공인인증서가 21년 만에'공인' 마크를 뗀다. '천송이코트' 논란 이후 6년 만이다. /사진=이미지투데이
공인인증서가 21년 만에'공인' 마크를 뗀다. '천송이코트' 논란 이후 6년 만이다. /사진=이미지투데이

공인인증서가 마침내 ‘공인’ 자리에서 내려오는 날이다. 10일 개정 전자서명법 시행에 따라 다양한 전자서명 인증 서비스를 대신 이용할 수 있게 된다. 기존 공인인증서도 계속 사용할 수 있지만 여러 민간 사업자가 편리함을 앞세워 이미 그 자리를 빠르게 잠식해나간다. 사설 인증 시장의 서비스 경쟁이 본격적으로 시작됐다.

무려 21년간 써왔던 공인인증서에 익숙해졌기 때문일까, 그럼에도 선뜻 갈아타지 못하는 이용자도 존재한다. ‘공인’ 마크가 주던 안정감은 차치하더라도 신규 서비스에 쉽사리 믿음을 주지 못할 수 있다. 사설 인증에 내 정보를 믿고 맡길 수 있을까.


“민간 평가 거쳐 KISA 인정받으면 믿을 만”

이달 초 국무회의 의결로 통과된 전자서명법 시행령은 ▲인정기관 인정업무 수행방법 ▲평가기관 선정 기준·절차와 평가업무 수행방법 ▲가입자 신원확인 기준·방법 등을 규정한다. 사설 전자서명 인증에 대한 안전장치의 핵심은 평가와 인정 제도다.

전자서명인증사업자에 대한 인증 절차는 여러 정보보호 관련 제도처럼 평가와 인정으로 나뉜다. 기업 정보자산 보호 체계를 다루는 정보보호관리체계인증(ISMS)도 평가는 한국정보통신기술협회(TTA)와 한국정보통신진흥협회(KAIT)에서 진행하고 인정은 한국인터넷진흥원(KISA)에서 담당한다.


마찬가지로 개정 전자서명법도 보안성과 신뢰성 등에 대한 실제 점검은 민간 평가기관에서 나간다. 평가기관 선정과 관리는 과학기술정보통신부에서 담당한다. 또 평가기관별로 심사에 차이가 나지 않도록 인정기관에서 과정과 결과에 대해 최종 검토 후 인정되면 증명서가 교부되는 구조다. 전자서명 인정기관도 KISA가 맡는다.

지정된 공인인증기관으로 자격을 한정했던 과거와 달리 개정 전자서명법은 사업자 누구든지 전자서명인증사업을 할 수 있도록 한다. 같은 맥락으로 평가·인정제도 자체도 임의제도라는 점에서 소비자로선 주의할 필요가 있다. 강제규정이 아니므로 과기정통부의 이런 평가·인정을 받지 않은 사업자도 전자서명인증사업을 할 수는 있다.


하지만 행안부가 맡는 전자정부를 필두로 대국민 서비스는 안정적인 운영이 우선돼 보안성과 신뢰성을 갖춰야 한다는 조건이 걸린다. 따라서 최종적으로 KISA 인정을 받은 전자서명인증 위주로 채택될 것으로 보인다.

전자서명인증사업자 평가는 어떻게 이뤄지나

전자서명인증사업자 평가 과정에서 가장 중점을 두는 것은 물론 보안이다. 점검 항목을 살펴보면 사업자의 ▲정보보호 정책 ▲정보보호 인력 전문성 ▲정보보호 조직 구성 ▲출입통제나 침입탐지 등 물리보안 ▲사이버 침해사고 대응 등 정보보안 ▲시스템 접근통제와 변경관리 등 소프트웨어(SW) 관련 조치 ▲백업과 로그 관리 등을 종합적으로 판단한다. 서비스의 ▲인증서 위·변조 가능성과 방지 대책 ▲보안 취약점과 해킹 위험 등에 대한 점검도 물론 포함된다. 기존 ISMS 제도와 유사한 측면이 있다.


평가기관 선정은 시행령에 규정된 내용인 관계로 개정안 시행에 앞서서는 원천 불가했다. 이에 과기정통부와 KISA는 평가기관으로 신청할 후보 사업자를 대상으로 컨설팅 지원 등을 통해 미리 준비를 갖추도록 했다. 과기정통부 관계자는 “시행규칙에 규정된 선정기준에 따라 평가기관으로서 신뢰도와 독립성을 높이는 방향으로 컨설팅을 실시했다”면서 “준비해온 만큼 법 시행에 맞춰 최대한 빠르게 연내 선정을 목표하고 있다”고 밝혔다.

