인텔, 플라이하이, 한국정보인증 등 3사 협력으로 2년전 개발된 '안전한 공인인증서 저장기술' 활용이 답보 상태다. 발표 당시 PC에서 액티브X 설치 없이 공인인증서를 다룰 수 있는 기술로 소개돼 관심을 모았지만, 상용화 문턱을 넘지 못했다.
3사는 지난 2015년 7월 인텔의 중앙처리장치(CPU)에 공인인증서를 보관할 수 있는 기술을 개발했다고 발표했다. 하드디스크, USB 이동식저장매체, 보안토큰 대신 인텔개인정보보호기술(IPT)을 지원하는 프로세서 칩을 PC기반 공인인증서 저장소로 쓰도록 만들었다는 내용이었다.
한국정보인증은 이 기술을 내놓기 위해 "한국정보인증은 인증 인프라를, 인텔은 하드웨어 플랫폼을, 플라이하이는 솔루션 개발을 담당했다"며 "3사는 국내 공인인증 인프라의 안정성 강화를 위해 지속 협력할 예정이다"고 밝혔다.
당시 설명에 따르면 이 CPU기반 공인인증서 보관 기술은 기존 PC 공인인증서 저장방식의 문제점인 탈취 또는 분실 위험을 낮춰 준다. 별도의 키보드보안 프로그램 설치 없이 비밀번호 입력 절차까지 보호해 준다. 이에 인터넷뱅킹과 공공웹사이트의 액티브X, 플러그인, EXE파일 등 부가프로그램 설치에 따른 불편을 덜어 줄 것이라는 기대를 모았다.
그러나 최근 한국인터넷진흥원(KISA)에 따르면 현재까지 이 기술을 도입해 PC 환경에서 공인인증서를 안전하게 보관하도록 운영되는 일반인 대상 서비스는 없는 것으로 파악됐다.
최근 KISA 정보보호산업본부 보안인증지원단 차세대인증보안팀의 김주혁 선임에게 그 이유를 묻자 '인텔 IPT 기술의 라이선스 부담에 따른 기술개발업체의 수지타산 문제' 때문이라는 답이 돌아왔다.
요약하면 이런 얘기다. 개발업체가 인텔에 IPT 라이선스료를 내야 CPU기반 공인인증서 저장기술을 상용화할 수 있다. 당시 IPT 라이선스료는 CPU기반 공인인증서 저장기술 상용화를 통한 기대수입에 비해 너무 높았다. 초기 손실을 감수할만큼 미래 시장규모도 크지 않았다.
당시 인텔 측의 정책도 장벽이었다. 업계 관계자에 따르면 인텔이 수립한 국내 시장 로드맵에선 IPT를 우선 기업용으로만 제공하고, 이후 상황에 따라 개인소비자용으로 확대한다는 식이었다. 즉 소비자용 공인인증서 기술을 공급하기 위한 B2C 라이선스가 제공되지 않았다.
또한 KISA 측 설명에 따르면 CPU기반 공인인증서 저장기술이 상용화됐더라도 대다수 PC 사용자가 그 편리함을 누릴 수 있을지 장담하긴 어려웠다. 기술개발에 참여한 사업자들에겐 국내에서 IPT 지원 CPU를 탑재한 PC 보급률이 그리 높지 않았다는 판단도 있었다고 한다.
즉 PC 환경에서 공인인증서를 안전하게 보관하고자하는 일반 소비자의 구매력, 인텔의 국내 IPT 기술 공급 전략, 이를 쓸 수 있는 국내 인텔칩 기술 생태계의 규모, 3박자가 맞아떨어지지 않는다면 CPU기반 공인인증서 저장기술은 앞으로도 빛을 보기 어려울 전망이다.
관련기사
- KISA "생체인증기술, 공인인증서 대체 아닌 연계"2017.05.10
- 공인인증 쓴맛 본 스타트업 사연 들어보니…2017.05.10
- 문재인 "공인인증서·액티브X 없애겠다"2017.05.10
- 불편한 공인인증서, 계속 써야할까2017.05.10
그럼 보안토큰 없이는 공인인증서를 절대로 안전하게 저장할 수 없는 것일까. 대다수 PC 이용자의 환경은 그렇다는 게 보안 업계 중론이다. 대신 KISA는 최근 PC가 아닌 모바일 기기를 통해 안전한 공인인증서 저장기술 보급을 추진하고 있다.
KISA 측은 지난달 공인인증서와 생체정보 연계기술에 쓰이는 모바일용 공인인증서 저장기술을 소개했다. 스마트폰의 트러스트존(안드로이드)이나 키체인(iOS)에 홍채, 지문 등 생체정보와 연계한 공인인증서를 저장해 쓰는 인터넷뱅킹과 증권거래 서비스가 확산 추세라 강조했다.