[공인인증서 논란 분석③] 공인인증서, 안전하게 사용하자
상태바
[공인인증서 논란 분석③] 공인인증서, 안전하게 사용하자
  • 김선애 기자
  • 승인 2017.05.05 09:31
  • 댓글 0
이 기사를 공유합니다

“공인인증서, 기술 발달 과정 밟아”…FIDO+공인인증서로 보안 강화

공인인증서는 억울하다. 공인인증서가 보안에 취약하고 기술의 발전을 저해한다는 지적은 이제 접어야 한다. 규제에서는 공인인증서 의무사용이 대부분 완화됐으며, 공인인증서를 안전하게 사용할 수 있는 기술도 다양하게 선보이고 있기 때문이다. 그럼에도 불구하고 사용자는 공인인증서 때문에 온라인 서비스를 자유롭게 이용할 수 없다며 폐지를 주장한다. ‘공인인증서의 억울함’을 풀어주고, 사용자가 불편할 수 밖에 없게 된 이유를 짚어본다.<편집자>

공인인증서 클라우드 서비스로 안전성 높여

공인인증서를 편리하게 사용하기 위한 방법은 다양하게 제안된다. 한컴시큐어와 티모넷은 공인인증서를 클라우드에 저장해 안전하게 관리하는 서비스를 출시했다. 법인 사용자를 타깃응로 하고 있으며, 클라우드의 안전한 저장소에서 관리해 사용자는 플러그인 설치 없이, 단말, OS, 브라우저 제약 없이 공인인증서를 불러와 거래를 할 수 있다.

개인까지 사용할 수 있는 공인인증서의 안전한 사용 방식은 웹브라우저에 저장하거나 HSM, 트러스트존, 보안칩, USIM, IC카드 등 안전한 저장소에 저장해 사용하는 것이다. PC에 관리자 권한으로 실행파일을 설치해 공인인증서를 불러오는 것 보다 훨씬 더 안전하다.

노재민 한컴시큐어 상무는 “공인인증서는 기술발달의 과정을 밟고 있다. 90년대 후반 인터넷 환경을 생각하면 브라우저에서 뱅킹을 시도한다는 것은 혁신적인 생각이었다. 가장 많은 사람들이 편리하게 사용해 빠르게 확산시키기 위해 IE에 액티브X를 이용해 공인인증서를 사용하도록 했으며, 보안사고가 발생하자 이를 막기 위해 키보드 보안, 백신, 방화벽 등을 의무적으로 설치하게 한 것”이라고 설명했다.

그는 이어 “인터넷 환경이 변하면서 간편 공인인증 방식과 모바일에서 안전하게 사용할 수 있는 방법이 다양하게 제안되고 있다. 정책도 변화의 속도가 더디기는 하지만 바른 방향으로 개선되고 있다”고 덧붙였다.

공인인증서의 안전한 사용을 저해하는 곳은 공공기관이다. 정부에서 액티브X를 걷어내기 위한 지원사업을 다각도로 펼치고 있지만, 여전히 많은 공공기관이 낮은 버전의 IE에서 액티브X를 이용해야 서비스를 이용할 수 있도록 한다.

공공기관의 최신 기술 지원 속도가 느린 이유는 가장 낮은 사용자 환경까지 지원해야 하기 때문이다. 그래서 오래된 버전 지원을 유지하다보니 최신 버전 지원 기술 개발 속도가 더딘 것이다. 모든 사용자 환경을 마련하기 위해서는 모든 OS와 웹브라우저 버전별로 실행파일을 따로 개발해야 해 비용이 많이 든다.

웹표준을 준수하는 무설치 기반 공인인증서 사용 환경을 개발하고 FDS를 구축해 정상 사용자의 접근은 편하게 하고 이상 사용자는 차단하는 것이 가장 이상적이지만 FDS의 오·미탐을 가려내는 것도 쉬운 일은 아니며, 비정기적이며 아주 가끔 접속하는 사이트에서 FDS로 이상사용을 찾아내는 것도 어려운 일이다.

