최근 전자금융거래법 일부개정안, 전자서명법 전면개정안 등 공인인증서를 대체하는 기술을 허용해야한다는 주장을 담은 법안의 심사가 9월 정기국회로 미뤄졌다. 정부, 금융기관 등은 공인인증서 외에도 인터넷뱅킹용 결제 수단을 허용해야 한다는 점에는 찬성하나 이에 준하는 대체기술이 없어 도입하지 못하고 있다는 입장이다. 이러한 가운데 공인인증 대체기술로 손꼽히는 기술들의 현재 상황을 짚어 본다.
8일 전자금융거래 인증방법 평가기관들에 따르면 현재까지 논의되고 있는 공인인증서 대체 기술은 '페이게이트의 인증방법'(Amount Authentication 2.0)과 KB국민은행의 '전화승인을 이용한 인증 및 이체 V1.0'이다. 이에 더해 LG CNS도 보안 나군 인증을 받았던 기술로 가군 인증 신청을 준비 중이다.
보안 기술 등급은 전자금융거래인증방법평가를 통해 보안 가군/나군으로 정해진다. 보안 가군은 30만원 이상 전자금융거래에 필요한 보안수준을 갖춘 인증방법으로 현재 공인인증서만 여기에 속해 있다. 보안 나군은 30만원 미만 거래시 필요한 보안수준으로 주로 소액결제 등에 적용되고 있다.
■공인인증서 대체 기술 뭐가 있나
먼저 페이게이트의 인증방법은 카드사 혹은 은행과 인터넷쇼핑몰 등 판매자, 구매자들 사이에 판매금액을 특정한 숫자, 문자 등으로 바꿔 전송해 이 값이 세 곳 모두 일치할 경우에만 결제가 이뤄지는 방식이다. 페이게이트는 이 인증방법에 대해 지난달 12일 보안 가군 신청을 했다.
국민은행의 기술은 이미 사용되고 있는 폰뱅킹을 전자금융거래에 접목한 것이다. 공인인증서 대신 본인임을 확인하기 위해 금융사가 마련한 ARS를 이용한다. 직접 음성통화나 휴대폰으로 생년월일 등의 번호를 입력해 본인을 인증하는 것이다. 이 기술은 지난 2012년 1월 31일에 보안 가군으로 신청했으나 여전히 보안상 요건을 충족하지 못했다는 이유로 대체기술로 허용되지 않았다.
LG CNS가 인증방법은 스마트폰용 앱을 활용하는 방식이다. 기존에 금융사가 구축한 별도의 사이트에 가입한 뒤 앱을 통해 본인의 스마트폰을 지정해 놓으면 옥션 등에서 결제할 때 공인인증서 없이 앱에서 확인버튼만 누르면 본인확인과 결제가 동시에 이뤄지는 식이다.
현재 30만원 미만 전자금융거래용 사용되는 보안 나군 인증을 받은 기술은 페이게이트의 'Amount Authentication 1.0'과 LG CNS의 일회성 인증 방식을 이용한 스마트폰 간편결제다. 이들은 모두 스마트폰 소액결제를 위한 보안기술이다.
■공인인증서 대체기술 허용 이미 3년 전 얘기
지난 2010년 5월 국무총리실이 발표한 '전자금융거래 인증방법의 안전성 가이드라인'에 따르면 인증방법은 전자금융거래시 이용자 확인, 서버인증, 통신채널 암호화, 거래내역 위변조 방지, 거래부인방지 기능 등 5가지 항목을 충족하면 공인인증서를 사용하지 않고도 전자금융거래를 위한 보안기술로 사용할 수 있도록 허용하고 있다. 그러나 관련 법 시행 3년이 넘은 시점에서도 아직 대체 기술은 나오지 않고 있다.
현재 금융감독원이 지정한 공인기관에서 기술검증을 받은 경우 인증방법평가위원회의 평가를 생략하거나 금감원의 보안성 심의를 간소화 하도록 규정하고 있다.
인증방법평가기관은 금융보안연구원, 금융결제원, 한국시스템보증, 한국정보통신기술협회(TTA) 등 4개 기관이다.
■보안 가군 인증 받기...아직도 갈 길 멀어
기술적으로 공인인증서를 대체하는 보안 가군 인증을 받기 어려운 기술적 요건은 부인방지기능, 중간자 공격에 대한 방어 등이 꼽힌다.
TTA 장현진 팀장은 보안 가군에서는 공인인증서에 준하는 보안요구조건으로 부인방지기능을 꼽힌다고 밝혔다. 이는 말그대로 전자금융거래시 본인이 결제를 했다는 사실을 부인하지 못하도록 하는 기술을 말한다. 인터넷뱅킹시 공인인증서 확인 창에 비밀번호를 입력하는 것이 이와 같은 방식이다. 공인인증서의 비밀번호는 자신만 알고 있다는 전제 아래 결제가 이뤄진다는 것이다.
이와 관련 LG CNS에 대한 평가기관인 한국시스템보증의 조대일 대표는 부인방지기능, 중간자 공격에 대한 방어 등을 추가해 보안 가군의 기술요건에 맞추기 위해 LG CNS 측과 논의 중이라고 밝혔다.
■공인인증서도 피해속출, 대체기술 논의 지지부진
현재 공인인증체계를 사용한 방식 역시 보안성으로부터 완벽하게 안전하다고 보기는 힘든 실정이다. 최근에는 보안카드 두 자리 번호만 입력해도 실시간으로 사기범을 통해 결제가 이뤄지는 신종파밍 수법까지 등장하고 있는 상황이다. 보안 가군으로 인증 받는 수단을 추가로 마련하면 최소한 단일 결제시스템으로 인한 피해는 막을 수 있을 것으로 전망된다.
그러나 아직 공인인증서 대체 기술이 한번도 보안 가군 승인을 받지 못한 상황에서 금감원이나 금융위 등도 새로운 수단을 허용하는 작업에는 여전히 조심스러운 입장이다.
관련기사
- 공인인증서 시장 75% 독점 금결원 감사 청구2013.07.08
- 공인인증제 강요 금지법안, 국회상정2013.07.08
- "공인인증서는 액티브X가 아니다"2013.07.08
- 액티브X 퇴출 압박, 공인인증서 출구전략2013.07.08
이에 대해 금감원 IT감독국 총괄 김윤진 팀장은 아직 보안 가군의 기술요건을 모두 갖추지 못한 경우가 많다고 밝혔다.
공인인증서 대체 기술은 먼저 4개 평가기관을 통해 1차 검증을 거친 뒤 분기별로 개최되는 인증방법평가위원회를 거쳐 최종적으로 인증 여부가 선정된다. 오는 9월에는 페이게이트의 인증방법에 대한 평가위원회가 열릴 예정이다.