정부도 '패스워드 없는 웹' 확산 가세

정부24 민원발급, 비밀번호 대신 생체인증으로 대체

컴퓨팅입력 :2018/08/03 15:19    수정: 2018/08/04 10:38

정부가 '패스워드 없는 웹' 확산 흐름에 가세했다.

공공 웹사이트 '정부24' 로그인시 패스워드 입력 과정을 지문같은 생체정보 인식같은 절차로 대체했다. 이는 이용자의 로그인을 편리하게 만들고 패스워드 유출로 인한 계정탈취 위험을 낮출 수 있을 전망이다.

정부24는 웹사이트에 방문한 이용자 국민에게 필요한 정부 서비스를 한 곳에서 찾아 이용할 수 있도록 구성된 대민 온라인 서비스다.

행정안전부는 지난 27일부터 개편된 웹사이트로 온라인 민원응대 서비스를 제공하기 시작했다. 개편을 통해 제공자 중심으로 나뉘었던 메뉴를 기능 중심으로 통합하고 자주 찾는 서비스를 한 화면에 배치한 디자인을 갖췄다. 국민건강보험공단, 관세청, 국세청 등 기관 20곳과 협력해 직접 신청 가능한 정부 서비스를 22종에서 107종으로 확대하고 정책정보 열람 수단을 링크 방식에서 원문 보기로 개선했다.

행정안전부는 7월 27일 개편된 정부24 사이트를 선보였다. 민원발급시 계정과 공인인증서 인증을 패스워드 대신 지문인식으로 대체할 수 있게 만들었다. [사진=PIxabay 원본 편집]

행안부는 개편된 정부24 주요기능 중 하나로 지문정보를 활용한 생체인식 기반 로그인(지문인증)을 꼽았다. 지문인증이 이용자의 로그인 과정에서 패스워드 입력과정을 대체해 준다. 기존 정부24 로그인은 계정(ID)과 패스워드를 입력하거나, 공인인증서와 패스워드를 입력하는 방식이었다.

기존 방식과 함께, ID와 지문인증을 통한 로그인, 또는 공인인증서와 지문인증을 통한 로그인이 지원된다. 이용자 로그인은 정부24에서 주민등록등초본, 건축물 및 토지대장, 각종 증명서 발급과 신고 등 민원서비스를 신청할 때 필요한 절차다.

행안부 측은 "ID와 공인인증서 로그인에 지문인증 방식을 추가해 사용자 편의성을 높였다"면서 "비밀번호 분실을 예방하고 '비밀번호 찾기' 발생 비용을 절감하며, PC에 공인인증서가 없는 경우에도 모바일 지문을 연결해 PC에서 민원발급을 가능케 했다"고 설명했다.

지문인증은 생체정보 기반 인증수단의 하나인 지문정보를 활용하는 인증으로, 여러 온라인 서비스의 로그인 과정에 패스워드를 대신할 수 있을 것으로 기대를 모으고 있다. [사진=Pixabay]

행안부는 정부24 개편 서비스 시작 당일 정부청사 별관에서 진행된 열린소통포럼에서 국민들이 서비스 이용 소감 및 발전방안으로 제시한 의견도 소개했다.

육아와 직장생활을 병행하고 있는 이미영 씨는 "양육, 가사, 업무가 겹쳐 주민센터 방문할 시간을 내기 쉽지 않은데 '정부24'를 통해 양육수당신청, 주택청약가점 계산을 해결할 수 있었다"며 만족했다. 대학생 오수빈 씨는 "모바일 사용자 편의를 고려해 앱의 기능이 많이 좋아졌다"며 "필요 서류를 출력하지 않고 파일로 보내는 기능도 추가됐으면 좋겠다"고 말했다.

■ 정부24 지문인증, 라온시큐어 FIDO 생체정보인증 솔루션 활용

정부24의 패스워드를 지문정보로 대체한 기술을 한국 인증솔루션 전문업체 라온시큐어가 공급했다. 지난 2일 라온시큐어는 보도자료를 통해 회사의 '패스트아이덴티티온라인(FIDO)' 표준 기반 생체인증 기술을 정부24 웹사이트에 적용했다고 밝혔다. FIDO 표준은 인증기술 표준화 목적의 국제 민간 컨소시엄인 'FIDO얼라이언스'에서 제정한 규격이다. 라온시큐어는 이를 통해 이용자가 패스워드 입력 대신 지문인증으로 정부24 민원서비스 로그인을 할 수 있고, 모바일에서 지문을 등록한 뒤에는 PC에서도 QR코드로 로그인할 수 있다고 설명했다.

현재 FIDO얼라이언스에 미국과 영국 정부 및 구글, 아마존, 마이크로소프트, 삼성전자, 알리바바 등 글로벌 선도업체 260여곳이 회원으로 참여 중이다. 한국 회원사 라온시큐어는 2016년 7월부터 FIDO얼라이언스의 이사회 멤버 자격으로 활동해 왔다. 지난해 10월 인텔과 손잡고 PC에 탑재된 지문센서를 이용하는 생체인증기술 공동개발에 나섰고, 올해 4월 미국 RSA컨퍼런스에서 그 성과를 공개했다. 라온시큐어의 FIDO 생체인증솔루션 '터치엔원패스'가 적용된 서비스에, 내장 센서나 USB동글형 인증기기를 통해 가입 및 로그인하는 내용이었다.

