[공인인증서]인터넷뱅킹과 스마트폰뱅킹 관점 공인인증서

공인인증서에 대한 논란은 스마트폰에서 공인인증서를 어떻게 지원할 것인가에 대한 논의에서 시작됐다.

물론 얼마 전 옥스퍼드, 캠브리지 대학교 공동논문 ‘On the Security of Internet Banking in South Korea'에서 한국 인터넷뱅킹에서의 문제점이 지적된 것도 영향이 있었지만, 그보다는 스마트폰에서 뱅킹서비스가 원활하지 않을 거라는 불안감이 여론과 언론에 의해 조성된 것이 공인인증서를 논쟁의 도마 위에 올린 것으로 분석한 전문가들이 적지 않다.

그렇다면 좀 더 본질적인 측면에서 스마트폰 환경과 인터넷 환경에서 뱅킹서비스는 어떤 차이가 있는지 파악해볼 필요가 있다.

일단 스마트폰 뱅킹은 스마트폰에서 뱅킹서비스를 하는 것으로, 인터넷 환경은 PC환경에서 인터넷뱅킹을 한다는 것으로 용어 정리를 하겠다. 인터넷뱅킹이라는 용어가 PC환경에서 뱅킹서비스를 이용한다는 개념으로 정착됐기 때문이다.

논란은 스마트폰에서 웹브라우저를 이용해 인터넷뱅킹을 할 수 없을 것 같다는 의미가 스마트폰에서 인터넷뱅킹을 이용할 수 없다는 오해에서 비롯됐다. 실제로 스마트폰에서는 웹브라우저를 이용해 PC처럼 인터넷뱅킹을 이용할 수는 없다. 스마트폰 웹브라우저에서는 공인인증서를 이용할 수 없기 때문이다. 그 이유는 스마트폰 웹브라우저에서 액티브엑스를 지원하지 않고 있기 때문이며, 행정안전부와 금융결제원에서 액티브엑스 대신 이용하겠다던 자바 애플릿 기술 역시 스마트폰 브라우저에서는 지원이 잘되지 않고 있다.

반면 최근 공인인증서 대안으로 제시된 SSL+OTP 기술을 이용하게 된다면 스마트폰 웹브라우저에서도 인터넷뱅킹을 이용할 수 있다. SSL은 글로벌 표준 보안 통신이기 때문에 웹브라우저 외에서 특정 기술을 이용하지 않아도 되고, 금융거래에서 이용되는 OTP는 하드웨어 방식으로 스마트폰의 자원을 이용하지 않아도 되기 때문이다.

그러나 전문가들에 따르면, 스마트폰에서 사용자의 이용 성향을 살펴보면, 웹서비스보다는 어플리케이션에 의존적이라는 분석이 많다. 웹브라우저를 실행한 후 웹사이트에 접속해 서비스를 이용하는 것보다, 어플리케이션으로 바로 서비스를 이용할 수 있기 때문이다. 게다가 서비스 제공자 입장에서도 별도의 스마트폰 전용 인터넷뱅킹 페이지를 구축해야하기 때문에, 어플리케이션 위주의 서비스를 선호하고 있다.

따라서 스마트폰 뱅킹의 경우에도 웹상에서 이용하는 것보다 어플리케이션을 통해 서비스를 개시하는 사례가 늘고 있다. 실제로 아이폰의 경우, 하나은행과 IBK은행, 신한은행 등 뱅킹서비스를 이용할 수 있는 어플리케이션을 선보였다. 대부분 공인인증서를 스마트폰으로 업로드 해 적용하는 방식이다.

은행들의 이런 경향은, 얼마 전 행정안전부는 하나의 공인인증서 만으로도 여러 은행의 뱅킹 어플리케이션에서 이용하도록 하겠다는 방침이 확정되고부터 더욱 활성화됐다. 행정안전부는 이런 스마트폰 뱅킹 활성화 정책에 따라, 4월중에는 대부분 은행에서 아이폰과 안드로이드 기반 스마트폰 등에서 이용할 수 있는 뱅킹 어플리케이션을 업로드 할 것으로 보인다. 결국 스마트폰 뱅킹에서 공인인증서를 이용하는 분위기로 전개되고 있다.

공인인증서 의무화 지속될 가능성 높아

최근 국무총리실에서는 공인인증서 의무화 규제를 완화한다는 계획을 발표했다. 내용을 살펴보면, 그동안 전자거래에서 의무화적으로 이용해야했던 공인인증서 외에도 이와 ‘동등한 보안성’을 갖추고 있는 보안수단을 허용한다는 것. 아울러 스마트폰을 이용해 30만 원 이하의 전자거래에서는 공인인증서를 꼭 이용하지 않아도 된다는 방침을 정했다.

그러나 이번 발표가 공인인증서 외에 보안 수단을 허용한다고는 볼 수 없다고 일부 전문가들은 이야기한다. 일단 ‘동등한 보안성’이라는 애매한 전제가 다른 보안수단의 족쇄가 될 수 있기 때문이다. 따라서 이번 공인인증서 발표와 관련된 부처 및 기관들이 5월까지 민관협의체를 구성해 정한다는 ‘동등한 보안성’에 대한 ‘구체적인 기준’에 귀추가 주목되고 있다. 아울러 구체적인 기준에 큰 영향을 미치게 될 민관협의체의 구성원도 관심 집중 대상이다.

현재 일부 공인인증서 관련 부처 기관들은, 이와 같은 방침이 공인인증서 의무화의 지속을 의미한다고 판단하고 있다. 공인인증서와 동등한 보안성을 가진 보안수단은 없다고 보고 있기 때문이다. 특히 이런 방침이 그동안 공인인증서에서 강조했던 부인방지의 기능을 암묵적으로 인정한 것이지 않냐하는 의견이 주를 이룬다.

그러나 향후 신규 IT산업 활성화 측면에서 이와 같은 조치는 문제가 있다고 지적하기도 한다. 물론 스마트폰에서는 30만 원 이하의 결제를 허용하기로 했지만, 이를 제외한 IPTV 등의 신규 컨버전스 서비스에서는 아직도 공인인증서의 의무화가 걸림돌이 될 수 있기 때문이다. 이에 따라 기업호민관 측은 이에 대해 반발하는 성명을 발표했다. 겉으로는 완화하는 것처럼 발표했지만 자세히 보면 전과 다름없는 방안이라는 지적이다.

이로 인해 공인인증서 논란은 ‘공인인증서와 동등한 보안성’ 기준을 마련하는 민간협의체 구성으로 넘어갈 조짐이 보이고 있다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>