‘FIDO+공인인증서’ 안전성 높은 인증 방식

차세대 인증이라고 불리는 FIDO는 생체인증을 포함한 여러 인증 기술을 개발하고 제공하는 국제표준으로, FIDO 인증만으로도 전자서명, 본인확인, 부인방지 등의 기능을 할 수 있다. 그러나 우리나라에서는 FIDO 인증을 받은 생체인증 기술을 공인인증서의 비밀번호로 활용하는데 초점을 맞추고 있다. 홍채·지문인식 등 생체인증 기술을 이용해 스마트폰에서 전자서명을 수행하며, 공인인증서는 USIM, IC카드, 트러스트존 등 안전한 매체에 저장하게 된다.

FIDO와 공인인증서 결합 모델은 최근 경쟁적으로 등장하고 있다. 한국전자인증, 한국정보인증은 삼성전자 갤럭시S8과 갤럭시S8 플러스의 홍채인증을 공인인증서의 비밀번호로 사용하도록 하면서 FIDO+공인인증서 결합 서비스를 제공한다. 갤럭시 사용자가 아니어도 지문인증을 이용한 공인인증서 비밀번호 서비스는 일반 은행 모바일 뱅킹에서 이용할 수 있다.

▲생체정보와 공인인증서 연계 방안(자료: KISA)

FIDO 인증을 획득한 기업들도 일제히 FIDO를 이용한 매출 확대에 나섰다. 라온시큐어는 신한은행, 씨티은행, 부산은행, 현대카드, KT, LGU+ 등 30여개사에 FIDO 인증을 제공하고 있다.

SGA솔루션즈는 통합인증플랫폼 기업 로웸과 MOU를 맺고 FIDO 기반 간편인증 사업을 추진한다. 양사의 협력 모델은 SGA솔루션즈의 ‘트러스트채널 FIDO’와 로웸의 ‘원샷패드’를 결합한 ‘FIDO 기반 간편인증’으로, 공공·금융권을 대상으로 영업을 전개한다.

트러스트채널 FIDO는 서비스 계정 인증에 FIDO와 인증서를 사용해 인증하는 특허기술을 갖고 있으며, 지난해 통신사 FIDO 인증 플랫폼, 코스콤 FIDO 인증 프로젝트에 공급됐다. 공인인증서와 연계하는 서비스 모델과 다양한 생체정보, U2F 방식의 인증 등을 지원한다.

로웸의 원샷패드는 비밀번호를 간편하면서도 안전하게 사용할 수 있는 서비스다. 사용자가 입력하는 문자·숫자를 해시값으로 바꿔 저장해 1234와 같은 단순한 조합의 비밀번호를 사용해도 실제로는 복잡한 숫자와 문자 조합으로 바뀌어 인증을 수행한다.

삼성SDS는 생체인증 솔루션 ‘넥스사인(Nexsign)’과 IBM 계정관리 솔루션 ‘ISAM’을 결합해 국내외 고객을 공략한다. 또한 생체인증기능을 통해 은행이나 사무실을 방문하지 않고 신규 계좌 개설 및 각종 계약이 가능한 ‘태블릿 브랜치(Tablet Branch)’ 사업도 전개한다.

생체정보가 아니라, 생체 행위 정보를 이용한 비밀번호 활용도 주목할 만하다. 시큐브의 ‘생체수기서명인증’ 기술은 서명을 하는 행위, 압력, 좌표 등을 분석해 본인 확인 정확도를 높였다. 4월 ‘공간분할 세그먼트에 대한 동적이동 추적 기반 수기서명 인증 시스템 및 방법’ 특허 기술을 취득했는데, 이는 수기서명 행위 특징을 일정 크기 단위와 비율의 공간으로 분리 구성해 동적 특징을 추출하고 상관관계를 분석해 오인식률을 낮췄다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.