오픈뱅킹 시대 개막으로 지난해 촉발한 핀테크 전쟁 불길이 올 상반기 전자서명법 전부 개정안 통과로 12월 10일부터 공인인증서가 법적 효력을 상실하면서 사설인증서 시장은 춘추 전국시대를 맞이할 전망이다.
국내에서 금융 거래를 하거나 본인임을 증명할 때 21년 동안 가장 많이 사용한 수단은 막강한 시장 지배력을 지닌 공인인증서였다. 지금까지 공인인증서를 다운받아 사용하고 있는 사람은 약 5000만 명에 육박한다.
최근 20대 국회가 공인인증서의 든든한 울타리 역할을 해온 전자서명법을 폐지하고 공인인증서와 동등한 법적 자격을 사설인증에도 부여하면서 민간 사설인증 플랫폼 경쟁이 시작됐다. 바이오인증·블록체인 기반 분산신원인증(DID) 등 새로운 기술 분야는 물론 기존 간편 결제와 신규 핀테크까지 기술 분야와 사업영역을 뛰어넘는 양상이다.
전자신문은 지난 26일 서울 잠실 한국광고회관에서 '전자서명법 개정에 따른 사설인증 시장 전망과 신산업 대응 전략세미나 2020'를 개최했다. 이날 아톤·아이콘루푸·마이아이디·라온시큐어 등 세션 발표자들은 사설인증 시장 전망의 기술과 이를 통한 전략을 참가자들과 공유해 큰 호응을 받았다.
함성진 아톤 실장은 “공인인증서의 법적 우월성이 연말 폐지되면 금융·공공·쇼핑·교육·의료 등 우리생활 곳곳에 자리하고 있는 온라인 서비스 이용 패턴에 적지 않은 변화가 올 것”이라고 말했다.
함 실장은 사설인증 서비스를 자체 구축해 기업의 온라인 또는 모바일 서비스를 업그레이드 하는 방식과 기업들이 플랫폼 기반의 서비스 인증 외부 사업자를 통해 사설인증을 도입하는 방식으로 나눠 설명했다.
그는 모바일 서비스 업그레이드 방식은 2016년 KB국민은행이 아톤의 보안매체 솔루션을 도입해 보안성을 높이는 동시에 사용자에게 간편한 인증을 제공한 사례를 들었다. 또 플랫폼 기반으로는 이동통신 3사 PASS 플랫폼을 예를 들었다. 그는 플랫폼 사업자와의 제휴를 통해 앱투앱(app-to-app) 방식으로 간편하게 전자서명을 처리해 대규모 유저를 확보한 사례를 소개했다.
함 실장은 “간편하면서도 안전한 인증서비스가 가능할 수 있었던 것은 '시큐어 엘리먼트'라고 하는 스마트폰 내 특수 보안 환경을 구축해 주요 정보를 관리할 수 있는 기술이 등장했기때문이다”라고 말했다.
이는 아톤이 독자 화이트박스 암호화 기술을 활용해 안전한 영역에 중요 키와 알고리즘을 보호하고 소프트웨어 방식으로 구현해 기존 하드웨어 방식의 불편함도 해소할수 있다는 자신감에서 비롯된다.
이어 김종협 아이콘루프 대표는 “현재 아이덴티티에 대한 인증은 새로운 전환점을 맞이하고 있고 이러한 맥락에서 DID를 데이터주권과 프라이버시 관점에서 벌어지는 충돌을 소개한다”고 밝혔다.
그는 플랫폼의 독과점 문제 대표 사안으로 사회적 문제까지 떠오른 배달의 민족 수수료 이슈, 미국 대선, 영국 브렉시트 투표 애널리티카스캔들 등을 일례로 들었다. 김 대표는 구글, 페이스북 등 글로벌 SNS 의존도가 높아지면서 상대적으로 개인정보 유출·데이터 독과점 이슈를 낳았다고 진단했다.
이에 반해 사용자 본인 ID 및 데이터를 소유하고 관리하는 DID 방식(자기주권형)은 블록체인 기술을 활용해 데이터 위변조를 방지할 수 있고 사용자가 자신의 데이터를 안전하고 확장적으로 활용 가능하다고 강조했다.
