액티브X같은 비표준 부가프로그램 강제에 질린 PC 사용자들의 표준화 요구가 거세다. 지난해 대통령선거에 출마한 후보들부터 IT주무부처인 미래창조과학부 장관까지, 비표준을 퇴출하겠다며 웹플러그에 의존해온 국내 공인인증 체제에 제동을 걸었다.
이에 관계당국은 '웹'과 '앱', 2가지로 표준화된 공인인증서 관리기술을 도입하도록 준비해왔다. 하지만 현행 전자서명법에 명시된 공인인증제도에 기반한 기존 틀을 유지한다는 측면에서, 사용자들의 불편을 유발해온 근본 문제를 해결하기는 어려울 전망이다.
공인인증서는 일반인들에게 정부기관 신원 증명, 금융기관 거래당사자 확인, 온라인쇼핑몰 구매결제 내역 전송 승인 과정에 폭넓게 쓰인다. PC 환경에선 웹사이트에서 전용 부가프로그램(플러그인)이 설치돼 다뤄진다. 모바일 환경에선 PC용 인증서를 복사해 옮겨담는 식으로 관리된다.
이런 방식은 여러 브라우저와 단말기별 OS를 지원하지 않을 뿐아니라 소프트웨어(SW) 버전에 따른 특성차를 반영하지 못했다. 윈도나 브라우저 새버전이 나와도 공인인증서를 활용 중인 정부기관과 금융업체 사이트가 발빠르게 대응을 못해 꾸준히 일반인들의 원성을 샀다.
이에 정부는 한국전자통신연구원(ETRI)과 한국인터넷진흥원(KISA)같은 산하기관과 국내외 관련업체를 통해 공인인증서 관리기술 표준화를 추진해왔다. 하나는 HTML5를 지원하는 최신 브라우저용 웹표준 보안 및 인증서처리기법이다. 다른 하나는 윈도8 모바일 환경을 겨냥한 통합인증서관리 서비스다.
■웹크립토API와 CMP, 공인인증서 세계화 가능한가
지난해 KISA가 암호화기술 '웹크립토그래피API'를 월드와이드웹컨소시엄(W3C)에서 표준으로 제안했다. 이어 기존 플러그인을 대신할 '공인인증서관리프로토콜(CMP)'을 개발하는 '웹기반공인인증서관리기술개발' 용역과제를 발주해 연말께 마무리했다.
아직 순수 웹브라우저만으로 국내 공인인증제도에 맞는 웹용 인증서 관리기술을 일반 사용자들이 쓸 수 있으려면 얼마나 더 기다려야 할지 알 수 없는 노릇이다.
우선 이를 위해선 웹크립토그래피API와 CMP가 HTML5라 불리는 차세대 웹표준에 반영돼야 한다. 그리고 각 브라우저 업체들이 최신버전에 해당 표준을 반영해야 한다. 그리고 최종적으로 정부기관이나 금융업체와 온라인쇼핑몰 등이 이 표준에 들어맞는 방식으로 온라인결제나 공인인증서 처리서비스를 만들어야 한다.
해당 업무 담당자와 민간 업체 전문가들은 이런 환경이 갖춰지려면 빨라도 2016~2017년이나 돼야 할 것이라고 예상한다. 물론 W3C 표준에 포함, 브라우저 업체들이 구현, 각 인증서 요구 서비스에 반영, 3가지 과정이 차질 없이 이뤄질 것이라 전제했을 경우다.
최근까지 ETRI는 웹크립토그래피API와 CMP를 국제표준화하기 위해, 국내 인증서 사용환경과 별개로 부가요소를 개발하고 지난달 미국서 열린 W3C 담당그룹 대면회의에 참석해 표준화를 제안했다. 하지만 회의결과 해당 기술 도입에 찬반의견이 엇갈려 표준화에 난항이 예상된다.
이는 현존 브라우저에서도 통용되는 표준 인증서 처리방법을 놔두고 국내 표준을 고집한 결과다. 일각에서 차라리 웹서비스환경의 인증서를 국제표준과 통용되도록 하자는 목소리가 나온다. 인증제도를 둘러싼 문제의 핵심은 정부기관의 승인을 전제하고 있는 '공인'에 있다는 지적도 강조되는 추세다.
■윈도8 메트로UI 뱅킹앱, 인증서 통합관리 실현될까
이와 별개로 KISA는 최신 OS 윈도8 기반의 모바일 플랫폼에 알맞은 공인인증서 처리 기반을 마련중이다. 이를 위해 국내 보안업체 라온시큐어 그리고 SW개발사 마이크로소프트(MS)가 지난해 여름께부터 협력해왔다. 윈도8 출시 이전 시점이다.
국내 '윈도스토어'에 등록된 라온시큐어의 윈도8 터치스크린용 '윈도공인인증서관리' 앱이 그 중간 결과물이다. 앱의 역할은 크게 2가지다. 인증서를 윈도8 터치환경에 가져오거나 내보내거나 비밀번호를 변경하는 관리 역할이 하나다.
앱의 다른 역할 하나는 사용자의 인증서를 보관해 뒀다가 뱅킹, 쇼핑, 증권, 공공기관 앱이 요구할 때 건네주는 것이다. PC 환경에서는 하드디스크나 USB저장장치에 보관중이던 인증서를 여러 서비스에 쓰는 게 당연했지만, 윈도8 터치환경에선 이게 별도의 통신규약을 따라야 가능하다.
해당 통신규약을 KISA가 만들어 업계에 윈도8 터치용 인증서 처리기술 표준으로 제시하고 있다. 윈도8에 뱅킹, 쇼핑, 증권서비스를 제공할 회사들이 이 표준을 따라 앱을 만들면, 사용자들이 라온시큐어 앱으로 인증서 관리를 일원화할 수 있다.
즉 각각의 윈도8 앱에서 인증서를 필요시 라온시큐어의 인증서 관리 앱이 열리고, 인증절차를 마치면 기존 앱으로 돌아가게 된다. 이로써 윈도8 사용자들은 iOS나 안드로이드 기기에서처럼 여러 터치기반 뱅킹, 쇼핑, 증권 앱을 쓰면서 매번 인증서를 복사해 넣을 필요가 사라진다.
관련기사
- '개방' 웹과 '폐쇄' DRM, HTML5 한 배 타나2013.05.14
- 미래부, 액티브X-공인인증서 걷어줄까2013.05.14
- 오픈넷, 공인인증서 국민감사청구 운동2013.05.14
- '플러그인'은 죽지 않는다, 사라질뿐2013.05.14
13일 KISA 관계자는 이에 대해 금융기관들이 윈도8용 (뱅킹 또는 증권) 앱을 만들어 연계기능을 구현중이지만 실제 상용화 여부는 OS의 사용 추이를 관망하는 상태라며 인증서관리앱 출시 의의는 사용자 편의를 위해 기존 PC 웹처럼 일원화된 인증서 관리를 윈도8 환경에도 실현하려는 것이라고 설명했다.
다만 KISA가 표준화한 통신규약을 적용하는 게 강제사항이 아니라 해당 업체들이 따르지 않아도 그만이다. 아직 국내서 윈도8 전용 뱅킹 앱을 내놓으려는 움직임은 극소수다. 증권앱을 서비스하려는 곳으로부터 문의가 있다지만 대국민서비스를 하려는 공공기관에서는 전혀 신경쓰지 않는 분위기다. 대중화까지는 갈 길이 멀다.