[공인인증서]'공인인증서' VS 'SSL+OTP'

1. 공인인증서 논란 “왜?”

2. '공인인증서' VS 'SSL+OTP'

3. 인터넷뱅킹과 스마트폰뱅킹 관점 공인인증서

4. 공인인증서, 사용자는 어떻게 바라볼까?

5. 전자금융거래 어떤 변화를 맞이할까?

공인인증서의 논란은 SSL+OTP와의 기술 경합에 이르렀다. 그동안 웹표준화를 주장했던 오픈웹 진영에서 전자금융 거래에 있어 웹표준 진영이 공인인증서의 기술적인 대안으로 SSL+OTP를 제시했기 때문으로 볼 수 있다.

공인인증서는 2000년부터 전자금융거래에 필수적으로 요구되는 보안 서명 수단이다. 그러나 그동안 액티브엑스 기술을 이용해 많은 사용자들이 불편함을 호소했으며, 웹 표준화에도 준하지 않아 인터넷 익스플로러 이외의 브라우저에서는 지원이 안되는 단점이 있었다. 그리고 보안적인 관점에서는 분실로 인한 부인방지 기능 상실이라는 이슈가 제기되고 있었다.

▲금융거래에서 의무적으로 이용되는 공인인증서 ⓒ보안뉴스

SSL(Secure Sockets Layer)은 글로벌 표준 통신보안접속 수단으로 방통위의 보안서버 활성화 정책으로 이미 우리나라에서도 많이 이용하고 있는 기술이다. 그리고 이용할 때 마다 패스워드를 자동을 생성해주는 OTP(One Time Password) 역시 이미 국내 인터넷 뱅킹에 도입돼 이용되고 있다. 그러나 부인방지 기능이 없어 전자서명으로써 공인인증서를 대처한다는 것은 무리라는 의견이 팽배하다.

▲금융거래에서 이용되는 하드웨어 방식 OTP ⓒ보안뉴스

그러나 두 기술을 기술적인 관점에서만 본다면 서로의 장단점으로 인해 우열을 가리기가 쉽지 않다. 그럼에도 불구하고 양진영이 이 두 기술에 대한 뜻을 굽히지 않는 이유는 기술 이상의 의미를 내포하고 있기 때문이다.

‘공인인증서’와 ‘SSL+OTP’ = '전자서명 인프라 기능' VS 'IT 시장 활성화'

이 두 기술의 경합은 기술적인 관점에서 보안성을 겨룬다기보다, 양진영의 설득을 위한 기술적 우열가리기 정도로 비춰지고 있다. 전문가들 입장들은 두 기술을 보안성 측면에서만 따지기에는 무리가 있다고 이야기한다. 그 이유는 두 기술이 가지고 있는 장점과 단점은 기술의 이용에 대한 특징에 기인하고 있기 때문이다.

쉽게 말하자면, 공인인증서와 SSL+OTP의 기술 이슈는 인터넷을 이용한 뱅킹 솔루션 측면에서는 같은 영역이지만 그 외에 서비스에 있어서 서로 다른 영역의 이야기라고 볼 수 있다. 따라서 인터넷을 이용한 뱅킹서비스 관점에서는 두 기술이 경합을 겨룰 수 있는 기술이지만 그 외의 영역에서는 아니라는 것이 전문가들의 분석이다.

공인인증서의 경우, 인감서명기능을 가지고 있어 주민등록 등본을 발급받는 통합전자민원창구 전자민원(G4C) 서비스나 연말정산 간소화 서비스와 같은 서비스를 동사무소나 세무서에 가지 않아도 쉽게 이용할 수 있다. 즉 온라인에서 인감도장과 같은 효력을 가질 수 있다는 이야기다. 그러나 이 부분에서는 공인인증서를 분실했을 경우 인증기능을 도용할 수 있다는 우려가 있고, 사용자는 인감도장처럼 공인인증서 역시 분실하지 말아야할 책임이 있다. 그리고 이런 관점에서 보면 대국민 전자정부의 기능 유지를 위해서도 공인인증서의 이용이 강조되고 있는 상황이다.

