전자금융감독규정이 세 차례 개정되면서 그동안 사용자들의 불편함을 유발해 왔던 액티브X, NPAPI 기반 보안3종세트에 대한 사실상 강제사용규정이 사라지는 대신 금융사가 알아서 더 안전하고, 편리한 보안수단을 마련해야하는 상황이다.
불만이 쌓일데로 쌓였던 개인방화벽, 키보드보안, 공인인증서 구동 프로그램은 액티브X를 지원하지 않는 윈도10 엣지 브라우저와 NPAPI를 배제하기 시작한 구글 크롬45버전이 등장하면서 생존의 갈림길에 놓였다. 최근 KB국민은행이 서비스하기 시작한 웹표준 기반 뱅킹서비스 역시 이러한 사용자들의 변화에 대한 열망과 기술적 환경변화로 인한 결과물이다.
최근 오픈넷이 주최한 전자금융법개정 1주년 포럼에서 10년 넘게 웹표준화 활동을 벌여온 한국 웹표준프로젝트 리더 윤석찬씨는 "이제는 해외가 이렇게 하니까 우리도 따라가야한다는 것이 아니라 우리 문제를 스스로 풀어야하는 시기가 왔다"고 강조했다.
실제로 이전까지 전자금융감독규정 상 가장 큰 문제로 지적됐던 것은 공인인증서를 포함한 일명 보안3종세트를 쓰도록 사실상 강제해왔다는 점이다. 이 문제와 관련 특정기술에 대한 강제해서는 안 된다고 주장해 온 오픈넷 스스로도 놀랄 정도로 금융당국 차원에서 대대적인 손질이 가해졌다. 그러나 규제완화로 인해 봇물처럼 터질 것 같았던 보안3종세트에 대한 대체 솔루션은 쉽게 찾아볼 수 없는 실정이다.
현재 상황에서는 공인인증서나 특정 보안 기술을 강제하는 제약이 풀린 만큼 이들을 보완해 더 쉽게 쓸 수 있게 만들거나 시간이 걸리더라도 전혀 다른 방식의 보안접근도 필요한 상황이다. 고려대 법학전문대학원 김기창 교수는 이를 두고 "(특정기술을 강요하는) 법, 제도, 행정규제는 사라졌지만 기술적, 사업적 관점에서 어떻게 풀어내는가 하는 과제가 남아있다"고 말했다.
국내서 공인인증서를 기반으로 한 본인확인, 전자서명은 이미 인터넷/모바일뱅킹, 전자입찰, 온라인민원신청 등에 광범위하게 제공되고 있는 인프라다. 현 시점에서 무조건 공인인증서 기반 인프라를 걷어낸다고 사용자들이 그동안 제기해왔던 '불편함'은 쉽게 줄어들지 않을 것으로 예상된다. 그동안 이를 기반으로 제공돼왔던 서비스를 쓰지 못하게 하는 것은 또 다른 불편함을 초래하기 때문이다.
점진적인 변화가 필요한 시점에서 웹표준 환경에서는 국내 공인인증서는 물론 국내외에서 서버, 사용자 인증 등 여러 용도로 사용되는 각종 사설인증서(개인 및 기업 인증서)를 이전보다 더 쉽고 안전하게 쓸 수 있도록 하려는 시도가 진행 중이다.
윤석찬씨에 따르면 현재 웹표준 환경은 완벽하게 지원할 수 있는 것은 아니지만 기본적으로 HTML5, 자바스크립트 등 퓨어웹 환경에도 적용할 수 있는 암호화 기술들에 대한 표준안이 월드와이드컨소시엄(W3C)에서 채택되기 시작했다. 이러한 과정을 거쳐 현재는 '웹크립토API'라는 표준 암호화 기술을 웹브라우저에 탑재해 플러그인 설치 없이도 공인인증서와 연계해 사용할 수 있게 됐다. 별다른 암호화를 위한 프로그램을 설치하지 않아도 된다는 뜻이다.
문제는 우리나라 공인인증서는 물론 국내외에서 사용되고 있는 일명 사설인증서의 존재이유인 전자서명을 통한 인증서비스 기능을 웹브라우저에 기본 탑재할 수 있도록 표준화 하는 작업에 대해서는 여전히 의견이 엇갈리고 있다는 점이다. 웹브라우저가 PC, 노트북에서 너무 많은 부분을 건드리는 권한을 갖게 되면 해킹 위협에 노출될 수 있다는 우려 때문이다.
