주메뉴 바로가기 본문 바로가기

오피니언 기고

공인인증서 이용자 환경 개선 필요

세명일보 기자 입력 2016.10.19 16:22 수정 2016.10.19 16:22

최근 인터넷 이용환경이 유선에서 무선으로, 단일 브라우저에서 멀티 브라우저로 다양하게 변하고 있다. 정보통신기술(ICT) 환경이 PC중심에서 스마트폰과 태블릿 등 다양한 모바일 기기 중심으로 급속하게 변화하고 있는 만큼 사용자의 편의성이 고려된 다양한 인증기술의 도입 및 전환이 필요한 시점이다. 지난 1월 한국은행이 발표한 ‘2015년 모바일금융서비스 이용행태 조사 결과’에 따르면 최근 6개월 내에 모바일뱅킹 서비스를 이용한 비율이 36.4%, 최근 1년 이내는 53.4%로 나타났다. 이용자의 절반 이상이 스마트기기를 통해 모바일뱅킹 서비스를 이용하고 있다는 얘기다. 이 조사 결과에 따르면 모바일금융 서비스를 사용하지 않는 사유는‘개인정보 유출 우려’가 72.5점으로 가장 높고, 그 다음으로는 ‘공인인증서 등 안전장치에 대한 불신’이 70.7점으로 나타났다. 그럼에도 불구하고 모바일폰에 대한 보안설정을 하지 않는다는 응답은 37.1%로 나타났다. 따라서 모바일기기 이용자의 보안 인식 개선이 필요한 것으로 지적된다. 금융산업의 다양한 발전을 위해 관련 규제가 해소되면서 ‘공인인증서 사용의무 폐지’, ‘비대면 실명확인 확대’ 등으로 ‘공인인증서’가 전자금융거래를 독점하는 시대는 끝났다. 공인인증서가 아니라도 안전하고 편리한 새로운 인증체계 도입이 가능해 지면서 다양한 대체수단이 있다면 그것을 사용할 수 있는 ‘자율적 보안체계’로 정부정책이 선회한 것이다. 그러다 보니 최근 여러 금융기관들이 기존의 공인인증서에 대한 유효성과 당면한 보안·안전성에 대한 문제점을 개선하기보다는 생체 기반의 새로운 인증체계 도입에 적극적이다. 하지만 여전히 공인인증서는 전자금융거래는 물론 공공기관 등의 인터넷서비스 이용에 대표적인 인증수단으로 사용되고 있다. 이는 공인인증서의 보안성과 범용성을 대체할 만한 기술이 없기 때문이다. 문제는 기존의 공인인증서에 보안과 안전성 이슈로 지적된 저장매체에 대한 개선의지가 미흡하다는 것이다. 과거의 잘못된 저장매체 선택과 이용자의 보안의식을 개선하는 노력 없이 새로운 것만을 추구함으로써 또 다른 시행착오를 겪을 지 모를 우려가 예상되기도 하다. 또한 이용자는 기존의 공인인증서의 보편성과 범용성을 고려하지 않는 새로운 인증체계에 대한 도입으로 인해 혼란스럽기만 하다. 우리나라의 전자금융거래에서 사용자의 편리성과 범용성을 고려하여 다양하게 사용되는 공인인증서에 대한 불신은 공인인증서 그 자체가 아니라 보안성과 액티브X 등 환경적인 불편 요소가 주요 원인이었다. 과거 금융기관은 보안에 대한 규제보다 이용자 컴퓨팅 환경을 손쉽게 지원하기 위해 액티브X 기반의 거래정보를 보호하는 방식을 채택했다. 그러나 컴퓨터 사용환경이 변화하며 빠르고 정확한 정보를 제공하는 검색엔진, 높은 편의성 기능과 보안성 등 사용자의 요구사항에 맞는 브라우저의 특성이 다양해지면서 액티브X가 필요 없는 인터넷 익스플로러 이외의 다른 브라우저나 운영체제를 지원해야 하는 환경으로 변한 것이다.한국인터넷진흥원은 이를 개선하기 위해 액티브X 가 없는 웹표준 기술을 공인인증서 사용 환경에 접목하는한편 소유기반·생체기반 및 행위기반의 차세대 전자인증 기술개발을 서두르고 있다. 이는 공인인증서의 기반 기술인 PKI방식의 높은 보안성을 그대로 유지하면서도 그동안 문제로 지적된 액티브X의 보안 취약점, 이용자의 PC 하드디스크드라이브(HDD), 이동식저장장치(USB) 및 휴대폰 메모리 저장으로 인한 인증서 유출, 비밀번호에 의존하는 불편함 등 관련 문제를 개선하기 위한 방안이다.흔히 해외의 간편한 인증체계로 보안 소켓 레이어(SSL)와 일회성 비밀번호 생성(OTP)의 결합형태 이용을 주장하지만 이것을 우회하여 무력화시키는 악성코드가 창궐하는 것이 현실이다. 따라서 성급하게 ‘공인인증서 의무사용 폐지’ 라는 정부의 정책변화에 수용하기보다는 과도하게 적용되었거나 불필요하게 이용되는 공인인증서 체계는 개선하면서 새로운 대체인증에 대한 대안을 연구하고 논의하는 것이 적절하다. 지금 우리가 바라보아야 할 공인인증서에 대한 자세는 ‘공인인증서의 가치를 인정하고 잘못된 관행을 개선하는 노력’이다. 현재의 공인인증서 사용 문제점을 파악하여 웹 표준화에 적합한 기술을 적용하도록 하고, 기존 공인인증서의 취약한 보안매체 환경을 보안토큰 및 스마트USIM인증 등 안전한 보안매체를 이용하도록 하며, 생체인증과의 연동을 통해 이용자의 편리성을 강화함으로써 이용자들이 금융거래 및 전자민원서비스 등을 자유롭고 편리하게 이용하도록 하는 것이다. 산업 발전을 저해하는 불편한 규제는 해소되어야 한다. 그러나 혁신적인 개선보다는 이용자 경험을 고려하고 보완하는 측면에서 점진적으로 개선하는 것이 우선이며 막연하게 기존의 기술을 적대시하는 것은 문제다. 온갖 오해 속에서도 제 역할을 꾸준히 해온 ‘공인인증서’에 대한 새로운 접근 방식이 필요한 시점이다.


저작권자 세명일보 무단전재 및 재배포 금지