공인인증서 폐지, 떠오르는 사설인증의 시대
펜타시큐리티의 '쉽게 만나는 IT'
이 기사를 공유합니다
펜타시큐리티
펜타시큐리티 2020년 7월6일 16:30
출처=펜타시큐리티
출처=펜타시큐리티

전자서명법 개정안 통과로 공인인증서가 사라집니다. 그렇다면 이제 휴대폰, USB 등에 넣고 다니던 공인인증서는 삭제해도 되는 걸까요? 그 정답은 공인인증서라는 단어에 있습니다. 전사서명법으로 사라지는 것은 '공인 + 인증서'에서 '공인'이 사라지는 것입니다.

다시 말해, 공인인증서 자체가 없어지는 것이 아니라, 기존에 활용하던 인증서 시스템은 그대로 활용할 수 있지만 '공인'이라는 독점적 지위를 없앤 것입니다. 대신 다양한 인증 방식을 사용자가 선택하여 활용할 수 있게 됩니다. 비유하자면 국가에서 직접 구축한 철도만 이용할 수 있다가 기업에서 새롭게 철도를 깔고 이것을 이용할 수 있게 되는 것입니다. 장단점이 있겠지만 사용자의 편의성이 높아지고 선택권이 넓어지리라 전망할 수 있습니다.

드라마가 바꿔놓은 공인인증서

공인인증서는 1999년 전자서명법을 기반으로 시작했습니다. 당시에는 비대면으로 신원을 확인할 수 있는 수단이 없었기 때문에 온라인상의 거래가 어려웠습니다. 이러한 문제점을 해결하고 전자상거래를 활성화한다는 목적으로 공인인증서가 도입됐습니다. 이후 2013년 드라마 '별에서 온 그대'가 한국뿐 아니라 해외에서 크게 인기를 끌었습니다. 이때 주인공 이름을 딴 일명 '천송이 코트'가 중국에서 유행했고, 한국 인터넷 쇼핑몰에서 구매하려고 하는 중국인들이 많았습니다. 하지만 중국인들의 쇼핑을 막은 건 다름 아닌 공인인증서였습니다. 쇼핑몰 결제를 위해서는 공인인증서가 필요했는데 발급 과정 등이 복잡해 구입하지 못하거나 불편함을 토로하는 경우가 많았습니다. 국가 입장에서는 드라마를 통해 수출이 증가할 수 있었던 기회였지만 공인인증서가 발목을 붙잡은 것입니다.

이러한 논란을 막고자 2014년 금융위원회는 전자상거래 시 공인인증서 의무사용을 폐지했습니다. 전자상거래에 한정된 개정이었지만 사용자의 접근이 많은 분야였고, 사실상 공인인증서 폐지의 첫 단계였기 때문에 의미 있는 변화로 평가됩니다.

이후에도 액티브엑스(Active X) 없이 발급을 가능하게 하는 등 공인인증서 등 인증서를 더 간편하게 활용하는 방향으로 꾸준히 변화해왔습니다. 그리고 2020년 올해 전자서명 기술의 발전을 저해한다는 명목으로 21년간 쓰였던 공인인증서 제도는 폐지됐습니다.

출처=펜타시큐리티
출처=펜타시큐리티

우리는 이미 다른 인증서를 사용하고 있었다

앞서 언급한 것처럼 '천송이 코트' 논란을 계기로 일부 분야에서는 공인인증서 사용 의무를 폐지했습니다. 카카오뱅크, 토스 등에서 금융 서비스를 활용할 때 지문인식, 비밀번호 등 공인인증서 외에 다른 수단을 사용할 수 있었던 것도 이러한 이유입니다. 그렇기 때문에 공인인증서가 폐지되었다 하더라도 사용자의 체감은 적을 수도 있다는 의견도 나오고 있습니다. 실제로 우리에게 어떤 변화를 가져올지 살펴보겠습니다.

