전자서명·전자인증서
실물 신분증 없이 인터넷·모바일 환경에서 본인임을 증명할 수 있는 수단이다.
금융결제원, 코스콤, 한국정보인증, 한국전자인증, 한국무역정보통신, 이니텍 등 6곳의 공인된 기관에서 발행하는 공인인증서가 전자서명시장을 독점해왔다. 공인인증서의 우월적 지위가 폐지되면서 ‘사설 인증서’ 춘추전국 시대가 열리고 있다. 21년간 독점적 전자서명사업자 지위를 누려왔던 공인인증서 시대가 지난해 12월 개정된 전자서명법 시행에 따라 다양한 사설인증 기술이 공인인증서를 밀어낼 것으로 예상된다. 공인인증서가 사라진 것이 아니라 ‘공인인증서의 우월적 지위가 폐지된 것’으로 공인인증서만 사용해야 했던 제도가 폐지되고 공인인증서와 함께 다른 사설인증서도 사용할 수 있게 되었다
개정 전자서명법
사용자가 어떤 인증서를 사용할지 합리적으로 선택할 수 있어야 하며, 인증 기술과 절차에 보안 문제가 없도록 관리하는 내용을 담고 있다. 이용자 불편 없이 보안 위험 요소를 제거하면서 인증을 수행하도록 하는 내용이 핵심이다
사설인증서가 가능하게 된 배경
공인인증서와 관련된 논란은 보안상의 문제보다 기술에 대한 독점과 종속성의 문제가 컸다. 특정 기술과 인증기관만이 공공·금융 서비스에 필요한 인증서비스를 제공할 수 있도록 해 새로운 기술과 기업이 진입하지 못하도록 했으며, 기술의 진화에 따른 변화를 받아들이지 못해 핀테크 등 새로운 서비스가 제공되는데 방해를 했기 때문이다. 이는 기술의 문제가 아니라 정책의 문제로, 사설인증과 공인인증이 동등한 위치에서 경쟁하게 되면서 문제를 해결할 수 있게 됐다.
전자서명법 개정안이 공인인증서 자체를 폐지하는 것이 아닌 만큼, 공인인증서 진영에서도 편의성을 높인 서비스를 공개하고 고객 잡기에 나섰다. 클라우드, USIM, 브라우저 등에 인증서를 저장해 인증서 관리 불편을 해소하는 한편 노플러그인으로 인증서를 사용하도록 하는 기술도 제공하고 있다.
금융인증 서비스에 진출하는 다양한 사업자
공인인증서 대안 마련에 가장 적극적으로 나서고 있는 금융권은 금융인증 서비스를 출시하고 시장 공략에 나섰다. 이 서비스는 금융기관에서 사용할 수 있는 인증서를 금융결제원 클라우드에 보관해 개인 사용자의 인증서 관리 부주의로 인한 위협을 막을 수 있다. 한 번 발급하면 은행은 물론이고 공공기관의 본인확인 용도로도 사용될 수 있다.
통신3사가 주도하는 PASS 인증서와 카카오, 네이버도 공인인증서를 대체할 막강한 잠재력을 갖고 있다. 거의 모든 사람이 사용하고 있는 스마트폰을 이용해 간편하게 인증을 할 수 있기 때문에 편의성 측면에서 가장 높다고 할 수 있다. 이들은 특히 코로나19 대응을 위한 방문자
QR코드 서비스를 제공하면서 서비스의 안정성과 편의성을 제공하고 있다.
- PASS(패스) 가입자가 인증 업계 최초로 3천500만을 돌파함
발생가능한 문제
새로운 인증서 시장에서 강조된 편의성, 보안성을 소홀히 할 수 있다.
비대면 본인확인 절차가 소홀하다는 점을 악용해 다른 사람 명의로 통장을 개설하고 휴대폰을 개통해 대출을 받은 사고가 잇달아 발생한 바 있다. 편리한 인증 서비스로 인해 전자금융사기와 개인정보 유출 등의 심각한 피해가 발생해서는 안 되기 때문이다. 보안과 편의성 두 마리 토끼를 잡는데 성공한 인증 기술과 방법이 시급하다. 보안에 취약한 사설인증도 분명 존재하며, 인증 절차 상의 논리적 오류, 실수와 해킹으로 인한 보안사고가 발생할 수 있다.
