인터넷뱅킹이나 온라인증권거래업무 등 민간 서비스에서 공인인증서 때문에 불편하다는 지적이 계속돼 왔다. 신형 스마트폰의 지문인식과 홍채인식같은 생체인증기술이 보급되면서, 현재 공인인증서에 의존하는 여러 온라인서비스 이용 방식을 어떻게 바꿔놓을지에 관심이 높아졌다.
공인인증서를 쓰던 온라인서비스의 생체정보 활용 방법은 2가지로 나뉜다. 공인인증서를 대신하는 것과 공인인증서 비밀번호 입력절차를 대신하는 것이다. 전자는 공인인증서의 역할을 배제하고, 후자는 그 역할을 기본으로 삼는다. 공개키기반구조(PKI)상 최상위인증기관인 한국인터넷진흥원(KISA)은 당연히 후자를 장려한다. 지난해 5월부터 생체정보와 공인인증서 연계기술(이하 '연계기술') 개발과 보급을 추진해 온 이력이 이를 방증한다.
앞서 KISA는 공인인증서를 요구하는 서비스 가입자의 불편을 개선한다는 명분을 내세워 국내 관련 사업자와 인증기술 공급업체 대상으로 기술개발과 가이드 배포에 나섰다. 그 일환으로 지난해 5월 '바이오정보 연계 등 스마트폰환경에서 공인인증서 안전 이용 구현 가이드라인'을, 지난해 8월 '간편 공인인증서 인터페이스 가이드라인'을 각각 배포했다.
지난해 5월 가이드라인에 소개된 연계기술은 24일 현재 국민은행, 기업은행, 우리은행, 3곳의 스마트폰 인터넷뱅킹 애플리케이션(이하 '앱')에 적용됐다. 앱에서 지문인식이나 홍채인식을 통해 로그인, 계좌이체 등이 가능하다. 연계기술을 적용한 서비스는 다음달(5월)중 5개 은행의 스마트폰 뱅킹과 5개 증권사의 온라인 증권서비스 등 10곳으로 확대될 예정이다.
KISA 측 설명에서 연계기술은 서비스 제공자가 공인인증서 기반 환경을 유지하면서, 이용자의 공인인증서 처리 과정을 더 편리하게 만들면서 보안성을 높인 결과물로 묘사됐다. 이를 사용한 공인인증서는 비밀번호를 일반 문자열 대신 지문이나 홍채같은 생체정보로 입력받고, 안드로이드의 '트러스트존'이나 iOS의 '키체인' 등 단말기내 상대적으로 안전한 영역에 저장된다.
KISA 정보보호산업본부 보안인증지원단 차세대인증보안팀의 김주혁 선임연구원은 "갤럭시S8 기기의 홍채인식 기능을 통해 스마트폰 인터넷뱅킹에 접속, 계좌이체 단계에 사용하는 공인인증서는 유출과 탈취가 불가능한 안전한 매체에 저장되고, 비밀번호 입력절차뿐아니라 보안카드나 ARS 인증절차를 거치지 않는다"며 "공인인증서를 사용한다고 반드시 불편하다고 할 수 없다"고 말했다.
금융 및 증권 등 서비스가 연계기술을 지원하면 그 이용자에겐 PC 기반 공인인증서 처리 프로그램을 설치할 필요가 없고, 비밀번호를 외워 입력하지 않아도 되고, 공인인증서 갱신주기가 1년에서 3년으로 늘어난다는 점에서 편리하다. 다만 생체정보를 연계한 공인인증서는 각 서비스 운영사마다 별도로 발급받아 관리해야 한다. PC 기반 공인인증서처럼 운영사마다 호환되지는 않기 때문이다.
KISA 측에 따르면 PC 기반 공인인증서 이용 환경도 스마트폰의 생체인증 기능을 연계함으로써 이전보다는 편리해질 것으로 기대된다. 지난해 8월 가이드라인(간편 공인인증서 인터페이스 가이드라인)이 해당 기술을 소개하고 있다. 등록된 생체정보를 이용해 컴퓨터에서 비밀번호 입력 없이 공인인증서를 이용하는 기술이다. 이는 이용자 PC에 별도 프로그램 설치 없이 전자서명을 수행할 수 있게 해 준다.
김 선임연구원은 "해당 기술을 적용하면 중계서버를 통해 스마트폰에서 공인인증서 전자서명을 수행하기때문에 PC 운영체제(OS)와 브라우저 종류에 상관 없이 인터넷뱅킹 계좌이체 등을 수행할 수 있게 된다"며 "마이크로소프트(MS) 엣지 브라우저, 네이버 웨일브라우저가 지원하는 서비스가 오는 6월 이후 또는 늦어도 7월 이후 시작될 것"이라고 언급했다.
그는 "이 기술을 적용함으로써 PC의 공인인증서 전자서명 처리 모듈 프로그램을 설치하지 않아도 되지만, 현재 PC 인터넷뱅킹 서비스에서 설치해야 하는 다른 보안 모듈 프로그램 설치까지 없애주는 것은 아니다"라며 "다른 프로그램 설치에 관한 이슈는 금융감독기관의 규제를 받는 은행들의 인터넷뱅킹 서비스 환경에서 추가로 풀어야 할 사안으로 남아 있다"고 덧붙였다.
그리고 KISA 측에서 소개한 공인인증서 연계기술이 기존 공인인증서 처리의 불편함을 덜어주는 유일한 방식은 아니다. 아예 공인인증서를 사용하지 않고 생체정보를 활용한 인증방식을 접목해 편의성을 높인 사례도 이미 존재한다. 홍채인증을 활용한 KEB하나은행의 모바일뱅킹 앱 '1Q뱅크'와 지문인증을 활용한 NH농협의 모바일뱅킹 서비스가 그에 해당한다.
관련기사
- 코스콤, 삼성전자와 홍채인증서비스 제공2017.04.25
- 우리은행, 갤S8 금융거래 홍채인증 서비스 출시2017.04.25
- "특기 살릴까, 보폭 넓힐까"…보안업계 올해 전략은2017.04.25
- 한국정보인증, 우리은행에 아이폰용 지문인증기술 공급2017.04.25
지난해 8월 KEB하나은행은 1Q뱅크에서 계좌조회와 이체 업무 이용시 공인인증서 전자서명을 대신하는 본인인증 수단으로 홍채인증을 도입했다. 그해 9월중 통합멤버십 서비스인 하나멤버스에도 홍채인증을 확대적용하겠다고 예고했다. 당시 1Q통합인증이라는 별도 앱을 통해 지문과 홍채 정보를 공인인증서 대신 쓸 수 있게 지원한다는 계획을 내놨다.
같은 시기 NH농협은행은 공인인증서를 대체하는 방법으로 지문인증을 활용했다. NH금융상품마켓, NH스마트뱅킹, NH스피드뱅킹, 올원뱅크를 통해 제공되는 조회, 이체, 금융상품가입, 대출신청, 공과금납부 등 대부분 모바일뱅킹 서비스에 이를 적용했다. 공인인증서를 대체하는 생체인증은 일부 거래에 OTP 등 추가인증을 요구하는데, 당시 은행은 OTP 없이 계좌이체를 지원하는 방안도 검토 중이라 밝혔다.