그는 "더 많은 공인인증기관이나 인증서비스 회사들이 웹크립토API를 사용하면 좋을 것 같다"며 "앞으로는 공인인증서를 기반으로 한 서비스 외에도 일회용비밀번호(OTP)나 스마트폰, 사물인터넷기기(IoT), 생체인증 등 다양한 기술을 섞어서 사용자를 편리하면서 안전하게 인증할 수 있는 기술이 나왔으면 한다"고 밝혔다.
현재 인터넷뱅킹/모바일뱅킹, 전자상거래 분야에서는 크게 두 가지 개선안이 논의 중이다. 공인인증서를 쓰면서도 별다른 프로그램 설치없이 이전보다 안전하고 편리하게 쓸 수 있는 방법을 찾는 것과 아예 공인인증서 대체하는 다른 보안수단을 마련하자는 것이다.
웹크립토API를 적용하는 것 외에 공인인증서와 개인키를 보다 안전한 장소에 저장해서 쉽게 꺼내 쓸 수 있도록 유심칩, IC칩 등에 저장해 마치 보안토큰처럼 활용하려는 시도들도 눈에 띈다.
윤석찬씨는 "다양한 인증수단이 공존해야한다는 것이 기본적인 판단기준이기 때문에 공인인증서가 나쁘냐, 좋냐를 논의하기 어렵다"며 "문제가 된 것은 공인인증서를 쓰기 위해 액티브X 기반 플러그인을 깔아 비표준방식으로 접근제어를 해왔다는 점과 맥이나 리눅스 사용자들은 아예 시도하지도 못하게 했던 것, 그 과정에서 많은 국민들이 시간낭비/비용낭비를 겪었던 것이 문제였다고 본다"고 말했다.
국내 온라인서점 중 가장 먼저 웹표준 방식을 활용한 결제방식을 도입했던 곳이 알라딘이다.
이날 참석했던 알라딘 웹기획 및 마케팅팀 김성동 팀장은 "2005년 웹로그를 분석해보면 고객들이 로그인해서, 장바구니에 물건을 담고, 배송정보를 입력, 주문결제페이지에서 실제 결제를 완료하는 과정에서 결제를 하지 않는 결제이탈율이 25%에 달했으며, 이중 92%가 결제가 너무 어려워서 포기했다는 의견을 줬다"고 말했다. 이후에도 "비슷한 상황이 이어졌으나 페이게이트 금액인증을 포함해 기존 공인인증서를 활용해야했던 방식에서 벗어나 카카오페이 등 다양한 결제방식을 지원하면서 결제이탈률이 13% 정도로 줄었다"고 설명했다.
공인인증서에 사용되는 공개키기반구조(PKI)라는 기술을 암호화 화폐인 비트코인이 사용하는 거대 거래장부인 블록체인과 접목시키려는 시도도 눈에 띈다.
비트코인 전문회사인 코인플러그는 최종적으로 한국인터넷진흥원(KISA)이 보장하고 있는 공인인증서 대신 개인이 스스로 스마트폰만으로 인증서를 발급받아 블록체인상에 관련 정보를 올려놓는 방법으로 활용할 수 있도록 하는 기술을 개발했다. 쉽게 말하면 그동안 문제가 됐던 공인인증서와 개인키를 하드디스크 내 NPKI 폴더, USB드라이브 등에 저장하는 대신 블록체인 상에 특정한 값을 올리는 방법을 쓴 것이다.
관련기사
- 지문 기반 공인인증서 내년 초 상용화2015.09.28
- 페이게이트 간편결제, 윈도10서도 OK2015.09.28
- 핀테크 시장, 공인인증 보완재 '블록체인' 주목2015.09.28
- 스마트폰에 신용카드 태그하면 모바일뱅킹 OK2015.09.28
기존 공인인증서를 포함한 보안3종세트는 IT환경에서 흔히 말하는 '레거시(legacy)'로 읽힌다. 옛날에 구축된 낡은 하드웨어나 소프트웨어가 별다른 개선되는 점 없이 사용돼 왔다가 이제와서 사용자들로부터 검증을 받고 있는 상황이 된 것이다. 레거시를 모두 한번에 걷어낸다는 것은 사회를 마비시키는 재앙이나 다름없다. 따라서 무조건 걷어내야한다는 주장보다는 보다 편리하고 안전하게 쓸 수 있는 방법에 대한 고민, 새로운 대체기술에 대한 연구개발이 절실한 상황이다.