김 대표는 “마이아이디(MyID)는 블록체인 엔진 '루프체인(loopchain)' 기반의 DID 기술 플랫폼으로, 아이콘루프는 QR 전자명부 서비스인 '비짓미(VisitMe)', 증명서 발급 서비스인 '브루프(broof)' 등 B2C 서비스는 물론 B2B 형태의 개별 기관별 맞춤형 DID 서비스를 제공하고 있다”고 설명했다.
그는 “마이아이디가 지난해 6월 금융위원회의 혁신금융서비스로 지정된 이후 시중 은행과 증권사 외에도 이커머스, O2O 서비스 등 다양한 분야 대기업들이 참여해 현재 총 68개사가 파트너로 마이아이디 얼라이언스와 함께하고 있다”면서 개인에게 아이덴티티 주권을 돌려주는 것이 진정한 탈중앙화의 시작이란점을 강조했다.
다음으로 연단에 나선 알렉스 다비드 라온시큐어 글로벌 사업팀 차장은 “국내에서도 DID 서비스가 속속 등장하면서 공인인증서를 대체하는 차세대 인증 기술로 자리를 잡아가는 모양새다. 그러나 다양한 DID 서비스와 플랫폼이 등장하면서 '범용성'의 제약이라는 문제가 대두되고 있다. 단순히 리졸버(Resolver)를 통한 플랫폼간의 연동만으로는 근본적인 문제를 해결할 수 없다”고 강조했다.
그는 “각기 다른 플랫폼 기반의 서비스 제공자들이 DID 발급자를 신뢰하기 위해선 DID 네트워크별 거버넌스와 서비스 모델에 대한 신뢰 기반의 상호호환 체계 마련이 선결돼야 한다”고 강조했다.
알렉스 다비드 차장은 “디지털 주소는 최초 DID를 발급받은 플랫폼 출처를 증명하는 구분자를 포함한 짧은 문자열로 구성한 고유 값으로, 플랫폼간 상호 신뢰하는 원천이 되고 사용자가 다른 플랫폼의 서비스를 이용할 때 이 디지털 주소를 통해 신뢰 기반의 자격증명이 가능할 뿐 아니라 30바이트 길이의 문자로 구성된 블록체인 ID(DID)와 달리 짧고 간단해 사용자들이 기억하기 쉽다”고 밝혔다.
마지막으로 연단에서 발표한 신민규 시큐센 부소장은 “바이오 전자서명은 국제 표준으로 제정된 내용이 없고 이에 해당하는 국제워킹그룹 또한 없다”면서 “바이오 전자서명의 경우 국내법과 관련 특허를 기반으로 바이오 정보와 전자문서를 논리적으로 결합한 전자적 형태를 가질 수 있도록 개발했다”고 밝혔다. 전자서명법 개정은 바이오 전자서명 기술에 대한 개발을 촉진시키며 이를 통해 세계적인 표준으로 확장해 나갈 수 있는 발판을 마련한 제도적 변화란 것이다.
신민규 부소장은 “바이오 전자서명에 활용하기 위한 인식 기술 핵심은 인증 가능 여부이고 지문, 안면, 홍채, 지장맥 등 여러 바이오 인식 기술이 바이오 전자서명과 연동이 가능하다”고 설명했다.
그는 “다만 음성의 경우 바이오 인증이 현실적으로 힘든 관계로 바이오 전자서명의 보조 수단으로 활용하고 있다”고 설명했다.
신 부소장은 “바이오 정보는 PKI 인증서와 같이 재발급·갱신이 불가능한 정보인 탓에 외부로 정부 유출이 되지 않도록 강력한 보안 수단을 제공해야 한다”면서 “시큐센은 금융결제원과 바이오 전자서명 업무 기술지원 및 이용기관 연계 제휴협약을 체결, 바이오 전자서명에 필요한 바이오 정보를 분산 관리할 수 있는 체계를 갖추고 있다”고 강조했다. .
안수민기자 smahn@etnews.com