정부24 지문인증 활용 과정 5단계. 지문등록 선택→공인인증기반 지문등록→지문 로그인→민원증명발급신청→처리.

이순형 라온시큐어 대표는 "새단장한 정부24 서비스에 라온시큐어 생체인증 기술력이 반영돼 자부심을 느낀다"며 "정부24로 경쟁력을 입증한만큼 앞으로도 국민들이 이용하는 공공서비스에서 편리하고 안전한 생체인증이 가능하도록 서비스를 확대해 나가겠다"고 말했다.

행안부의 정부24에서 통합 처리되지 않는 타 부처나 공공기관의 대국민 서비스로도 지문 등을 활용한 생체인증 기술이 활용될 수 있을지 주목된다. 라온시큐어는 정부24와 유사한 활용사례가 공공 부문에서 확산되길 기대 중이다. 사실 라온시큐어의 생체인증 솔루션은 개편된 정부24에서 요구하는 공인인증서와 각종 보안관련 처리에 필요한 액티브X 및 플러그인 설치 환경을 대신하지는 않고 있다. 하지만 회사측은 현재 정부 시책인 공인인증제도 폐지와 노플러그인 정책에 따라 그 대체수단으로 FIDO 생체인증이 부각될 것이라 내다봤다.

■ 패스워드보다 편리하고 안전한 인증 수단 보급 움직임 형성

FIDO 표준이 생체인증과 동의어는 아니다. 엄밀히 말해 FIDO 표준은 ID 및 패스워드 중심이었던 온라인 인증 환경에 더 폭넓은 수단과 높은 보안성을 지원하는 기술 규격으로 제정됐다. 하지만 주요 제조사들이 수년전부터 스마트폰에 지문센서, 홍채 및 안면인식 등 기능을 탑재하면서 생체인증을 낯설지 않은 기술로 만들어줬고, 이는 생체인증 기술 규격을 함께 다루고 있는 FIDO 표준의 확산에도 보탬이 되고 있다. 이런 점에서 FIDO 표준 기반 생체인증 기술을 도입한 정부24는 국내에 드문 일반인 대상 '패스워드 없는 웹' 사례로도 볼 수 있다.

PC에서 지문 로그인하는 과정 5단계. 공인인증 지문로그인 선택→모바일 QR코드 리더기 실행→PC QR코드 스캔 후 모바일 지문인식→PC 로그인→민원발급

패스워드 없는 웹은 문자 그대로 인터넷의 웹서비스를 이용할 때 로그인 과정을 거쳐도 패스워드를 쓰지 않는 환경을 뜻한다. 패스워드는 계정을 보호하는 수단이지만 이용자에겐 그걸 기억하고 평상시 안전하게 관리하며 필요시 매번 입력해야 하는 부담을 주는 존재다. IT업계는 패스워드 없이 더 안전하고 편리한 온라인 인증으로 인터넷 이용자를 보호할 수 있는 환경으로의 변화가 필요하다는 데 일정부분 동의하고 있다. FIDO얼라이언스 참가사들은 FIDO 표준을 활용한 기술이 그런 역할을 할 수 있을 것으로 기대 중이다.

관련기사

FIDO얼라이언스 참가사이자 '윈도'로 PC 운영체제(OS) 시장을 거머쥔 마이크로소프트도 패스워드 없는 웹의 흐름을 주도하려고 노력 중이다. 그 일환으로 MS가 보급해 온 기업용 계정관리시스템 '액티브디렉토리'로 처리되는 로그인 절차에 FIDO얼라이언스가 최근 표준화한 'FIDO2' 기반 휴대용 보안 키 인증 기능을 지원할 계획이다. FIDO2는 'CTAP'라는 이용자 영역의 인증정보 처리 규격과 W3C의 '웹오센티케이션API'라는 플랫폼 영역의 규격을 포함하는 표준으로, 모바일 앱을 넘어 PC와 웹 영역까지 대응한다.

세계 최대 검색 서비스와 G메일, 구글드라이브 등 여러 클라우드 서비스를 제공하는 구글도 패스워드 없는 웹의 확산에 속도를 낼 전망이다. 앞서 구글은 작년부터 최근까지 1년간 내부 직원의 계정 보호 수단으로 FIDO 표준을 활용한 실물 USB 보안 키를 도입했다. USB 보안 키를 PC에 꽂고 키에 달린 버튼을 누르면 패스워드 입력이 불필요해지게 만들어, 계정탈취를 노린 피싱공격 피해를 예방했다. 작년 하반기부터 일반 이용자에게도 실물 보안 키 로그인을 추가 계정보호 방법으로 지원하기 시작했고, 최근 자체 보안 키 시판을 예고했다.