핀테크, 간편결제, IoT, 스마트워크…. 이 모든 환경에서 공통으로 요구되는 것이 ‘인증’이다. 비대면 환경에서 본인이 자유로운 의지로 해당 거래를 진행하는 것이라는 사실을 검증하기 위해서는 강력한 보안이 보장된 인증 기술이 필요하다. 어떠한 환경에서도 인증을 수행할 수 있도록 표준을 준수하면서 간편하게 인증이 완료돼야 한다는 요구도 있다. 간편결제가 부상하면서 함께 주목받는 다양한 인증기술을 살펴보고, IoT, 클라우드, 스마트워크 환경에서 이용할 수 있는 방법을 소개한다.<편집자>

“유행 따라 PKI 무조건 배제해선 안돼”

인증에 있어서 가장 뜨거운 이슈는 ‘PKI’이다. PKI는 공개키 기반구조(Public Key Infrastructure)의 약자로, RSA등 비대층키암호화 방식(공개키 알고리즘)을 사용해 인증, 암호화, 전자서명을 제공하는 인프라이다. PKI에는 인증기관, 공개키 암호화 알고리즘, CA 서버 등이 포함된다.

전문가들 사이에서 PKI가 안전한 기술이라는데 이견은 없다. 공개키와 개인키가 한 쌍을 이뤄, 개인키를 이용해 공개키에 접근한 후 해당 데이터를 열어볼 권한을 갖게 되는 방식으로, 개인키를 사용자 개인이 안전하게 보관하면 해킹당할 우려가 없다.

이상준 유넷시스템 전무는 “PKI 기술의 안정성은 이미 오랜 시간 동안 입증됐지만, 우리나라에서는 제도 운영의 잘못으로 사용이 불편해지면서 ‘반드시 제거해야 할 규제’ 중 하나로 인식되고 있다. 그러나 현재까지 PKI를 대체할 수 있는 보안과 효율성을 제공하는 기술이 없다”며 “PKI에 대한 정확한 인식 없이 유행에 따라 PKI를 무조건 배척하는 것은 위험하다”고 지적했다.

잘못 설계된 정책으로 공인인증서 유출 너무 쉬워

공인인증제도는 전국민이 동일한 인증제도를 이용해 너무나 많은 온라인 업무를 수행하고 있다는 것이 가장 잘못된 점이다. 우리나라에서는 오프라인에서 주민등록증을 사용하듯, 온라인에서는 공인인증서가 신분증처럼 사용된다. 전자거래는 물론이고, 공공기관 민원업무, 제세공과금 납부, 본인확인 등 수많은 분야에 공인인증서가 사용된다. 따라서 공인인증서가 유출되면 전자금융사기와 같은 피해를 입을 수 있다.

PKI에서 개인키는 개인이 보관해야 하는데, 우리나라 공인인증서는 NPKI라는 폴더에 개인키와 함께 일괄 저장된다. USB에 저장하든 스마트폰에 저장하든 상관없이 NPKI 폴더 내에서 개인키를 통해 공개키에 접근하고 암호화된 본인인증 정보를 확인하며, 전자서명을 발생시킨다. NPKI는 일반 폴더처럼 ‘Ctrl+C→Ctrl+V’ 방식으로 복사해 다른 매체로 옮길 수 있다.

공인인증서를 하드웨어 보안 모듈(HSM)에 저장해 안전하게 보관할 수 있지만, 일반 사용자에게 공급하기에는 다소 비싸다는 단점이 있다. 스마트폰 USIM칩에 공인인증서를 보관하는 방식은 사용이 불편하고, 보안이 강화된 클라우드 스토리지에 보관하는 서비스는 사용이 불편하고 클라우스 스토리지 계정탈취로 인한 공인인증서 유출 등의 문제가 지적된다.

박종필 세이프넷코리아 이사는 “PKI는 본인인증과 부인방지 기능을 제공하는 탁월한 기술이지만, 우리나라 공인인증제도는 운영상의 보안 취약점을 해결하지 못했다는 한계가 있다”며 “모든 IT에서 인증은 가장 중요한 요인이 되며, PKI는 제대로 운영하면 매우 훌륭한 인증 제도가 될 수 있다”고 설명했다.

