한국서도 웹서비스 간 ID 연동 가능할까?

컴퓨팅입력 :2015/07/21 17:06

손경호 기자

수많은 웹사이트를 돌아다니다보면 회원가입을 한 곳인지, 비밀번호가 뭐였지 잊어버리기 십상이다. 방문이 뜸한 사이트에서는 그동안 자주 사용해왔던 몇 가지 비밀번호를 차례대로 입력해보고나서야 로그인에 성공하는 모습도 심심찮게 보게된다.

ID, 비밀번호를 입력하지 않고서도 회원가입은 물론 편리하게 사이트를 이용할 수 있는 방법은 없을까.

국내에서도 이러한 문제를 해결하기 위해 온라인 상 본인확인을 중요도에 따라 등급을 나눠 관리할 수 있게 하는 표준화 작업에 대한 필요성이 제기되고 있다. 이를 통해 페이스북, 구글, 네이버 등 계정만 있으면 높은 보안성이 필요치 않은 사이트에서는 이와 연동한 로그인을 가능케 하자는 것이다. 물론 결제, 이체 등과 같이 보안이 중요한 서비스를 사용할 때는 추가적인 인증이 필요하게 된다.

이를 위한 시작단계로 순천향대 정보보호학과 사이버보안연구실과 한국전자통신연구원(ETRI) 사이버보안연구본부는 국내 전자금융, 핀테크 환경에 적합한 전자본인확인기준을 개발하고, 그 결과를 국내외 환경에서 사용할 수 있도록 글로벌 표준화시킨다는 전략이다.

이들 연구기관은 '새로운 전자금융 서비스 환경을 포용하기 위한 보안강도/보증레벨 체계연구'에 대한 연구개발 프로젝트를 추진한다.

미국이 2011년부터 추진해 온 국가아이덴티티 전략(NSTIC)과 유럽연합(EU) 산하 유럽위원회(EC)가 지난해 9월부터 시행한 '전자본인확인·인증·서명(eIDAS)에 관한 법' 등은 모두 중요도에 따라 각각 4등급, 3등급의 분류체계를 갖고 온라인 상 본인확인, 서비스에 대한 인증, 전자서명 등 기능을 제공한다.

이를테면 정부사이트라고 해도 단순정보조회목적이라면 페이스북, 구글계정과 연계해 로그인을 가능케 하는 것이다. 대신 온라인뱅킹, 온라인 부동산 계약, 원격진료기록 조회 등에 대해서는 지문이나 휴대폰 인증, 추가 이메일 인증 등을 요구해 안전성을 확보한다는 취지다.

미국의 경우 '연방 클라우드 크리덴셜 익스체인지(FCCX)'라는 이니셔티브를 통해 정부기관 담당자들이 ID, 비번 외에 서드파티에서 발행하는 암호화된 개인정보(credential)에 대한 사용을 허용하고 있다.

염흥열 순천향대 정보보호학과 교수는 "이 프로젝트는 금융과 관련된 인증등급을 규정한다는 점에서 큰 틀에서 우리나라에서도 정비가 필요한 국가아이덴티티 전략 중 하나의 컴포넌트(구성요소)가 될 수 있다고 본다"며 "기존에 사용자마다 많게는 50개 이상 ID, 비번을 사용하던 것을 4개~5개 수준으로 줄이면서 투팩터 인증 등을 통해 안전하게 사용할 수 있는 기준을 만든다는 점에서 의미를 찾을 수 있다"고 설명했다.

관련기사

이와 관련 조현숙 ETRI 사이버보안연구본부장은 "ID/비번 체계 자체를 바꾸는 근본적인 대안이 필요할 것이라고 본다"며 "금융권에서 기존 방식의 대체재로 FIDO얼라이언스 등이 제시하는 생체인증을 도입하고 있는 만큼 빠르게 이런 방식으로 대체될 것이라고 본다"고 밝혔다.

그러나 아직 미래창조과학부, 행정자치부 등 관련 정부기관에서는 이러한 글로벌 추세에 대해 관망하고 있는 상황이다. 이들 기관 담당자들은 "아직 그런 내용에 대해 들어보거나 검토한 바가 없다"고 답했다.