[보안컬럼]공인인증서, 인터넷 창조경제 핵심 보안기술

[보안컬럼]공인인증서, 인터넷 창조경제 핵심 보안기술

웹(Web)이 발명된 당시 웹브라우저는 웹 문서를 보여 주는 창에 불과했다. 하지만 검색 기능, 멀티미디어 같은 다양한 응용 기능을 웹 자체에서 처리할 수 있는 웹표준(HTML5)이 확산됐다. 웹브라우저 시장의 주도권을 차지하기 위한 마이크로소프트(MS), 구글 등 글로벌 거대 정보기술(IT) 기업의 경쟁이 치열해지고 있다.

2000년 초 MS가 인터넷 익스플로어(IE)를 운용체계(OS)에 기본 기능으로 탑재하면서 지난 10여년 동안 웹브라우저 시장을 독점해 왔다. 그러나 액티브X 등 비표준 기술 사용으로 스마트폰 등 새로운 플랫폼 환경에서 작동이 어렵고 보안 문제를 야기한다는 지적이 나오면서 전세가 뒤바뀌고 있다. 조사에 따르면 2016년 4월 국내 구글 크롬의 이용률은 46%로, 이용률 44%에 머무른 MS IE의 철옹성을 허물었다.

글로벌 거대 IT 기업의 웹브라우저 주도권 경쟁은 우리나라 전자상거래에도 영향을 미친다. MS IE의 액티브X 환경에 최적화시킨 금융, 공공 서비스로 인해 다양한 웹브라우저에서 접속할 수 없다는 웹 접근성 문제가 2007년에 제기됐다. 2014년에는 `천송이 코트` 이슈화로 전자금융거래에서 액티브X로 구현된 각종 프로그램과 공인인증서가 창조경제 발전을 저해하는 불필요한 규제로 치부됐다. 지난해 3월 공인인증서와 보안 프로그램 설치 의무 규제가 폐지됐다.

공개 키 기반 구조(PKI)의 공인인증서 기술은 본인 확인, 무결성, 부인 방지 등 세 가지 기능을 한 번에 제공하는 강력한 보안기술이다. 미국, 독일, 영국, 일본 등 거의 모든 나라가 채택하는 ITU-T 국제표준기술이다. 다만 우리나라는 국민 다수가 이용하는 MS IE라는 특정 웹브라우저의 액티브X 프로그램에 최적화돼 서비스된다. 구글, 애플 등은 자신들의 웹브라우저에서는 돌아가지 않는 `비표준`이라고 항의하며 주도권 쟁탈의 빌미로 삼는다. 공인인증서가 보안 우수성에도 마치 액티브X와 같이 정보통신기술(ICT) 발전을 저해하는 애물단지라는 오명을 쓴다.

그동안 공인인증서는 스마트폰 등 다양한 단말기 이용을 위해 보조 프로그램을 설치해야 하는 번거로움을 야기했다. 지난해 9월부터 액티브X 등 어떠한 보조프로그램 설치 없이 이용 가능한 기술로 개발돼 시중은행 인터넷뱅킹 등에 상용화됐다. 최근에는 지문 등 생체인식을 접목, 비밀번호 입력의 불편함도 제거했다. 여기에 공인인증서 등 주요 정보를 스마트폰 유심(USIM)이나 트러스트존(Trust Zone) 같은 하드웨어(HW) 플랫폼에 보관하는 기술도 적용된다. 파밍, 스미싱 같은 신종 전자금융사기 정보 유출의 불안도 획기적으로 감소시킬 것으로 기대된다.

비대면 기반의 전자거래 특성상 정당한 권한을 가진 사용자의 여부를 확인하는 인증기술은 `보안`을 우선 고려해야 한다. `편의성`을 명분으로 절차 간소화만 강조될 경우 부정 사용, 거래 오류 등 사고 위험과 피해 규모도 커질 수 있다. 해외 간편 결제 대표 서비스 페이팔은 비밀번호 입력만으로 결제가 가능하다. 하지만 2014년 부정사용률이 0.3%로 공인인증서 등 신뢰 수단을 채용하는 우리의 0.0002%보다 무려 1500배나 높은 피해율을 보인다.

그동안 액티브X로 각인된 공인인증서가 지문, 정맥 등 생체인식 기술과 융합해 안전성을 갖추고 모바일 환경에 적합해졌다. 삼성전자, LG전자 등도 최신 스마트폰에 기본 기능으로 넣어 안전한 전자상거래 보안생태계 구축에 앞장설 계획이다.

지금도 국민 10명 가운데 6명은 공인인증서를 사용하고 있다. 우리가 오랜 연구와 노력으로 발전시켜 온 공인인증기술이 글로벌 IT 기업들의 주도권 싸움에 휘말려 스스로 평가 절하하는 것은 어리석다. 공인인증서의 태생적 보안 우수성을 살려 서비스를 개선하고, 아직 바뀌지 못한 액티브X 등 비표준 기술 의존 관행을 종식시키려는 노력이 절실하다. 이러한 노력 위에 공인인증서는 금융 등 기존 산업과 ICT의 융합을 촉진시키고, 우리나라 인터넷 환경을 글로벌 수준 또는 그 이상으로 높여 줄 혁신형 촉매제가 될 것이다.

백기승 한국인터넷진흥원 원장 ksbaik@kisa.or.kr