지난 5월 제378회 국회(임시회) 본회의에서 전자서명법 개정안이 가결되는 모습 /사진=뉴스1
지난 5월 제378회 국회(임시회) 본회의에서 전자서명법 개정안이 가결되는 모습 /사진=뉴스1

나아가 전자서명인증사업자가 주민등록번호를 수집·이용하려면 방송통신위원회로부터 본인확인기관 지정을 받아야 한다. 이때 92개 통제항목에 대한 점검도 별도로 받게 된다. 심사는 보안 전문가 등 민간 전문위원이 맡으며 마지막에 방통위 전체회의 의결을 거쳐야 한다. 전자서명인증사업에 본인확인기관 지정이 요구되진 않으나 주민등록번호를 취급·유통하거나 대체수단을 제공하는 경우 이 허가가 필요하다.

특히 금융실명법에 따라 거래가 실명 기반으로 이뤄지는 금융 분야가 여기에 해당된다. 공공 분야의 경우 200개가 넘는 개별법령에서 해당 업무 목적에 한해 주민등록번호 수집근거가 마련된 상태지만 그렇지 않은 경우 본인확인기관 지정이 필요할 수 있다. 전자서명법 개정에 따라 사업자가 서명자 신원을 식별할 수 있도록 필요 시 주민등록번호와 연계해 생성·제공되는 연계정보도 처리 가능해졌다.

이에 기존 공인인증기관인 ▲한국정보인증 ▲한국전자인증 ▲금융결제원 ▲코스콤 등 4곳이 지난 7월 1차로 신청, 이주에 본인확인기관 지정을 받을 예정이다. 이어 기존 공인인증기관인 한국무역정보통신과 IT업계의 네이버·카카오·비바리퍼블리카(토스) 등 4곳이 지난 9월 2차로 신청해 심사받고 있다. 방통위 관계자는 “본인확인기관 지정 신청이 접수된 날로부터 최대 120일 내로 답변을 주도록 규정돼있다. 2차 신청업체의 결과는 연말 또는 내년 초에 나올 예정”이라고 말했다.

이젠 공인이 아닌데… 사고 발생 시 피해 보상은?

과기정통부에 따르면 지금까지 공인인증기관이 해킹 등으로 ‘털린’ 적은 없다. 지난 9월 공인인증서 4만6000건이 악성 프로그램을 통해 탈취된 사실이 파악됐지만 이들도 각 개인 PC에 저장된 것들이었다. 공인인증기관이 매년 과기정통부의 보안점검을 받아왔기 때문이기도 하다. 반면 사설 인증의 경우 기술력이나 체계가 잘 갖춰져 있다 해도 아직 이 시장에선 신규 사업자다.

이에 개정 전자서명법은 KISA 인정을 받은 전자서명인증사업자의 손해배상 책임보험 가입 의무화를 규정한다. 입증 책임이 사업자에게 있는 것도 중요한 대목이다. 전자서명 서비스 이용자가 해당 사업자로 인해 피해를 입었을 때 그 입증 책임이 이용자에게 있다면 정보 비대칭 등 문제로 제대로 보상받지 못할 수 있다. 법에서는 사업자 측에서 고의·과실이 없었음을 입증해야 배상 책임에서 면제되도록 규정한다.

보안성·신뢰성 확보와 함께 과기정통부와 행정안전부 등 관계부처에서 가장 집중하는 것은 서비스 도입 확산이다. 주요 웹사이트에서 각각 다른 인증서를 요구한다면 국민이 불편을 겪게 된다. 민간 분야는 이제 자유 경쟁에 들어가지만 공공 분야에서는 이런 점을 고려할 수밖에 없다. 따라서 보안성·신뢰성을 갖춘 전자서명 인증 서비스라면 공공에서 최대한 수용하도록 양 부처가 협력을 진행한다.

대표적으로 행안부가 주관하고 KISA가 추진 중인 ‘공공 전자서명 확대 도입을 위한 시범사업’을 들 수 있다. 이제 개정안이 시행되지만 앞으로 ▲평가기관 선정 ▲평가기관의 사업자 평가 ▲평가에 대한 KISA의 인정 등이 모두 이뤄지려면 반년가량 소요될 수 있다. 따라서 국민이 법 개정 효과를 바로 체감할 수 있도록 이 사업이 추진됐다.

내년부터 연말정산 간소화 서비스 웹사이트에서 ‘간편서명’을 이용할 수 있게 된다. 해당 버튼 누르면 나오는 전자서명 목록 중 자신이 보유한 것을 택해 서비스를 이용할 수 있다. /자료=과기정통부
내년부터 연말정산 간소화 서비스 웹사이트에서 ‘간편서명’을 이용할 수 있게 된다. 해당 버튼 누르면 나오는 전자서명 목록 중 자신이 보유한 것을 택해 서비스를 이용할 수 있다. /자료=과기정통부

이에 따라 ▲카카오(카카오톡 지갑) ▲KB국민은행(KB모바일인증서) ▲NHN(페이코) ▲한국정보인증(삼성PASS) ▲이동통신 3사(패스) 등이 후보 사업자에 선정됐으며 연내 최종 사업자를 확정할 예정이다. 선정된 사업자의 서비스는 내년 1월부터 ▲홈택스 연말정산 간소화 서비스(국세청) ▲정부24 연말정산용 주민등록등본 발급 서비스(행안부) ▲국민신문고(국민권익위원회) 등에 이용 가능하다. 단 이번에 선정되더라도 과기정통부의 평가·인정을 1년 내로 받아야 한다. 평가·인정제도가 본궤도에 오르면 더욱 다양한 전자서명을 공공 웹사이트에서 이용 가능할 것으로 기대된다.

