공인인증서를 말할 때 항상 같이 따라다니는 단어가 있다. 액티브X와 PKI(Public Key Infrastructure)라는 기술이다.
우선 논란의 중심에 서 있는 액티브X가 무엇인지 알 필요가 있다.
액티브X는 쉽게 말해 웹브라우저(인터넷 익스플로러) 기능을 확장시키기 위해 사용자 PC에 추가 설치하는 특정 프로그램을 뜻한다. 웹사이트 접속만으로 설치가 가능해 손쉽게 사용자 PC를 제어할 수 있다. 액티브X를 적용하면 제한없이 웹브라우저 기능을 확장할 수 있다. 멀티미디어 콘텐츠, 금융거래(은행·주식), 사용자 신원 증명, 공문서 출력 등 다양한 분야에 적용되고 있다. 우리나라의 경우 대부분 사이트에서 이용된다.
하지만 액티브X로 인한 부작용이 발생하면서 공인인증서 퇴출이라는 결과를 낳게 된다. 호환성, 보안성, 속도 저하 문제다.
액티브X를 설치하면 크롬, 파이어폭스 등 다른 웹브라우저 호환이 되지 않는다. 또 스마트폰이나 태블릿 컴퓨터에서도 사용이 불가능하다. 사용자 PC에 직접 설치되는 액티브X 특성을 악용해 악성코드를 심거나 개인정보 유출 등 보안사고가 끊임없이 발생한다. 설치 과정에서 사용자가 원치 않는 기능까지 함께 설치돼 PC 처리속도가 현저히 저하되는 문제도 있다.
금융, 공공분야에서는 액티브X 제거 프로젝트가 진행 중이다. 또 이 프로그램을 대체할 수 있는 기술 개발도 활발히 논의되고 있다. 공인인증서 또한 액티브X 기술을 통해 설치할 수 있다. 보안성 등 여러 문제로 인해 이용자 불만이 속출했고, 현재는 대체기술로 꼽히는 HTML5 기술을 활용하는 곳이 늘고 있다.
이와 함께 PKI라는 단어도 자주 등장한다. PKI는 공개키 기반구조라고 불린다. 디지털 인증서의 생성, 관리, 배포, 사용, 파기 등에 필요한 일련의 절차를 뜻한다.
전자상거래나 인터넷뱅킹을 이용할 때 정보 안전성을 담보하기 위한 필수 요소라고 할 수 있다. 공개키 방식은 데이터 암호화, 복호화 열쇠가 달라 완벽한 데이터 보안이 가능하다. 정보 유출 가능성이 매우 낮다. 다만, 공개키 방식 상용화를 위해서는 키의 생성, 인증, 분배를 위한 안전한 관리체계가 필요하다. 현재 한국인터넷진흥원(KISA)이 운영을 맡고 있다.
또 PKI는 인증기관을 통해 서로 다른 키(공개키·개인키)를 동시에 생성한다. 이 키를 메시지암호, 전자서명에 이용한다. 메시지암호는 모든 사람이 접근할 수 있는 공개키를 이용해 데이터를 암호화하면, 오직 개인키를 통해서만 복호화가 가능하다.
전자서명은 디지털인증서를 개인키로 이용해 암호화해 보내면 공개키를 통한 복호화 성공 시 개인키 소유자임을 확인해주는 기능이다. (※도움말=금융결제원)
길재식기자 osolgil@etnews.com
