대표적인 '적폐' 제도 취급을 받아온 공인인증서가 오는 11월부터 '공인'이라는 수식어 없이 사용될 전망이다. 지난 20일 전자서명법 전부개정안 국회 통과에 따라 사설인증서와 금융·공공기관 등에서 차별이 사라지지만, 기존의 공인인증서 이용층과 보안, 비용 문제 등으로 인해 대세 전환에는 시간이 걸릴 것으로 보인다.

 

■공인인증서, 무엇이 문제였나

직장인 커뮤니티 블라인드가 지난달 19일 발표한 '대한민국 직장인 규제인식 조사'에서, 직장인의 18.9%가 '빠른 시일 내 해결해야 할 긴급한 규제'로 '공인인증서 폐지'를 뽑아 해당 항목이 2위를 차지했다. 1위는 택시면허 없는 여객운송서비스 허용(26.4%)이었다.

1999년 제정된 전자서명법은 공인인증제도를 도입해 인터넷을 통한 행정, 금융, 상거래 등을 활성화하는 등의 성과를 이뤄냈다.

하지만 공인인증제도가 20년 넘게 유지되면서 우월한 법적효력을 가진 공인인증서가 전자서명시장을 독점하며, 신기술 전자서명기업의 시장진입 기회를 차단한다는 비판이 점점 커졌다. 액티브엑스 설치, 해킹 사건 등 시스템상의 문제도 지속적으로 지적됐다.

발급이나 사용도 번거로웠다. 발급을 위해서는 신청서를 작성하고 공인기관을 직접 방문해 번호를 발급받아야 한다. 한번 신청한 이후엔 해당 기관 홈페이지 등에서 인증서를 다운받아 저장 매체에 저장할 수 있지만, 유효기간이 있어 1년마다 갱신해야 했다.

공인인증서 폐지가 처음으로 공론화 된 것은 2014년이다. SBS를 통해 방영된 드라마 '별에서 온 그대'가 중국에서도 방영되면서, 해당 드라마에서 여자 주인공 천송이가 입고 나온 일명 '천송이 코트'가 중국 내에서 신드롬을 일으켰다. 드라마를 본 중국인들은 한국 쇼핑몰 사이트에서 천송이 코트를 구매하려고 했으나, 공인인증서를 요구하는 구매 절차에 막혀 구매를 할 수 없었다.

이에 박근혜 전 대통령은 2014년 3월 '규제개혁 끝장토론'에서 불필요한 규제 때문에 중국에서 천송이 코트를 구입하지 못한다며 대책 마련을 주문하게 된다.

당국은 우선 전자금융감독규정 시행세칙을 개정해 공인인증서 의무사용 규정을 폐지했다. 온라인에서 30만원이 넘는 상품을 구입할 경우 공인인증서만 쓰도록 했던 규정을 폐지하고, 공인인증서나 다른 대체 인증수단 가운데 어느 하나를 쓸 수 있도록 한 것이다.

그러나 그 이후로도 공인인증서의 독점적 사용 비중이 줄지 않자, 정부는 2018년 공인인증기관이 발급하는 공인인증서를 폐지하는 내용의 전자서명법 전부개정안을 발의하기에 이른다.

 

■전자서명법 개정안, 국회 통과

지난달 25일 공인인증서 폐지를 주요 골자로 하는 전자서명법 개정안이 3년간의 계류 끝에 국회를 통과했다. 개정안의 주요내용은 △공인인증서의 우월한 법적 효력 폐지를 통한 다양한 전자서명수단의 경쟁 활성화 △전자서명 인증업무 평가.인정제도 도입 △전자서명 이용자에 대한 보호조치 강화 등이다.

개정안은 특정한 전자서명수단을 의무적으로 사용하도록 제한하고자 할 때에는 법률·대통령령·국회규칙 등 상위법령에 명시하도록 했다.

한편, 공인인증제도가 폐지돼도 기존의 공인인증서는 다양한 전자서명 수단 중의 하나로 계속 사용될 수 있다.

기발급 공인인증서는 유효기간까지 이용할 수 있으며, 그 이후에는 이용기관 및 이용자 선택에 따라 일반 전자서명 중 하나로 사용할 수 있게 된다.

