굿 바이 공인 인증서

한국의 공인 인증서가 드디어 폐지되었다.

정확히 이야기하자면 이제는 공인 인증서에서 공인이 지워지고 앞으로 사설 인증 방법도 동일한 효력이 생긴다. 말도 많고 탈도 많았던 공인 인증서, 내가 살고 있는 영국에는 존재하지 않는다. 공인 인증서에 길들여진 나에게 영국의 금융 인증 서비스는 센세이션 했다.

영국의 금융 기관들은 어떻게 내가 누군지를 알까?  

영국은 인증 방법이 회사마다 자율이다.

기존 전통 은행(Barclays, Lloyds, HSBC 등)은 은행 지점이 있기 때문에 온라인 또는 지점 내에서 계좌를 열 수 있다. 필요한 서류는 신분증, 집 주소와 이름이 적힌 편지이며, 온라인에서 계좌를 개설하더라도 반드시 지점에 가서 확인을 받아야 한다.

계좌를 개설 후 송금 등 은행 업무 시 은행마다 인증방식이 다르다.

- 로이드(Lloyd bank): 로그인 시 Memorable password를 추가로 물어보고 만약 핸드폰 페이스 ID를 등록해놓으면 그다음부터는 묻지 않는다. 보내는 사람을 추가할 경우에는 SMS 인증방식을 해야 한다.

- 바클레이(Barclays): 송금 시 조금 불편한데, PINsentry라는 조그만 기계(OTP 생성기)에 카드를 넣고 나오는 번호를 입력해야 한다.

왼쪽은 로이드뱅크 화면, 오른쪽은 바클레이 PINsentry

이들 앱들은 처음 앱을 설치해서 세팅할 때 조금 입력할 것이 있긴 하지만 이후에는 모바일에 내재된 앱 보안 방식(Face ID, Touch ID)을 이용한 빠르고 간편한 모바일 뱅킹 업무가 가능하다. 그리고 모두 45파운드 이내에는 구글 페이, 애플 페이 등이 가능하다.

 

모바일 뱅크(Monzo, Revolut, etc)는 계좌 개설할 때 좀 더 인증방식이 간편하다. 이들은 지점이 없기 때문에 모바일로만 개인을 인증해야 하는 한계가 있다. 2단계 인증(Two-factor Authentication)을 대표적으로 사용하며 주로 SMS, 이메일로 인증을 한다. 그리고 대부분이 온피도(Onfido)라는 스타트업의 디지털 신원확인 B2B 솔루션을 사용한다.

이 솔루션은 AI, 머신러닝 등 첨단 기술을 사용하여 안면인식 생체인증, 신분증 인증을 하여 가짜 신분증을 구분한다. 우선 카메라 앱으로 본인 신분증을 찍은 후 추가로 본인 셀피를 요구한다. 사용자에게 텍스트를 제시해주고 따라 읽게 하는 방식도 있다. 다른 방식으로는 사용자의 앞, 측면 모습을 찍도록 한다. 이 정보를 머신러닝, AI로 분석하여 길면 5-10분 이내에 인증을 완료한다. 빠르면 계좌 개설하는데 5분도 소요되지 않는다.

 

신원 인증 솔루션 by Onfido

그리고 송금과 같은 은행 업무를 할 경우는 로그인 시 생체 인식(페이스, 터치 ID) 또는 PIN 넘버만 입력하면 된다. 그리고 위치기반 보안(Location-based security)을 사용하여 만약 모바일 폰의 위치와 카드 결제의 위치가 다를 시 결제가 안되도록 막아준다.

기존 은행에 비해서 간편한 모바일 뱅킹의 인증 방식은 특히 젊은 사용자들의 환영을 받는다. 특히 빨리 계좌를 만들어야 하는 유학생, 여행객들에게는 정말 용이하다.

그렇다면 이러한 방식이 한국의 공인인증서를 대신할 수 있을까?

보안 vs 사용 용이성

인증방식 채택을 위해서는 보안 능력과 더불어 얼마나 사용하기에 편리한지를 고려해야 한다. 아이러니하게도 보안과 사용 용이성의 관계는 트레이드오프(Trade-off) 관계이다.

보안이 높으면 어쩔 수 없이 사용이 불편하고 사용을 편리하게 하려다 보면 보안을 놓치기 마련이다.

 

보안과 사용 용이성 관계 그래프 - 마이크로소프트

생체 인식의 경우 편리하긴 하지만 보안상 구멍이 많다. 작년(2019년) 삼성 지문 인식에 오류가 생겨 보안이 뚫리는 사건이 있었으며, 페이스 아이디도 어린 아이나 쌍둥이를 인식하지 못한다는 지적이 있다. 블록체인 방식도 떠오르고 있지만 어느 인증방법도 해킹에 안전하지 않다.

따라서 위치 기반 보안, 부정거래를 감지하는 시스템(FPS) 등 인증 외에도 이를 뒷받쳐줄 보안 서비스가 필요하다. 즉, 보안성, 편리성 두 마리 토끼를 잡기 위해서는 편리한 인증방식뿐만 아니라 보이지 않는 보안 서비스에 대한 고민도 필요하다.

 

드디어 최고의 인증기술이 등장하였다

드디어 한국에서 최고의 보안 능력을 갖춘 인증 기술이 나왔다고 가정해 보자. 이제 금융 사고는 발생하지 않을까? 아무리 뛰어난 보안성을 가지고 있다한들 해킹을 당할 수 있다. 한국의 공인 인증서도 공인이라고 붙어있음에도 2017년까지 총 8만 건의 정보 유출 사고가 있었다. 영국도 2018년 6개월 동안만 500만 파운드(약 7천억 원)에 달하는 금융 관련 보안 사고가 있었다.

그렇다면 이 보안 사고에 대한 책임이 누구에게 있을까? 흥미롭게도 두 나라는 다른 시각으로 바라본다. 한국은 공인인증서 유출로 인한 금융 사고는 사용자들이 대체로 책임을 진다. 금융기관은 뒷짐만 하지만 영국 금융기관들은 사용자의 귀책사유 없이 금융사고로 인해 발생된 손실에 대해서 전액 보상해주는 규정이 있다.

역사 속으로 사라진 공인 인증서.

지금까지 보안이라는 핑계로 사용자에게 번거로운 불편함을 주고 만약 사용자가 관리하지 못하면 사용자의 책임이라 전가해왔다. 앞으로 나올 새로운 인증 기술은 사용하는 사람을 생각해줬으면 좋겠다. 그리고 보안성, 용이성과 더불어 제도적인 보호도 필요하지 않을까 싶다.

멀리 안 나간다. 잘 가라 공인 인증서