행안부 관계자는 후보 사업자 대상 보안점검 결과에 대한 질문에 “다소 미흡한 부분이 있어 다시 이행점검 중이나 내년 서비스에 문제가 있는 것은 전혀 아니다. 기존 공인인증기관도 매년 점검에서 보완할 점이 나오곤 했다”면서 “공공에서 요구하는 기준이 민간보다 높은 측면도 있다. 이번에는 주로 보안지침에 대한 문서화 등 관리 측면에서 보완이 이뤄지고 있다”고 설명했다.

전자서명인증, 보안성·신뢰성이 곧 경쟁력

민간 전자서명 인증 서비스 상당수가 공인인증서에서 쓰였던 PKI(공개키 기반 구조)를 채택하고 있다. 과거 공인인증서로 초래된 불편은 액티브X와 보안 플러그인이 남발되면서 웹표준에 따르지 않았기 때문일 뿐 PKI 자체는 문제가 없다는 것이다. 과기정통부 관계자는 “PKI 알고리즘은 데이터 정합성이 수학적으로 입증된다는 장점을 지녔다”고 설명했다.

전자서명 인증서 발급 현황 /자료=과기정통부
전자서명 인증서 발급 현황 /자료=과기정통부

네이버의 ‘네이버 인증서’는 인증서 발급 시 공인기관을 통해 실명정보를 확인하며 FIDO·PKI·블록체인 등 여러 보안기술을 적용한다. 개인정보보호 관련해서는 국내 최초로 ‘SOC 3’ 인증을 획득해 세계 최초로 SOC 2와 3 인증을 동시 취득했다. 지난 3월 사업 본격화 이후 54곳의 제휴처를 확보했으며 연말까지 10곳을 추가할 예정이다.

비바리퍼블리카의 ‘토스’는 본인 확인 시 공인인증서와 동일한 가상식별방식(버추얼ID)을 사용한다. 회사는 보안성을 최고 수준으로 높이고 위·변조 가능성은 제거했다고 설명했다. 주로 금융권에서 인증 수단으로 채택되고 있다. 연내 도입 예정인 금융사가 6곳이며 공공부문을 포함한 10여개 기관과 추가 협상을 진행 중이다.

이통 3사가 운영하는 ‘패스’는 보안 전문기업 ‘아톤’이 개발에 참여했다. 공인인증서 PKI 방식을 반영하되 보안성을 강화했다. 아톤이 자체 개발한 화이트박스 암호화 기술 기반 저장매체를 적용해 개인키를 스마트폰 내 안전영역에 저장하고 유출·탈취를 원천 차단한다. 현재 ‘패스’ 도입 기관은 100여곳이며 지속 확대되고 있다.

카카오의 ‘카카오페이 인증’도 PKI로 구현되면서 블록체인 기술을 적용해 보안성을 더 높였다. 카카오페이는 핀테크 업계 최초로 정보보호·개인정보관리체계 통합인증(ISMS-P)을 획득한 바 있다. 회사는 200개 이상 이용기관을 보유하고 2000만건 이상 발급한 국내 최대 사설 인증 서비스라는 점을 강조한다.

KB국민은행의 ‘KB모바일인증서’는 외부 접근이 불가한 휴대폰 내 보안 영역에 저장하는 방식으로 보안성을 강화했다. iOS 등 하드웨어 저장이 불가한 기기의 경우 TAP 보안기술을 적용한 SW저장방식을 지원한다. 금융사답게 이상 거래 탐지 시스템(FDS) 운영을 통해 실시간 부정사용을 감지해 고객 금융자산을 보호한다.

NHN의 ‘페이코’ 역시 PKI 방식이고 하드웨어 보안 모듈로 인증키를 관리한다. 클라우드 블록체인으로 데이터 투명성과 보안성을 강화한 게 특징이다. 사용자는 언제든지 자신의 인증 기록을 조회할 수 있다. 기존 공인인증기관에서 하던 인증업무준칙(CPS) 대외 공표를 사설인증서 최초로 하기도 했다.

과기정통부 관계자는 “지난달 말 기준으로 누적 가입자 수에서 민간 전자서명(6646만건)이 공인 전자서명(4676만건)을 넘어섰다. 법 개정으로 DID(분산ID) 업계가 시장에 관심을 갖는 등 향후 신기술 적용도 기대된다”며 “민간 전자서명 인증 활성화로 국민 편의가 지속 제고되기를 바란다”고 밝혔다.