반면 오픈웹 진영에서 SSL+OTP를 주장하는 이유는, 뱅킹거래도 문제지만 그 외에 전자거래에 도입하면 새로운 IT시장을 창출할 수 있다는 견해에 의해서다. 한 예로, 현재 보급이 진행 중인 IPTV는 임베디드 리눅스나 RTOS(Real Time Operating System) 등 다양한 OS를 이용하고 있어, 설치 기반 특정기술을 이용하는 공인인증서를 이용하는 것이 쉽지 않다. 따라서 IPTV를 이용한 뱅킹 서비스나 홈쇼핑 실시간 결제와 같이 전자 금융에 기인하는 서비스를 이용하기 어려운 상황이다. 아울러 IPTV 뿐 아니라 인터넷을 기반으로 한 새로운 플랫폼의 서비스가 등장할 때 마다 공인인증서 지원을 기다리느라 서비스의 활성화가 더디다는 것이 그들의 주장이다.

시대에 맞게 고치면서 이용할 것인가? 모두 새로 바꿀 것인가?
현재 공인인증서를 지지하는 진영은 행정안전부와 한국인터넷진흥원(KISA), 금융결제원 등 실질적으로 공인인증서와 연관된 부처 및 기관이라고 볼 수 있다. 반면, SSL+OTP를 주장하는 진영에는 오픈웹과 기업호민관 등 산업계에 밀접한 기관이나 단체다. 전면적으로 드러나지는 않고 있지만 많은 부처와 기관들도 양진영의 주장에 동감하면서 사태를 주시하고 있다. 대외적인 여론과 타당성이 한쪽에 무게가 실리면 따라가겠다는 모습이다. 결국 공인인증서 문제의 열쇠를 쥐고 있는 것은 나머지 부처 기관들의 의견통합이라고 볼 수 있다. 따라서 양 측 주장으로 인한 효과와 사회적 비용 등 전반적인 문제를 명확하게 해둬야 할 필요가 있다.

양측의 주장은 나름대로 일리가 있다. 그리고 시대의 흐름에 따라 변화해야한다는 것도 양측이 서로 인지하고 있는 듯하다. 한국인터넷진흥원의 한 관계자는 “그동안 이용했던 공인인증서의 구현기술에 있어서는 현 상황에 맞게 고쳐야하는 것은 내부적으로 인식하고 있으며 자바 기술이나 다른 여러 기술을 적용하는 방안을 모색하고 있다”면서 “구현기술은 시대에 맞지 않지만 기반기술은 전세계 어디에 내놓아도 문제가 없다”고 주장했다.

그러나 오픈웹 진영은 “IT기술은 시간이 지나면 물거품이 되기 때문에 공인인증서 때문에 IT서비스가 계속 지연된다면 IT산업의 활성화는 계속 지연될 것”이라고 주장한다. 따라서 기반기술을 서둘러 오픈된 기술 기반으로 이용해 IT전반적인 활성화를 이루자는 주장이다. 또한 공인인증서를 유지하는데 드는 사회적 비용이 적지 않다는 것도 강조하고 있다.

그러나 SSL+OTP을 도입했을 경우에도 나타날 수 있는 사회적 비용이 만만치는 않다. 현재 은행에서 보급하는 하드웨어 방식 OTP는 만 원 이하의 비용으로 배포되고 있기 때문이다. 물론 은행에서 구매해 우수 이용자들에게 지급할 때는 공짜로 지급하기도 하지만 전 국민을 대상으로 OTP를 이용하게 된다면 은행이 지금처럼 보급할 수는 없을 것으로 보인다. 아마 대부분은 정가에 사게 될 것이라는 것이 전문가들의 의견이다.

물론 모바일 OTP와 같이 비용이 적은 OTP기술도 있지만 금융보안연구원의 기술 자료에 따르면 스마트폰이나 휴대폰에 설치되는 SW방식의 모바일 OTP는 보안성 문제로 인해 금융거래에 사용이 부적합하다고 결론내린 바 있다. 그러나 대안이 전혀 없는 것은 아니다. 금융보안연구원은 USIM 내장 방식의 OTP는 금융거래에서도 이용이 가능하다고 전하고 있기 때문이다. 그러나 이 역시 이동통신사와 긴밀한 업무 협조가 필요하다는 데 있어 쉽지만은 않아 보인다.

[오병민 기자(boan4@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)