21년 만 확 바뀌는 ‘공인인증서’, 금융결제원 인증서는 클라우드(구름) 속으로
[IT동아 강화영 기자] 공인인증서는 1999년 전자서명법 제정과 함께 첫 등장했다. 인터넷 확산으로 전자 문서가 오가는 일이 늘면서부터다. 디지털 세상에서도 문서 위/변조나 개인 신분을 확인할 필요가 생겼다. 당시 정부는 민간기업 보안 기술이 충분히 발달하지 않았다는 이유로, 나라가 보증하는 공인인증서만 사용하도록 강제했다. 이는 우리나라 인터넷 초창기 국가정보화에 기여했다는 평가를 받기도 한다.
하지만 인터넷 기술이 빠르게 발전하며 이야기가 달라졌다. 공인인증서는 발급 과정이 번거로워 디지털 소외 계층이 사용하기 어렵고, 1년 유효기간이 있어 불편하다는 지적이 이어졌다. 뿐만 아니라 '공인'이라는 독점 지위를 가져 전자서명 시장 혁신을 막는다는 의견이 있었다. 2014년 8월, 마침내 금융위원회가 공인인증서 의무 사용 규정을 폐지했지만, 민간 인증서가 전통 강자를 따라잡기에는 역부족이었다. 금융기관이 보안을 이유로 공인인증서를 고집했기 때문이다.
오는 10일부터 전자서명법 개정 시행에 따라 '공인인증서' 개념이 사라진다. 그동안 금융결제원 포함 5개 기관만이 발급하던 공인인증서는 '공동' 인증서로 이름이 바뀌며, 전자서명 시장에서 민간 인증서와 차별 없이 경쟁한다.
사용자는 이제 관공서, 금융권 웹사이트를 비롯해 어디서나 이동 통신 3사(KT·LG유플러스·SK텔레콤)가 운영하는 본인 인증 애플리케이션 패스(PASS)와 카카오페이 인증, 네이버 인증, 토스 등 입맛에 맞는 인증서를 자유롭게 선택할 수 있다.
'구시대 유물' 공인인증서가 완전히 사라지는 것은 아니다. 사용자 혼란을 줄이기 위해 지금 사용 중인 공인인증서는 유효기간이 끝날 때까지 사용할 수 있다. 유효기간 만료 후 발급받는 공동인증서도 민간 인증서와 똑같이 사용한다.
공동인증서는 크게 세 가지 장점이 있다. 첫 번째는 무엇보다 편리함이다. 액티브엑스는 물론 실행 프로그램을 설치할 필요가 없다. 두 번째로 비밀번호 설정이 간단하다. 공인인증서는 영어 알파벳, 숫자, 특수문자 가운데 적어도 세 가지를 조합해 8~10자 이상 비밀번호를 만들어야 했다. 앞으로는 생체인증 기술인 지문이나 눈의 홍채를 이용하거나, 핀 번호 숫자 6개를 설정한다. 마지막으로 USB 이동형 메모리에 복사할 필요도 없다. 해당 스마트폰 앱만 켜서 바로 사용한다.
한편 대표 공인인증서 발급기관인 금융결제원이 사용자 지키기에 나섰다. 은행 22곳과 협력해 고객이 안전하고 편리하게 사용할 수 있는 '금융인증서'를 만들었다. 금융인증서비스는 금융인증서를 금융결제원의 클라우드에 발급, 보관해 언제 어디서나 PC, 모바일을 통해 사용하는 서비스다. 인터넷, 모바일뱅킹을 이용하는 은행 고객이라면 누구나 무료다. 유효기간은 3년이며 자동으로 기한 연장도 가능하다.
클라우드 연결 시 스마트폰 SMS인증(소지기반), 비밀번호 또는 생체정보 입력(지식 또는 특성기반)을 통해 두 요소를 확인하는 인증(2-Factor 인증)을 수행하고 고객이 연결한 기기에서만 이용할 수 있도록 기기인증 방식의 이중암호화를 통해 서비스를 제공한다. 또한 비밀번호 통합 관리를 통해 비밀번호 10회 오류 시 인증서를 잠금 처리하여 인증서 부정 사용을 막는다.
추가로, 고객이 인증 내역을 확인할 수 있으며, 금융인증서비스 적용 기관 관리(White List), 부정사용방지시스템(FDS), 고객 맞춤 보안설정(인증시간, 지역) 제공 등을 통해 안전한 인증서비스를 제공한다.
우리은행이 처음 이 서비스를 도입했다. 지난달 17일부터 우리원(WON)뱅킹에서 이용 가능하다. 금융결제원은 10일 은행권을 시작으로 정부24, 국민신문고, 청약홈, 홈택스 등 서비스 이용 기관을 계속 확대해나갈 예정이다.
글 / IT동아 강화영 (hwa0@itdonga.com)