[이슈분석]공인인증서 어떻게 개선해야 하는가?

Photo Image

한국인터넷진흥원에 따르면 지난해 말 기준으로 국내에 발급된 공인인증서는 3000만건에 달한다. 인터넷뱅킹, 온라인증권거래, 전자상거래 등 각종 전자거래부터 보험, 전자세금, 전자어음, 조달입찰 등 각종 중요 사이버 생활에 이용된다.

사이버 인감인 공인인증서가 너무 많은 분야에 무분별하게 사용됐다. 하지만 10여년이 넘게 쓰인 공인인증서를 완전히 없애면 더 큰 사회적 혼란을 초래한다. 서비스를 하는 기관이나 기업 대부분이 공인인증서에 의존해 보안 수준이 하향평준화했다.

최근 기존 인프라를 활용하며 보안성을 강화하는 기술이 속속 나왔다. 장기적으로 공인인증서 강제 사용을 폐지하면서 기업 스스로 서비스 보안 수준을 높이는데 투자가 이뤄져야 한다.

무분별한 액티브X 설치로 생기는 문제는 웹 표준 기술을 적용해 해결한다. 최근 소프트웨어(SW) 업계에서는 액티브X 없이 파이어폭스, 크롬, 사파리 등 다양한 웹 브라우저에서 공인인증서에 접근하는 기술 개발이 한창이다. HTML5와 자바스크립트로 공인인증서에 접근해 액티브X로 발생하는 보안 위협을 최소화한다. 현재 시큐에프엔, 소프트포럼, 한국전자인증 등에서 솔루션을 선보였다.

액티브X가 없어져도 공인인증서 자체가 사라지는 것은 아니다. 공인인증서가 비대칭암호화 기술로 정보를 보호하지만 데이터가 파일형태로 남아 무제한 복제가 가능하다. 결국 비대칭암호화 방식 이외의 기술이 대두했다.

최근 미래창조과학부에서 전자서명법 시행령 일부개정안을 내놓은 것도 비대칭암호화 이외의 대안 기술이 있다면 수용할 수 있다는 의미로 해석된다.

업계는 생체 인식을 통한 본인 확인 방식을 공인인증서 대안으로 제시한다. 지문, 홍채, 정맥 등 다양한 생체 인식 방식이 있지만 가장 대표적으로 언급되는 것은 지문 인식이다. 최근 노트북 PC와 스마트폰, 태블릿 PC 등 모바일 기기에 지문인식 센서를 장착하는 제조사가 늘면서 생체인식 인증 방식을 기계적으로 뒷받침한다는 평가다. 펜을 이용해 이름을 직접 기입하는 전자서명 방식도 대안 중 하나다. 사용자의 필압과 펜의 기울기 등으로 본인 확인이 가능하지만, 본인 일치 여부를 100% 검증할 수 없다는 단점이 있다.

공인인증서 비밀번호를 더 복잡하게 하는 기술도 나왔다. 로웸은 사용자는 4자리 비밀번호를 입력하지만 실제는 16자리로 만드는 기술을 개발했다. 공인인증서가 유출돼도 비밀번호를 알아내기 어렵게 하는 기술이다.

<단위:%, 중복 / 자료:한국정보인증>

단위:%, 중복 / 자료:한국정보인증

김인순기자 insoon@etnews.com, 권동준기자 djkwon@etnews.com


브랜드 뉴스룸