[정보보호/시큐리티톱뷰]<70>최운호 유엔난민기구 정보보호총괄책임자

대규모 개인정보 유출로 주민등록번호 폐지 논쟁이 뜨겁다. 규제 개혁 일순위로 공인인증서가 도마 위에 올랐다.

유엔 최고정보보호책임자(CISO) 멤버로 스위스 제네바에서 유엔난민기구 정보보호를 총괄하는 최운호 박사는 두 문제를 한꺼번에 풀 방법으로 생체인식과 공인인증서 결합을 주장했다.

최 박사는 한국정보보호진흥원(KISA), 금융결제원 등을 거쳐 2012년 국내 정보보호 전문가 중 최초로 유엔에 합류했다.

주민번호를 생체인식으로 대체하고 공인인증서를 활용해 암호화하는 방식이다. 그는 세계 100여개 나라가 지문인식에 공인인증서를 결합한 전자주민증 사업을 시작한데 주목했다.

지난해 5월 나이지리아는 지문과 공인인증서를 활용해 전자주민증 1300만장을 발급했다. 전자주민증과 운전면허증, 전자여권, 의료보험증, 연금, 교통카드, 보험 등 13가지 기능과 마스터카드 신용카드 기능을 합쳐 한 장의 카드에 담았다. 세계 40개국이 생체인증과 공인인증서 기술을 쓴 다목적 전자신분증을 준비 중이며 4분기에 사우디, 케냐, 탄자니아 등이 16~17가지 기능을 한 장에 넣은 전자신분증을 발표할 예정이다.

나이지리아에서 발급하는 전자주민증. 지문인식정보와 공인인증서를 IC칩에 저장한다.

그는 “전자주민증이 주민번호와 공인인증서 문제를 해결하고 한국에 새로운 성장동력이 될 것”이라고 주장했다. 최 박사는 “국제통신연합(ITU)이 정한 공인인증서 본래 목적은 개인·금융·생체 정보 등 최소한 두세 가지 암호 알고리즘으로 보호해 저장하고 원천정보는 공유하지 않는 인증코드만 제공한다”며 “국내는 표준과 반대로 소유자 비밀번호만 확인한다”고 지적했다.

그는 “한국은 이미 40년된 주민등록번호와 지문 데이터베이스(DB)를 보유했다”며 “공인인증서에 지문 데이터를 결합하면 각종 해킹과 개인정보 유출사고를 막을 수 있다”고 강조했다. 최 박사는 “해외는 공인인증서에 생체정보나, OTP를 혼합해 보안에 활용하는데 한국은 공인인증서만 지나치게 의존한다”고 말했다.

해외에서 확산 중인 전자주민증은 모두 국제 ISO 표준인 매칭 온 카드(Matching on Card) 방식을 쓴다. 중앙 DB와 별개로 카드 IC칩에 저장된 정보를 비교해 본인을 인증한다. 지문 등 생체정보를 공인인증서로 암호화해 다목적 스마트카드 IC칩에 저장한다. 비자·마스터카드 등이 설계한 원칙대로 IC칩 내 물리적으로 분리된 공간에 저장한다.

그는 “이미 10년 넘게 투자한 공인인증서 인프라를 버리는 건 낭비”라며 “이를 제대로 활용하고 우리 기술로 전자신분증을 개발 중인 10여개 개발도상국에 더 많은 수출 기회를 봐야 한다”고 덧붙였다. 온라인 쇼핑몰에 외국인 전용 결제 서비스를 두면 공인인증서 없이 결제할 수 있다는 제안도 내놨다.

김인순기자 insoon@etnews.com