스마트폰을 개통할 때마다 거쳐야하는 하는 작업 중 하나는 유심(USIM)칩을 장착하는 일이다. 기존에 알려진 것처럼 사용자가 실제 해당 통신사를 사용해도 될지 여부를 확인하는 '범용가입자식별모듈'이 유심 고유의 기능이다.
그러나 단순히 통신사용자가 맞는지 확인하는 용도로만 쓰기에는 유심이 가진 잠재력을 100% 발휘하기 어렵다. 이런 이유로 지난해 11월 말 SK텔레콤, KT, LG유플러스 등 이동통신 3사가 유심을 다른 용도로도 활용할 수 있게 한다는 계획을 발표했다. 3사가 이처럼 적극적으로 협력키로 한 것은 이례적인 일로 꼽힌다. 기술개발에는 보안회사 라온시큐어가 맡았다.
기존에도 유심을 교통카드나 신용카드처럼 사용해보자는 시도가 있었지만 생각보다 큰 호응을 얻지는 못했다. 사업자 마다 다른 방식으로 서비스를 기획해 왔었고, 서로 입장도 달랐기 때문이다.
이들이 지난해 말부터 주목하기 시작한 것은 가장 안전하고 편리한 본인인증, 거래수단으로 유심이 가진 잠재력이다. 인터넷뱅킹/모바일뱅킹은 물론 증권거래, 신용카드, 더 나아가 사물인터넷(IoT) 시대에 필요한 인증까지 스마트폰만 있으면 가능토록하겠다는 계획이다.
17일 서울 중구 을지로에 위치한 SK텔레콤 사옥에서 만난 SKT 솔루션사업본부 페이먼트 사업팀 총괄 전재원 차장은 스마트 인증이 공인인증서 저장용도로만 인식되면서 의미가 희석되는 것 같다며 글로벌 시장에서 모바일 보안토큰이 새로운 본인인증 및 안전한 정보교환을 보장하는 수단으로 활용되고 있다는 점에 주목해야 한다고 밝혔다.
이미 해외에서는 안전하고, 편리한 인증수단에 대한 논의가 활발하다. 구글, 마이크로소프트, 퀄컴, ARM와 비자, 마스터, 페이팔, 국내 삼성전자, LG전자, 크루셜텍, SK텔레콤, 한국전자통신연구원(ETRI) 등이 회원사로 활동하고 있는 FIDO얼라이언스는 온라인 환경에서 보안에 취약한 ID 및 비밀번호를 대체할 수 있는 기술표준을 연구한다. 이 기구에서는 지문, 얼굴과 같은 생체정보를 활용하는 방식, 하드웨어칩(보안토큰)을 활용하는 방식을 표준화한다는 계획이다.
전 차장은 3사가 공통으로 구현하고 있는 스마트 인증이 FIDO U2F를 구현할 수 있다고 말했다.
U2F는 우리나라 인터넷뱅킹, 증권거래, 조달청 입찰 등에 활용되고 있는 보안토큰을 말한다. 보안토큰은 하드디스크나 USB드라이브 대신 별도 암호화 알고리즘이 적용된 저장매체에 인증서와 개인키를 저장해 필요할 때마다 꺼내 쓸 수 있게 하는 기능을 가졌다. 여기에 한번 저장된 인증서, 개인키는 해커가 마음대로 도용하지 못하도록 강력한 보안기능이 적용됐다.
3사가 마련한 스마트 인증은 유심칩이 보안토큰 기능을 할 수 있도록 한 것이다. 전 차장에 따르면 이전까지 유심칩은 저장용량이 모자라 보안토큰 용도로 활용하기는 어려웠다. 그러나 스마트폰 시대로 넘어오면서 근거리무선통신(NFC) 기능 등을 구현하는 유심칩이 등장하면서 얘기가 달라졌다.
그는 피처폰, 초기 스마트폰 시절만 해도 최대 128킬로바이트(KB) 저장공간 밖에 활용할 수 없었지만 최근에는 보안토큰에 필요한 암호화 알고리즘을 구현하고, 여러 인증서, 개인키를 저장하더라도 활용할 수 있도록 유심칩의 저장용량이 커졌다고 설명했다. 인증서 하나 당 4KB, 자바 애플릿을 구현하는 프로그램이 12KB~18KB 용량을 차지하는데 이전 유심칩에서는 이마저도 수용하기 어려웠다는 것이다.
이동통신 환경이 3G에서 4G LTE로 넘어온 것도 유심칩을 보안토큰으로 활용할 수 있도록 기회를 주고 있다. 인증서를 통해 전자서명이 이뤄진 뒤 관련 정보를 전송하는 과정이 그만큼 빨라졌다는 것이 그의 말이다. 우리나라 스마트폰 사용인구가 전체 인구 수에 맞먹는 4천만명에 달한다는 점도 가능성을 더한다.
유럽에서는 이미 스마트 인증의 벤치마킹 대상이 된 '모바일ID'가 보급돼 있다. 모바일ID는 핀란드에서는 주민등록증 대체용으로 사용될 정도로 보급이 확산됐다.
국내 이통 3사는 이같은 트렌드를 인식해 지난해 한국인터넷진흥원(KISA)으로부터 스마트 인증에 대한 보안 1등급 매체 인증을 받아 국가기술표준으로까지 등록해 놓은 상황이다.
그럼 IoT 시대에 스마트 인증이 어떤 기회를 줄까.
전 차장은 사람-사물, 사물들 간 통신이 이뤄지면 누가 해당 사물과 정보를 주고받고 있는지 확인하기 위한 인증이 필요하게 된다며 IoT 도입 과도기에 스마트폰은 가장 유력한 인증 허브 역할을 할 수 있을 것이라고 전망했다.
관련기사
- 공인인증서 안전보관 '보안토큰' 무료 배포2014.12.18
- 구글용 USB 보안키 등장2014.12.18
- 국제보안인증 연합체 FIDO "애플페이, 우리와 달라"2014.12.18
- 액티브X 없는 공인인증서 상용화 눈앞2014.12.18
더 먼 미래에는 모든 사물에 인증이 가능한 통신칩이 탑재될 것이지만 그 전까지는 스마트폰 유심칩이 이런 기능을 대신할 수 있을 것이라는 설명이다.
인증이 필요한 여러 분야에서 보안성과 편의성을 동시에 보장하는 것은 말처럼 쉬운 일이 아니다. 최근 국내에서는 ID, 비밀번호만으로도 결제가 가능토록 하는 간편결제, 액티브X 등 플러그인을 추가로 설치할 필요가 없는 인터넷뱅킹 등 편의성이 강조되고 있는 추세다. 스마트 인증이 두 마리 토끼를 잡으면서도 IoT 시대를 이끄는 첨병이 될 수 있을지 주목된다.