김원호 에어큐브 부장도 “PKI를 대체할 수 있는 인증구조가 없다. 사설인증서에도 PKI를 사용하고 있으며, 다른 나라에서도 PKI 도입이 확산되고 있다. 국내에서 PKI를 대체할 기술을 찾고 있지만 마땅한 대안이 나타나지 않고 있는 상황”이라며 “공인인증제도의 문제 때문에 무조건 PKI를 제거하는 것이 아니라, 여러 인증기술 중 하나로 PKI를 사용할 수 있도록 다양한 인증 서비스가 나와야 한다”고 말했다.

FIDO 표준기술+PKI로 안전한 인증 제공

한국인터넷진흥원은 핀테크와 사물인터넷(IoT) 환경에서 인증의 중요성이 높아지는데 대한 대안을 제시하기 위해 생체인식 기술과 PKI 기술을 결합하는 방법을 연구하고 있다. 기술은 FIDO(Fast IDentity Online) 연합에서 제안하는 표준안을 준수하는 안전한 온라인 인증 기술을 PKI와 결합시키는 방법으로, 지문과 PKI를 연계하는 방법이 가장 유력한 대안으로 꼽힌다.

FIDO는 구글, 레노버, 마스터카드, 마이크로소프트, 페이팔, LG전자, 삼성전자 등 153개 기업이 2012년 7월 발족한 글로벌 연합체로, 생체인식을 활용해 간편하고 보안성 높은 인증체계를 만들고 있다. 지난해 12월 국제 인증기술 표준 작업을 완료하고 ‘FIDO 1.0’을 공식 발표했으며, FIDO 1.0 표준에 부합하는 기술에 대한 인증서를 발급했다. 우리나라에서는 삼성전자, ETRI, 라온시큐어 등이 인증을 받았다.

FIDO 표준은 ID/PW 대신 생체정보를 이용하는 UAF(Universal Authentication Factor) 방식과 ID/PW와 함께 별도의 인증장치를 이용해 2차인증을 수행하는 U2F(Universal 2nd Factor)로 나뉜다. UAF를 사용했을 때 사용자 생체정보는 서버가 아니라 개인 소유 단말의 안전한 하드웨어 보안영역에 저장하도록 한다. 스마트폰에 별도로 할당된 하드웨어 보안영역(SE, TEE, TPM)이나 USIM칩, IC칩, HSM 등이 저장공간으로 이용된다. U2F는 USB동글, 스마트카드 등을 이용한 2차인증이 인정되며, 올해는 블루투스, NFC, LTE 무선서비스를 지원할 예정이다.

김주영 KISA 보안산업기술1단장 “PKI와 FIDO의 결합으로 안전한 전자금융거래가 가능하다. 이 기술은 간편결제 뿐 아니라 강력한 인증과 암호화를 요구하는 스마트 헬스케어, 지능형 교통 시스템, 대규모 물류 유통 시스템 등 다양한 산업에서 활용될 수 있다”고 말했다.

KISA에서 개발을 추진하는 기술은 스마트폰 등 단말기에 인식된 바이오 정보가 인증서의 이용자 정보와 일치하는지 확인하는 방식이다. ▲바이오 인증장치 이용 ▲사용자 공인인증서 및 개인키의 안전한 저장·관리 ▲공인인증서 서명검증 ▲클라이언트 및 서버 통신 기능 ▲국내 온라인쇼핑몰 결제수단 시범 적용을 수행하는 등 핀테크 환경에서도 공인인증서 이용을 확대한다는 목표를 세우고 있다.

나아가 KISA는 대학병원, 모바일기기, 바이오인식 개발자 등 38개 기관이 참여하는 모바일 생체신호 인증기술 표준연구회를 발족하고, 뇌파·심전도 등 생체신호 개인식별기술 및 표준화를 연구하기로 했다.

이 연구회에서는 스마트워치 등 웨어러블 디바이스의 뇌파·심전도 등 생체신호센서에 대한 인터페이스와 시험용 생체신호 DB 구축지침을 우선적으로 국내표준화하고, 개인식별율이 가장 우수한 생체신호 대상으로 특징점 데이터규격과 양손 지문인식과 결합해 인증알고리즘을 KBID와 공동개발, ITU-T SG17 등 국제표준으로 신규 제안할 계획이다.