[공인인증서 폐지④]민간인증 보안성은…"생체인증·클라우드로 강화"
생체인증 만으로 예금 찾을 수 있게 예금거래 기본약관 개정
홍채인식시스템, 타인 홍채와 일치 확률 0.000083%
"인증정보가 클라우드로 옮겨져 해킹·도용 어려워져"
과학기술정보통신부, 행정안전부, 금융위원회는 10일 전자서명법 개정안이 시행됨에 따라 편리하고 안전한 민간 전자서명 서비스의 개발을 촉진하고 도입이 확산할 수 있도록 협력을 강화해 나갈 계획이다.
공인인증서는 자필서명(날인) 대신 전자서명을 이용할 수 있게 해 전자문서 이용 활성화 및 정보화 촉진에 기여하는 것이 목적으로 지난 21년간 활용됐다. 하지만 액티브X와 함께 방화벽·백신·키보드 보안프로그램 등을 강제로 설치해 PC 충돌이 잦고, 일부 웹브라우저만 지원하며, 외국인이 국내 쇼핑몰에서 결제하지 못하는 등의 문제를 안고 있었다.
결국 공인인증서는 지난 2014년 전자금융거래법 개정에 따라 의무사용 조항이 삭제됐지만, 그간 금융회사들은 약관에 공인인증서를 그대로 존속시켜왔다. 금융사고가 발생하더라도 공인인증서만 사용됐으면 책임을 금융사가 물지 않아도 되기 때문이다.
공인인증서가 해킹 등 보안사고로 유출됐더라도, 해커가 피해자의 OTP 보안 카드 번호를 알지 못하면 은행 계좌에서 돈을 임의로 인출할 수 없다. 하지만 최근 공인인증서 유출 사고와 더불어 악성코드·금융사 홈페이지 위조·보이스피싱 등 금융사기 수법이 날로 진화하면서 OTP 보안 카드 번호까지 빼내 금전 피해를 주는 사고가 끊이지 않고 있다.
최근 5년간 7만5710건의 공인인증서가 유출됐다. 올해에는 8월 1일부터 9월 21일까지 금융결제원, 코스콤, 한국전자인증, 한국정보인증, 한국무역통신 등 5개 기관 4만6064건의 개인 보관 공인인증서가 해킹을 통해 유출됐다.
국회 과학기술정보방송통신위원회 김상희 부의장은 "최근 인증서 유출 경위를 살펴보면 개인 PC 두 대를 통해서 모 저축은행에 유출된 공인인증서를 통한 접근을 시도한 것으로 확인됐다"고 밝혔다.
특히 최근 스마트폰 앱을 사칭한 가짜 악성 앱이 급증하는 등 개인정보 유출 위험이 커지면서 공인인증서뿐만 아니라 다양한 민간 전자서명수단을 활성화해야 한다는 목소리가 높아지고 있었다.
그동안 단순 본인확인은 아이핀, 전화인증, OTP(보안카드), 생체인증, 신용카드 인증 등으로 대체 가능했으나 전자서명(공적 분야)은 공인인증서 외 대체 가능한 기술수단이 딱히 없었다.
하지만 최근 몇 년 사이 블록체인, 생체인증 등 신기술이 발달하면서 공적 분야에도 새로운 전자서명수단이 활용 가능해졌다. 특히 현존하는 생체인증 방식 중 가장 정확도가 높은 것으로 평가되는 홍채인식이 공인인증서의 대안으로 주목받고 있다.
금융결제원에 따르면 홍채인식시스템은 타인의 홍채와 일치할 확률이 0.000083%로 도용이나 복제가 사실상 불가능한 것으로 평가된다. 생체인식 정확도를 가늠하는 본인거부율도 지문인식 0.1%, 정맥(손바닥)인식 0.01%, 얼굴인식 1%인데 비해 홍채는 0.0001%로 다른 생체인증과는 비교가 안될만큼 정확도가 높다.
국내 최초이자 유일하게 금융결제원 분산저장방식 홍채인증을 취득한 이리언스의 김성현 대표는 "홍채인식시스템은 무엇보다 보안성이 생명인 금융거래에서 공인인증서를 대체할 가장 강력한 대안이 될 것"이라며 "포스트 코로나 시대에 필수적인 비접촉 방식이라 스캐너에 손을 대야하는 지문, 손바닥, 정맥인식보다 휠씬 안전해 내년까지 100여개 금융기관과 정부기관, 공기업에서 '홍채인증'을 채택할 것"이라고 기대했다.
행안부는 보안성, 신뢰성을 갖춘 민간 전자서명 도입을 공공기관 웹사이트에 지속적으로 확대해 나갈 계획이다. 금융위는 고위험거래에 대한 강화된 전자서명방법 도입 등을 통해 국민들의 재산을 안전하게 보호해 나갈 계획이다. 과기정통부는 다양한 민간 전자서명 서비스가 나오면 신뢰성과 보안성 등을 판단할 수 있도록 전자서명 평가·인정제도를 운영할 방침이다.
최대선 숭실대 소프트웨어학부 교수는 "기술적 변화의 핵심은 기존 인증서나 인증정보가 저장돼 있던 위치가 PC나 스마트폰에서 클라우드나 스마트폰의 안전한 영역으로 옮겨졌다는 것을 의미한다"며 "더 안전한 영역에 저장돼 있어서 해킹이나 도용이 어렵다"고 설명했다.
또 "공인인증서의 경우 본인을 입증하기 위해 비밀번호를 사용했는데, 앞으로는 생체인증이나 패턴 등으로 본인이 아니면 사용할 수 없게 된다는 측면에서 보안성이 강화될 것"이라며 "앞으로도 개선된 기술들이 보급돼 편의성, 보안성을 증가시켜 보안사고를 줄여주는 환경이 마련될 것으로 보인다"고 전했다.
나아가 최 교수는 "사용자의 마우스나 키보드 입력 패턴을 인공지능이 지속 감지해 다른 사용자의 접속을 막아주는 등의 기술이 연구되고 있다"며 "온오프라인에서 사용하는 모든 인증수단이 전자지갑에 탑재돼 동일한 U/X(사용자경험)를 가지고 사용할 수 있게 될 것"이라고 전망했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지