먼저, 공인인증서를 1년마다 갱신해야 하는 번거로움이 없어집니다. 잊을만하면 찾아오는 갱신일. 갱신 기간을 놓치면 또 신규 발급을 받아야 하고 번거로운 경우가 많았는데요. 이러한 불편함이 줄어들 예정입니다. 실제로 기존의 공인인증서도 사용자 편의성을 위해 갱신기간을 1년에서 3년으로 늘리고 자동 재발급 시스템 도입 계획을 밝혔습니다.

그 외에도 공인인증서를 사용하기 위해 설치해야 하는 통합 보안 솔루션 등의 액티브엑스도 사용자에게 큰 불편함으로 다가오기도 했습니다. 또 알파벳, 숫자, 특수문자까지 조합해야 했던 공인인증서의 복잡한 비밀번호 규칙과 기기별로 복사하고 보관해야 했던 낮은 범용성은 문제점으로 지적받아 왔습니다. 사설 인증서는 간단한 핀번호만으로 인증하거나, 클라우드 환경을 이용해 보관과 이동이 용이해 편의성을 크게 높일 것으로 기대되고 있습니다.

공인인증서가 아니면 믿을 수 있는 걸까?

공인인증서 폐지로 얻을 수 있는 이점도 있지만, 인증서 남발로 인한 보안 위협이나 개인정보 침해가 우려된다는 목소리도 나옵니다. 20년 넘게 공공기관에서 인정해준 '공인'인증서를 사용하다 보니 사설 인증의 안전성도 문제가 됩니다. 그렇기 때문에 이번 전자서명법 개정안에는 새로운 전자서명 기술의 개발 확산에 맞춰 신뢰성 및 안정성이 높은 서비스를 사용자가 선택할 수 있도록 하기 위한 '전자서명 인증업무 평가 인증 제도'에 대한 내용도 포함되어 있습니다.

또한 신청 기관만 평가를 통해 전자서명인증업무 운영기준 준수 사실 증명서를 발급받을 수 있습니다. 공인인증서와 달리 독점적 효력을 부여하지 않는 선에서 이루어집니다. 이는 전자서명 수단에 대한 객관적 정보제공과 합리적 선택을 위한 제도입니다.

​그래서 당장 어떤 인증서를 사용할 수 있을까

우선 기존의 공인인증서도 남아 있는 유효기간까지 이용할 수 있습니다. 이후에는 이용기관 및 이용자 선택에 따라 일반 전자서명 중 하나로 활용할 수 있습니다.

전자서명법 개정안이 폐지되기 전부터 생체정보, 블록체인, 일회용 비밀번호 OTP 인증 기술 등을 활용한 다양한 인증 수단이 시장에 나오기 시작했는데요. 공인의 자격이 없어지고 시장 원리에 따라 사용자가 선택할 수 있는 인증 수단 시장이 된 만큼 더 다양한 인증 수단이 등장할 것으로 기대를 모으고 있습니다.

현재 전자서명 시장에서 두각을 보이는 세 개의 인증 서비스가 있습니다. 1) 이동통신 3사가 합쳐 만든 본인인증 앱 PASS 기반 인증서 서비스, 2) 카카오가 운영하는 카카오페이 인증, 3) 은행연합회 제공하는 뱅크사인이 대표적인 사설 인증서입니다. 이들은 모두 6자리 핀번호나 생체인증 등의 수단으로 간편한 전자 서명이 가능한 형태입니다.

공식적으로 공인인증서 자격이 사라지는 것은 오는 11월부터입니다. 인증 서비스는 개인정보를 비롯한 금융 서비스 등과 연결된 만큼 인증서의 안전성에 대한 충분한 고려와 검토가 필요합니다.

편집자 주. 블록체인 기술이 실생활에 스며들어 다양한 IT 기술과 결합하고 있습니다. 새로 시작하는 보안업체 펜타시큐리티의 연재 기고 '쉽게 만나는 IT'는 이같은 현실을 풀어서 설명해 드립니다.

제보, 보도자료는 contact@coindeskkorea.com으로 보내주세요.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.