- 지난해 비대면 계좌개설의 허점을 노려 다른 사람의 신분증으로 계좌를 개설한 후 많은 금액의 대출을 받는 사기거래가 발생
다양한 사설인증서가 난립으로 보안성을 해칠 수 있다
개정 전자서명법에서는 전자서명인증사업자가 신뢰성·안정성 있는 기술과 정책을 갖출 수 있도록 운영기준 평가·인증 제도를 도입하고 있다. 전자서명 인증 사업자가 되기 위해서는 제 3의 평가기관 평가를 받아야 하며, 인정기관인 한국인터넷진흥원(KISA)에서 인정 여부를 결정한다. 전사서명인증사업자 평가인증을 받으면 가입자의 신원확인 방법을 운영기준으로 정한 원칙 내에서 자유롭게 구성할 수 있으며, 신원확인 방법의 안전성은 평가기관이 평가한다. 현재 선정된 평가기관은 한국정보통신기술협회(TTA), 금융보안원, 안진회계법인 3 곳이며, 전자서명 인증 사업자 선정을 위한 노력을 진행하고 있다. 지난 연말정산 시 민간 전자서명을 제공했던 카카오 등 5개 사업자는 시범사업자로 선정된 것이었다.
현재 보안성 평가를 위한 업계 표준과 가이드라인이 미흡하다.
사고가 발생했을 때 누구 책임인지 책임소재가 불분명해졌다. 피해에 따른 소비자보호 이슈도 큰 문제이다. 앞으로 오픈뱅킹·마이데이터 산업 활성화로 특정 금융사 보안사고가 다른 금융사로 쉽게 전파될 수 있으며, 비대면 금융 서비스가 다양해지면서 이를 악용한 공격이 늘어날 것으로 보여 대책 마련이 필요하다.
금융결제원의 클라우드 금융인증서
클라우드 기반 금융인증서는 기존 공동인증서(구 공인인증서) 단점은 없애고 높은 보안성은 유지한 것이 특징이다.
공동인증서는 1년 마다 갱신해야 하지만 금융인증서는 이 기간이 3년으로 늘었다. 복잡한 타행 등록절차도 간소화했다. 공동인증서가 은행용과 증권용으로 분리돼 두 가지 인증서를 관리해야 하는 복잡함이 있었지만 금융인증서는 은행, 증권, 카드, 보험 등 전 금융권에서 모두 사용할 수 있다. 특수문자를 포함한 10자리 이상 비밀번호 대신 6자리 간편비밀번호나 패턴, 지문 등을 이용할 수 있어 편의성이 높다.
인증서가 개인 스마트폰이나 PC가 아닌 금융결제원 클라우드에 저장돼 보안성을 극대화했다. 스마트폰이나 PC를 교체하면 인증서 유효기간이 도래하지 않아도 갱신할 수밖에 없었는데 클라우드에 저장돼 있어 기존 유효기간까지 그대로 사용할 수 있다. 자동갱신 기능을 새롭게 부여해 평생쓰는 인증서가 될 것으로 금결원은 기대했다.
보안성을 강화한 클라우드 금융인증서 서비스
- 등록된 기관의 사이트 또는 앱에서만 클라우드에 연결할 수 있도록 제한하여 안전한 곳에서 서비스를 이용 가능
- 권한이 없는 사용자의 부정사용을 방지하기 위해 인증서의 비밀 번호를 10회 이상 틀리는 경우 클라우드 연결을 해지하고 해당 인증서를 무효화
- 클라우드에 보관된 인증서는 이중암호화 방식으로 관리되며, 고객이 인증서를 앱에 가져오는 경우 앱 내 안전영역에 암호화되어 저장
출처
https://www.datanet.co.kr/news/articleView.html?idxno=154773
https://www.datanet.co.kr/news/articleView.html?idxno=158783
https://www.fetimes.co.kr/news/articleView.html?idxno=96049
https://segye.com/view/20210823513081
https://www.etnews.com/20210713000199
http://www.kftc.or.kr/kftc/pr/EgovkftcPrDetail.do
'Daily > 신문스크랩' 카테고리의 다른 글
| 가상 데스크톱 인프라(VDI) (0) | 2021.09.15 |
|---|---|
| 고령화 사회 (0) | 2021.09.14 |
| 스마트워크센터 (0) | 2021.09.12 |
| 포스트코로나 & 뉴노멀 (0) | 2021.09.12 |
| 핀테크로 인한 금융산업의 변화 (0) | 2021.09.12 |