2014년 12월, 생체인증(FIDO1.0)이 민간 간편 인증기술로 출발해 불과 4년 만인 올해 12월 국제전기통신연합(ITU) 정보통신 표준화 부분(ITU-T)에서 국제표준으로 채택돼 스마트폰, 컴퓨터(노트북), 인터넷 브라우저 등에 패스워드 없는 시대 초석을 다지게 됐다.
FIDO 얼라이언스(Alliance)는 2012년 출범해 글로벌 ICT 회사 등 세계 250개 이상 기업이 회원사로 참여하고 있고 우리나라에서는 삼성전자, 비씨카드, 라온시큐어가 보드 멤버로 한국전자인증, 한국전자통신연구원(ETRI), 한국정보통신기술협회(TTA), SK텔레콤, LG전자가 스폰서 멤버로 활동하고 있다.
특히 라온시큐어는 올해 10월 인텔과 ‘인텔 온라인 커넥트(Intel Online Connect)’ 기반 PC용 FIDO2 생체인증 기술 개발 및 공동 마케팅 협력에 대한 계약을 체결하기도 했다. 이는 글로벌 표준 FIDO를 통해 국내 보안기술과 제품으로 글로벌 진출을 할 수 있는 교두보를 마련한 계기라고 볼 수 있다.
FIDO는 국민들에게 공인인증서로 널리 알려진 공개키 암호알고리즘(PKI/PKCS) 기술과 MFA(Multi Factor Authentication, 다중인증요소)에 근거한 것으로 국제적 파급효과가 상당하다. 또한 디지털 전자서명 기술과 FIDO가 결합돼 국제적으로 널리 활용되고 있다.
최근 마이크로소프트(MS)는 FIDO2 표준 호환기기를 MS계정에 사용(MS 윈도우 헬로)해 패스워드 없이 로그인할 수 있도록 했다. 더불어 4차 산업기술인 사물인터넷(IoT) 분야에서도 공개키 기반구조(PKI) 준수 선언을 IoT표준 글로벌단체 OCF에서 발표하기도 했다.
이처럼 글로벌 시장에서는 PKI기술과 공인인증서를 표준 규격으로 정하고 있지만 국내는 공인인증서의 엑티브(Active)-X 설치 등 사용자 불편에만 초점을 맞추고 일부 비전문가가 주장하는 부정적인 사항만 강조하고 있는 실정이다. 현재 ‘공인인증서 폐지’를 골자로 하는 전자서명법 개정안이 국회에서 계류 중이다.
이에 몇 가지 쟁점을 적어보면 첫째, 미래지향적이지 못한 법 개정과 이에 따른 4차 산업시대 준비 미흡을 지적할 수 있다. 미래 초연결 IoT 시대에는 인증 주체를 사람뿐 아니라 IoT 기기까지 확대해야 하나 개정될 전자서명법은 ‘사람’에 한정(개정안 제2조2항가목)돼 있어 전자서명 간 융합, 상호연동, 지역·업종 간 협력이 어렵고 관련 산업에 악영향을 미칠 전망이다.
둘째, 인증산업에 대한 정부의 미온적인 태도다. PKI기술은 앞으로 가장 광범위한 분야에서 오랫동안 사용될 인증 기술이며 특히 음성스피커로 시작된 IoT 기기 인증에 FIDO 생체인증과 PKI기술은 4차 산업 시장에서 미래 파급력이 더 커질 전망이다.
그러나 개정법안의 제21조를 보면 정부는 ‘전자서명인증 정책을 [지원]한다’고 명시돼 기존 법령의 [전자서명인증 정책을 추진]한다)에 비해 후퇴했고 관련 내용도 절반 이상 축소됐다. 이에 따라 한국인터넷진흥원의 인증관련 정책 추진이 축소될 것으로 보인다. 국내 기업 대부분은 스마트시티, 스마트교통 등 5G시대 글로벌 호환성이 떨어져 전체적으로 재구축을 해야 하는 상황이 올 수도 있다. 이는 국가적 막대한 낭비를 초래할 것이다.
셋째, 글로벌 인증사업자의 시장을 개방해 국내 관련 산업이 잠식되는 결과를 초래할 수도 있다. 개정안은 기존 공인인증서와 사설공인인증서의 법적 효력을 동일시하고 있으며 사설인증의 경우 웹트러스트(개정안 11조 국제통용평가)를 획득한 인증기관은 평가기관 평가를 획득한 것으로 간주한다.
이것은 아직 국제평가 준비가 덜 된 국내 시장 여건에서 글로벌 인증사업자들에게 시장을 내주는 것이나 다름없고 기존 공인인증 시장의 잠식뿐만 아니라 IoT, 빅데이터 신규 시장에서도 자리를 내주게 될 것이다.
4차 산업혁명 시대를 맞아 각국은 자국 인증산업을 보호하고 국제적 영향력을 강화하기 위해 노력하고 있다. 유럽연합(EU), 인도, 러시아, 중국 등은 UN을 중심으로 디지털인증 확산과 국제협력 체계를 확산하고 있으며 미국은 국제표준 주도권을 강화하고 구글, 아마존, 페이스북 등 자국 기업을 적극 지원하고 있다. 공인인증서를 폐지하고 글로벌 기업에 문호를 개방하겠다는 우리나라와는 사뭇 다른 모습이다.
관련기사
- 센스톤, 간편인증솔루션 '스톤패스' FIDO2 인증 획득2018.12.28
- FIDO 인증기술 규격, 국제전기통신연합 표준으로 채택2018.12.28
- 한컴시큐어, '한컴패스' FIDO2 인증 획득2018.12.28
- 칩·암호화폐·클라우드...보안, 바쁘다 바빠!2018.12.28
지난 11월 27일 발생한 KT전화국 화재사건에 대해 이낙연 총리는 “IT강국의 맨 얼굴이 드러났다. 기술의 외형적 성장과시만 집착하고 운영의 내실은 갖추지 못했다”고 지적했다. 초연결사회로 대변되는 4차 산업혁명 시대는 ICT 인프라 운영 관리 중요성이 더 커질 것이다.
이번 전자서명법 개정은 디지털 전자서명과 PKI 기술은 인프라의 핵심이며 국가적 차원의 육성과 관리가 필요하다. 보다 체계적이고 미래지향적이며 국내 산업보호 측면에서 전자서명법 개정을 추진했으면 한다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.