 스토리지에 저장되는데 웹 스토리지는 웹 캐쉬 삭제 시 같이 삭제되기 때문에 장기 사용이 안됩니다. 또한 웹 스토리지는 브라우저 별, 도메인 별로 구분되어 사용되기 때문에 하나의 인증서를 공유해서 사용하는 것이 불가합니다.
금융결제원에서는 이러한 단점을 개선하기 위한 브라우저 인증서를 장기 보관해주는 서비스를 제공하고 있습니다. 다만, 브라우저 인증서를 금융결제원의 장기보관소에 이동•복사하고 타 웹 브라우저•사이트에서 사용하기 위해서도 이동•복사해야 하는 불편함이 생기게 될 것입니다.
또한 뱅크사인, FIDO와 같이 모바일 앱을 통해서 처리하는 방법이 있습니다. 모바일 앱도 또 하나의 플러그인이 아니냐고 할 수 있습니다. 그래도 ActiveX, EXE처럼 습관적으로 설치하는 것이 아닌, 사용자가 모바일 앱을 찾아서 설치한다는 측면에서는 좀더 안전하다고 할 수 있습니다.
어떤 기술을 선택해야 하나?
공인인증서의 사용을 강제하는 것은 전자서명법 이었습니다. 그러나, 공정한 무역경제 측면에서 공인인증서는 하나의 무역장벽이 될 수 있었습니다. 외국 업체가 국내에서 금융업을 하려면 공인인증서를 지원해야 하겠죠. 외국인이 국내 금융기관을 이용하기 위해서도 공인인증서가 필요할 것이고요. 공인인증서가 국제적으로 사용할 수 있는 표준이라면 모를까, 국내에서만 사용 가능한 인증서일 뿐이었습니다.
따라서, 향후에는 인증서는 무엇이든 표준을 따르는 기술이 우선 될 것으로 보입니다. 특히 플러그인 설치가 필요 없는 기술입니다. 플러그인 자체가 표준이 아니기도 합니다. 그런 점에서 FIDO가 인증수단 및 전자 서명 메인 또는 보조 수단으로 가장 핫하게 떠오르는 이유라고 할 수 있습니다.
또 하나는 전자서명법에서 공인인증기관이 없어지는 대신 전자 서명 사업자 인증 제도가 새로 생겼습니다. 전자 서명 서비스의 신뢰성 확보를 위해서 인증을 해주는 제도로서 기존 공인인증기관에 대해서도 전자 서명 서비스 사업자로서 인정해주고 있습니다. 따라서, 전자 서명 사업자 인증을 받은 서비스를 이용하는 것이 신뢰성 측면에서 좀더 좋다고 하겠습니다.
HTML5, FIDO2.0 등의 웹 표준이 발전 추이를 지켜보면서, 전자 서명 사업자 인증을 받은 서비스 중에서 내가 필요한 전자 서명 요건을 만족하면서 사용자들이 가장 편리한 기술, 표준을 따르는 기술, 그러나 사용자들에게 가장 편리한 기술을 선택해야 할 것입니다.
글 l LG CNS 보안컨설팅팀
