개인정보 자기주권 강화…인증정보 안전하게 관리하는 서비스 주목
[데이터넷] 코로나19로 디지털 트랜스포메이션이 가속화되고 있는데, 이로 인해 공격면이 넓어진다는 문제에 직면하게 됐다. 특히 사이버 공격자들이 혁신적인 IT 기술을 이용해 한층 더 진화한 공격을 펼칠 것으로 예상된다. 올해 주목해야 할 보안 이슈와 대응 방안을 제안한다.<편집자>
공인인증서의 우월적 지위가 폐지되면서 공인인증서와 사설인증서가 동등한 지위에서 경쟁하게 됐다. 사람들은 2020년 연말정산부터 사설인증서의 편리함을 경험하게 됐다. 기존의 공인인 증서 뿐 아니라 통신사, 포털, 신용카드사 간편결제 서비스 등에서 제공하는 간편인증으로 연말정산 간소화 서비스를 이용할 수 있게 됐다. 민간 금융서비스에서 간편인증 서비스는 이미 일상적으로 사용하고 있다.
현재 간편인증은 대부분 본인 명의 스마트폰이나 신용카드, 은행계좌를 이용하면 편리하게 이용할 수 있다. 스마트폰의 생체인식 기능을 사용하면 훨씬 더 편리하고 안전하게 본인인증이 가능하다.
정보주체 권리 강화된 사설인증 시장
사설인증 시장의 경쟁이 시작되면서 자신의 인증 정보를 스스로 관리할 수 있는 체계에 대한 논의도 본격 적으로 시작됐다. 그 대표적인 것이 분산ID다. 개인이 자신의 디지털 인증서를 블록체인에 등록하면, 해당 블록체인 네트워크를 이용하는 서비스는 별도의 가입이나 로그인 절차 없이 쉽게 이용 가능하다.
지금까지 온라인 서비스를 이용하기 위해서는 서비스 사업자가 요구하는 방식으로 개인정보를 제공해야 하며, 자신의 정보를 사업자가 어떻게 이용하고 보호하는지 알 수 없었다. 분산ID는 블록체인에 스스로 디지털 인증서를 등록하고 관리할 수 있기 때문에 정보주 체의 권리가 훨씬 더 강화 된다.
분산ID는 행정안전부 모바일 공무원증에 적용됐으며, 2021년 하반기 모바일 운전면허증도 시 행될 계획이다. 스마트폰 하나만으로 신분증, 출입증, 신용카드, 금융거래 등 다양한 서비스를 이용 할 수 있으며, 장기적으로는 모바일 여권으로 해외여행도 가능하게 될 것으로 기대된다.
인증 서비스가 다양해지고 편리해지면서 보안 이슈도 대두된다. 인증서가 저장된 스마트폰을 분실하거나 악성코드에 감염돼 인증서를 탈취당하면 큰 피해를 입을 수 있다. 생체정보가 저장된 스마트폰에서 생체정보를 공격자가 훔쳐간다면 상상을 초월하는 피해가 발생할 수 있다. 따라서 인증서와 생체정보, 비밀번호는 가장 강력한 보안 수준을 보장하는 안전한 저장소에 보관해야 한다.
트러스트존을 이용하거나 화이트박스 암호화를 이용해 중요한 인증정보를 보관하며, FIDO 인증을 받은 생 체인증 서비스를 이용하는 것이 권고된다. 현재 상용화된 대부분의 인증서비스가 이 같은 요건을 갖추고 있지만, 앞으로 다양한 사설인증 시장이 전개되면서 안정성이 충분하지 않은 서비스가 등장하고, 개인정보 보호에 민감하지 않은 사용자들이 피해를 입을 가능성이 매우 높다. 이로 인한 피해를 막기 위한 대안이 시급하다.