금융결제원은 11월말 관련법 시행에 발맞춰 인증서 발급전차를 간소화하겠다는 계획을 밝혔다. 인증 비밀번호를 숫자 6자리로 바꾸고 패턴이나 지문·안면·홍채와 같은 생체인식기술에 기반한 비밀번호를 이용할 수 있도록 하겠다는 것이다. 유효기간도 1년에서 3년으로 늘리고 자동 갱신되도록 했다. 이용자 입장에서 인증서 사용이 훨씬 수월해질 전망이다.

 

■카카오페이 vs. 패스 차기 대세 각축전?

개정안의 통과로 민간인증서 시장이 활기를 띄고 있다. 2018년 정보보호산업 실태조사에 따르면 전자인증서 시장 전체 매출액은 660억원 규모다.

민간인증서 중 공인인증서를 이을 대세로 가장 주목받는 서비스는 2017년 8월 출시된 '카카오페이 인증'이다.

카카오페이 인증은 공인인증서와 동일한 공개키 기반구조(PKI)의 전자서명 기술 및 블록체인 기술이 적용됐다. PKI방식은 위조 및 변경이 불가한 전자서명 방식으로, 이용자에게 안전한 검증 절차로써 활용된다. 카카오페이 인증의 가장 큰 장점은 카카오톡 안에서 안전하고 간편하게 본인을 인증할 수 있다는 점이다.

사용자는 카카오페이 인증을 통해 △중요 전자문서 확인·서명 △제휴 기관·기업 서비스로 간편 로그인 △개인정보 이용기관 웹사이트에서의 본인 확인 △증권 거래 시 빠른 서명 등 다양한 서비스를 이용할 수 있다.

또한 안티미러링 생체인증(FIDO) 기술 사용으로 해킹 및 보안 위험에도 강하다. 지난달 기준 카카오페이 인증 이용자수는 1000만명이며, 공공기관과 금융기관에서 쓰이고 있다. 인증에는 8∼15자리 비밀번호 또는 생체인증이 사용되며, 유효기간은 2년이다.

이통3사의 '패스(PASS)' 역시 눈길을 끄는 서비스다. 이통3사는 2012년부터 문자메시지를 활용해 본인인증을 하던 방식을 앱 기반으로 개선, 핀테크 기업 '아톤'과 협력해 2018년 공동의 인증서비스를 만들었다.

이들에 따르면 패스의 가입자는 지난 2월 2800만명을 돌파했으며, 6월 중 3000만명을 돌파할 것으로 예상된다. '패스 인증서' 발급 건수 역시 연초 1000만 건 수준에서 연말 2000만 건 수준으로 늘어날 것으로 예견된다.

패스의 본인인증은 고객이 소유한 휴대전화의 명의인증과 기기인증이 이중으로 이뤄지는 구조라 안전하다. 이런 방식은 패스 인증서에도 그대로 적용됐다.

이통3사는 지난 3월부터 패스 제휴 서비스 이용시 생체인증(지문·얼굴인식) 또는 여섯 자리의 핀(PIN)번호 인증 중 한 가지를 골라 간편하게 로그인 할 수 있도록 한 '패스 간편 로그인' 서비스를 선보이는 등, 패스를 고객의 모바일 생활 전반을 아우르는 통합 모바일 인증 플랫폼으로 키워가겠다는 복안이다. 인증서의 유효기간은 3년이다.

 

■네이버·토스·KB국민은행도 시장 '진입'

은행연합회도 2018년 8월 은행권 공동 인증서비스인 '뱅크사인'을 출시했다. 앱을 인증받아 개인정보 처리 동의, 본인확인 및 인증수단 설정을 거쳐 은행 공동 인증서를 받을 수 있다. 한 번만 등록하고 이용 은행만 추가하면 된다. 블록체인의 특성인 분산합의와 은행 간 실시간 인증정보 동기화를 통해 인증서 위변조를 방지한다. 유효기간은 3년이고, 이용자수는 30만명이다.

조금 늦은 감이 있지만 네이버도 전자인증 시장에 승부수를 띄웠다.

네이버는 보안이 중요한 전자고지 서비스의 특성을 고려해, PKI방식의 전자서명이 적용된 '네이버 인증서'를 통해 고지서의 수령자인 네이버 이용자의 신원을 확인한다. 네이버 이용자라면 인증서를 한 개씩 비대면으로 발급받을 수 있다.

