brunch

You can make anything
by writing

C.S.Lewis

by 김종민 Dec 07. 2020

공인인증서 폐지 이유, 이후의 변화는?

공인인증서 관련 이슈 요약 정리


오는 10일 공인인증서가 21년만에 역사속으로 사라집니다.


공인인증서는 인터넷에서 금전거래를 할 때 필요한 전자서명으로 거래를 위해 신분을 증명하는 필수 수단으로 사용됐습니다. 정부에서 개인 정보를 보증해 주고, 발급 대행사가 이를 발급해주는 방식이었는데요. 공인인증서를 이용해 지금까지 신분을 보증받고, 거래를 해왔습니다. 갑자기 공인인증서가 폐지되는 이유와 이로 인해 발생하는 변화는 무엇일까요?



공인인증서 폐지 이유... 크게 3가지


공인인증서가 폐지되는 이유는 크게 세 가지로 구분됩니다.


첫째는 보안상의 취약점입니다. 공인인증서를 발급받은 사용자는 공인인증서를 컴퓨터, USB, 스마트 기기 등에 저장합니다. 그런데 저장된 폴더를 복사하기만 하면, 공인인증서도 복사됩니다. 이렇게 복사된 폴더 내의 파일을 분석함으로서, 암호가 노출될 우려가 있습니다. 소위 노가다 알고리즘인 '브루트 포스(가능한 모든 수를 대입하는 알고리즘)'으로도 암호를 알아낼 수 있다고 합니다.


공인인증서를 발급하는 기관에서는 일정 횟수 이상 암호가 틀리면 공인인증서 사용을 못하게 하나, 이 방법 역시도 허술합니다. 이 보안은 공인인증서 자체에 내장된 기술이 아니라, 발급기관의 프로그램에서 구현된 것이라 통신을 끄고 암호 풀이를 시도하는 방법 등으로 우회가 가능합니다.


둘째는 공인인증서의 호환성 문제입니다. 초기 공인인증서는 액티브X를 기반으로 했습니다. 액티브X는 마이크로소프트의 IE(인터넷 익스플로러) 기반 기술로 인터넷에서 프로그램을 실행하게 합니다. 그런데 익스플로러는 '웹 표준'에서 많이 벗어나 있습니다. 즉, 인터넷 공간에서 지키기로 약속한 표준을 잘 지키지 않아 기능상의 호환성이 떨어집니다. 요즘에는 구글의 크롬이 익스플로러를 제치고 브라우저를 평정하고 있는 이유 중 하나이기도 합니다.


문제는 익스플로러


공인인증서 역시도 액티브X 기반이라 호환성 문제가 있었고, 액티브X가 폐지된 이후에도 브라우저, 운영체제별로 호환성이 꾸준히 문제로 제기됐습니다. 마이크로소프트 운영체제 윈도우즈에는 어느정도 해결됐다는 평이 있으나, 애플의 맥과 리눅스 등의 운영체제에서는 문제가 여전히 산적해있었습니다.


세번째는 불편함입니다. 공인인증서의 유효기간은 1년으로 계속 갱신해줘야하며, 갱신할 때마다 은행별 인터넷 뱅킹에 접속해서 등록해줘야하는 불편함이 있었습니다. 특정 기기에 저장되는 방식 때문에, 여러 기기에 따로따로 저장해야만하는 번거로움도 있었습니다.


한편, 외국인들이 국내 상품을 구매하기 위해서 절차가 지나치게 복잡하다는 지적도 있었습니다. 일명 '천송이 코트 사건'으로 불리는 사건인데요. 드라마 '별에서 온 그대'에서 배우 전지현(천송이 역)이 입었던 코트가 화제가 되었는데, 이를 해외에서 구매하고자 한 외국인들이 공인인증서 등의 까다로운 절차로 인해 구매를 포기하게 된 것입니다.


이외에도 공인인증서가 '법적으로 우월한' 지위에 있어, 다양한 신기술의 민간 전자 인증 시장 발전을 막는다는 의견이 있었습니다.


공인인증서가 폐지되면 생기는 변화는?


10일부터는 공인인증서가 폐지되고, 공동인증서로 이름이 바뀌게 되는데요. 단순히 이름만 바뀌는 것이 아니라 '공인'이라는 지위를 내려놓게 됩니다. 공인인증서는 정부에서 보증하는 특별한 보안서류로서 우월한 법적 지위를 누리고 있었습니다. 그런데 이제부터는 '공인'인증서가 아니라, 민간 인증서와 동등한 위치에 있는 '공동'인증서가 되는 것입니다. 단순히 공인인증서의 지위가 떨어진 것 외에도, 민간 인증서에 효력을 부여함으로써 균형이 맞춰지게 됩니다.


