스마트폰 내 안전한 저장공간 `트러스트존(Trust Zone)`이 공인인증서 일병을 구할지 관심이 모인다.
한국인터넷진흥원(KISA·원장 백기승)은 연내 삼성·LG전자, 공인인증기관과 함께 스마트폰 트러스트존에 공인인증서를 저장하는 서비스를 선보인다.
트러스트존은 안드로이드 스마트폰 중 ARM칩을 쓰는 기기 내 독립적인 하드웨어 저장공간이다. 모바일 프로세서 내에서 애플리케이션을 안전하게 실행한다. 대부분 안드로이드폰은 ARM칩이 채택돼 관련 기술을 적용할 수 있다. ARM이 개발한 기술로 코어텍스A 계열 CPU에 적용됐다. 트러스트존은 CPU를 신뢰와 비신뢰 등 2개 영역으로 나눈다. 공인인증서를 신뢰 영역에 저장한다.
무엇보다 트러스트존에 저장된 공인인증서는 유효기간이 2~3년으로 늘어난다. 트러스트존을 이용하면 매년 공인인증서를 재발급 받는 불편이 사라진다. 스마트폰을 새로 구입한 후 공인인증서를 한 번만 발급받으면 갱신 불편이 없다. 트러스트존에 보관된 공인인증서는 뱅킹은 물론 결제 등 다양한 분야에 적용할 수 있다. 현재 은행 앱에 저장한 공인인증서는 해당 뱅킹에서만 쓴다. 전자상거래나 다른 은행에서 쓰려면 다시 등록해야 한다.
트러스트존은 별도 하드웨어가 필요 없고 저장과정이 간편하다. 스마트폰에서 공인인증서 저장 위치를 트러스트존으로 지정하면 된다. 공인인증서를 안전하게 보관하는 방법은 금융IC카드, 보안토큰, 유심(USIM) 등이 있다. 이들은 모두 안전한 공인인증서 저장매체로 인정돼 유효기간이 5년이지만 가입 절차 등 이유로 확산이 더디다.
공인인증서는 10여년 넓게 사용된 본인인증 인프라다. 하지만 액티브엑스를 이용하면서 보안성 문제가 불거졌다. 여기에 PC NPKI 폴더에 저장되고 복사가 쉬워 금융사기 위험에 노출됐다. 금융당국은 지난해 인터넷과 모바일뱅킹에서 공인인증서 의무 사용을 폐지했지만 은행은 여전히 사용 중이다. 이를 대체할 신뢰도 높은 차세대 인증기술이 검증되지 않는 탓이다.
향후 트러스트존에 저장된 공인인증서는 스마트폰 지문인식 등 생체인식과 연계된다. 비밀번호 입력 불편 없이 지문 등 생체정보를 인식해 공인인증서를 사용한다.
박상환 한국인터넷진흥원 전자인증산업팀장은 “트러스트존 저장 기술은 별도 장치 없이 스마트폰 내에 안전한 장소에 보관해 보안성과 함께 편리성이 높다”며 “생체인식 기술과 접목해 모바일 환경에서 간편하게 안전한 전가상거래 보안 생태계를 만든다”고 설명했다.
김인순 보안 전문기자 insoon@etnews.com