네이버는 네이버 인증서가 적용된 고지서 서비스를 바탕으로 서울시 등 지방자치단체와 국민연금공단 등 공공기관뿐만 아니라 올해에는 다수 보험사와 제휴를 진행해 이용자에게 생활 속 편리함을 제공할 예정이다.

아울러, 네이버 인증서 서비스만을 활용한 제휴 또한 확장한다. 네이버 외 다양한 웹사이트에서 네이버아이디로 로그인할 시, 한층 보안이 강화된 2중 보안 장치로써 인증 서비스를 활용할 수 있도록 할 예정이다.

현재, '네이버 아이디로 로그인'서비스는 적용처가 약 2만5000곳에 달해, 인증서가 적용되면 이용자는 온라인 생활 전반에서 한층 향상된 보안성을 경험하게 될 것으로 기대된다.

모바일 금융서비스인 '토스' 운영기업인 비바퍼블리카 역시 한국전자인증과 인증서 총판계약을 맺고 인증서 사업을 본격화한다고 지난달 26일 밝혔다.

토스 인증서는 금융 상품에 가입할 때 아이디·비밀번호 대신 앱에서 생체인증이나 핀 번호로 본인 인증을 할 수 있다. 업계 중 유일하게 한국전자인증을 신뢰할 수 있는 외부 인증기관(CA)으로 두고 공인인증서와 동일한 가상 식별방식을 썼다.

비바퍼블리카는 공인인증서와 동일한 스펙의 인증서 기술을 통해 관련 시장에 진출하는 방안을 적극 검토 중이다.

토스는 2018년 11월 수협은행을 시작으로 삼성화재·더케이손보·KB생명 등 금융사 5곳과 인증서 도입 계약을 맺었다. 누적 발급 인증서는 1100만건을 넘었으며 이달 중 2~3곳과 더 계약할 예정이다.

KB국민은행도 지난해 자체기술로 개발한 인증서 시스템을 내놨다.

KB국민은행은 'KB모바일인증서'가 출시 10개월 만에 가입자 360만명을 돌파했다고 지난달 26일 밝혔다.

KB모바일인증서를 이용하면 첫 거래 고객도 영업점 방문 없이 모바일로 거래가 가능하다. 발급 소요시간은 약 1분 정도다. 복잡한 암호 대신에 패턴, 지문, 페이스ID 등 고객이 가장 편리한 방법으로 선택해 간편하게 로그인할 수 있다. 유효 기간도 없다.

그러나 고객 금융자산을 보호하기 위해 일정금액 이상의 업무를 처리할 경우 ARS 인증 등 추가 본인인증절차를 거쳐야 한다.

KB모바일인증서는 국내 은행 중 유일하게 소프트웨어뿐 아니라 하드웨어에까지 보안기술을 적용했다. 신뢰된 실행 환경(TEE)라는 독립된 보안영역에 인증서를 저장해 안정성과 신뢰성을 높였다. 인증서 유효성과 비밀번호를 검증하는 알고리즘은 KB국민은행 자체기술로 개발해 안정성과 보안성을 강화했다는 설명이다.

 

■변화는 점진적으로 일어날 것

하지만 2015년경 이미 공인인증서의 의무사용이 정부에 의해 폐지됐다는 것에 주목할 필요가 있다. 대다수의 이용자들은 20년간 공인인증서를 발급받아 사용해왔고, 공인인증서 시스템에 익숙해져 있다. 정부기관이나 기업 등은 공인인증서 시스템을 배제하고 새로운 시스템을 적용하려면 비용과 어느 정도의 위험을 감수해야 한다.

결국 '공인'되지 않는 공인인증서 시스템은 한동안 계속 시장에서 주사용 서비스로 자리를 지킬 듯하다. 대세의 변화가 있더라도 매우 점진적으로 일어날 가능성이 큰 것이다.

한편, 법인 공인인증서를 통한 인증을 통해 참여가 가능했던 전자입찰 시스템에도 변화의 바람이 불 전망이다. 이에 대해 조달청 관계자는 "법 개정안은 통과됐지만 과기정통부에서 세부 운영기준 등이 나오지 않은 상태라 (다른 인증방식에 대해) 검토 중에 있다"고 밝혔다.