이제부터 공동인증서는 민간인증서와 함께 인터넷 증명서 시장에서 경쟁하게 되는데요. 증명서 시장의 국내 규모는 700억원 정도로 파악됩니다. 공인인증서가 폐지된다는 법안이 발의된 이후, 통신사와 IT업계에서는 민간 인증서를 개발해 이 시장을 점유하기 위해 뛰어들고 있습니다.


인증서 시장에서는 통신사, IT, 핀테크 기업 등이 각축전을 펼칠 전망입니다. 


가장 대표적인 민간 인증서는 통신사 연합 인증서 '패스(PASS)'입니다. 통신 3사가 핀테크 기업 아톤과 함께 출시한 스마트폰 앱 기반 인증서비스인데요. 통신 3사의 가입자수를 기반으로 현재 이용자수는 3000만 명에 이릅니다.



인증은 통신사에 가입된 개인정보를 기반으로 합니다. 인증을 요구할 때 휴대폰 번호를입력하면, 그 휴대폰 번호에 맞는 기기에서 인증하면 됩니다.


다음으로 대중화 된 인증서는 핀테크 인증서입니다. 카카오페이 인증서는 이달 기준 2000여만명 가입자를 확보했습니다. 범국민 메신저 카카오톡을 기반으로, 개인정보수집 동의, 신용정보조회 동의, 보험 청약, 대출 계약 등에 전자 서명을 이용할 수 있습니다. 핀테크 기업인 토스 역시 유사한 토스 인증서를 출시해 2300만 가입자를 확보했습니다.



네이버 역시 올해 1월 네이버인증서를 출시했는데요. 카카오페이, 토스가 모바일 기반이라면 네이버에서는 PC와 모바일에서 연동할 수 있다는 점을 장점으로 부각하고 있습니다.


정부-공공기관 제휴가 승부처

이들 민간인증서는 제휴 공공기관 확보에 열을 올리고 있는 상황인데요. 공적영역에서 사용할 수 있는 증명서가 상대적으로 우월한 지위를 확보하기 때문입니다.


패스는 이미 주민등록등본, 가족관계증명서 등 민원 서류를 발급하는데 사용 가능한 인증서입니다. 지난 6월에는 모바일운전면허증을 출시해 인증 수단으로 발을 넓히고 있습니다.


카카오페이 역시 과학기술정보통신부의 인가를 받아 '공인전자문서 중계자' 지위가 됐습니다. 이외에도 9개 공공기관과 제휴해 공문서를 인증-수신-열람할 수 있는 서비스로 발을 넓히고 있습니다. 


토스는 수협은행, 삼성화재, KB생명 등 대형 금융사를 공략하고 있으며, 공공기관으로 발을 넓혀가는 것이 목표라고 밝혔습니다. 


새로운 보안 기술은?

인증서 시장이 주목을 받으면서 보안에 다양한 기술들이 적용되고 관심을 얻는 상황인데요.


중앙 집권적인 인증-보안 메커니즘에서 블록체인 등의 다수결 방식이 하나의 대안이자 플랫폼으로 떠오르고 있습니다. 실제로 다양한 정보를 '블록체인' 방식으로 관리하고 이에 참여하는 사람들에게 '코인'보상을 제공하는 플랫폼이 꾸준히 등장하고 있는데요. 이들 '코인'을 가상화폐 거래소에서는 거래 대상으로 삼고, 거래 자산인 '코인'을 보호하기 위해 또다시 보안 이슈가 대두되는 양의 피드백 상황이 반복되는 것으로 보입니다.



이외에도 통신사는 양자 보안 통신에도 관심을 기울이고 있습니다. 최근에는 최초로 양자보안 기술을 적용한 휴대폰이 출시되어 이목을 끌었는데요. 양자보안은 양자역학적 원리를 이용해서 보안하는 기술로, 아직 100% 완성되지는 않았으나 이론적으로는 완벽한 보안을 자랑합니다. 이에 대해서는 추후에 좀 더 깊이 다뤄보도록 하겠습니다.


매거진의 이전글 대기업도 당한 랜섬웨어, 클롭 랜섬웨어
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari