이제 공인증서가 아닌 '공동인증서'_기업들이 인증서시장에 뛰어드는 이유?

 

 

 

 

공인인증서 폐지와 인증서 대격변

 

작년에 공인인증서가 없어지면서 여러 민간인증서가 등장했습니다. 공인인증서는 국가가 인정한, 공식적인 지위를 가진 검증된 인증서였습니다. 하지만 공인인증서는 호환성이 부족하고, Active X 같은 여러 부가 프로그램들이 필요하다는 불편함이 있었죠. 또한 1년마다 재발급을 받아야 했으며, 공인인증서가 너무 독보적인 지위를 갖고 있어 민간인증서의 발전이 더딘 것도 문제였습니다.

 

이에 정부는 공인인증서를 폐지하고, 기존의 공인인증서는 "공동인증서"라는 이름으로 민간 업체들의 인증서들과 동등한 지위를 갖게 했습니다. 동등한 위치에서 경쟁할 수 있는 환경이 만들어지자 이후 민간인증서들이 많이 등장했습니다. 통신3사가 연합해 만든 PASS부터 카카오페이 인증서나 네이버 인증서가 대표적이죠. 은행들도 각자 인증 서비스를 갖추기도 했고, 핀테크 회사들도 인증서 사업에 속속 뛰어들고 있습니다. 이들은 각자의 서비스에 자체 인증 서비스를 활용하거나, 제휴처를 넓혀가고 있는 중입니다.

 

 

 

 

인증서는 어떤 보안 원리를 가지고 있을까?

 

공동인증서든 민간인증서든 기본적인 보안 원리는 PKI(Public Key Infrastructure)라 불리는 공개 키 기반 구조입니다.

가령 A가 인증서를 만들게 되면, A는 단 하나 뿐인 열쇠를 만들어 본인이 소유하고, 여러 기관에는 그 열쇠와 들어맞는 자물쇠들을 보내줍니다. 여기서 포인트는 열쇠는 A만 가지고 있고, 자물쇠는 이 세상 누구라도 다 가질 수 있다는 것입니다. 이후 A가 은행 같은 곳에서 '제가 진짜 A입니다'를 입증할 때, 은행에서는 '당신이 진짜 A라면 이 자물쇠를 당신이 가진 열쇠로 열어보세요'라고 요구합니다. A는 이 자물쇠를 열 수 있는 단 하나 뿐인 열쇠를 갖고 있으니, 자물쇠를 열고 신원을 인증할 수 있죠. 이렇게 동작하는 구조가 PKI입니다.

 

PKI 외에도 민간인증서를 서비스하는 기업들은 블록체인을 사용해 보안을 강화하기도 합니다. 통신3사의 PASS나 카카오페이 인증서가 블록체인을 사용하는 대표적인 사례입니다.

 

또한 FIDO(Fast Identity Online)이라 불리는 생체인식 기술을 이용해서 더욱 편리하고 빠르게 인증을 도와주기도 하죠. 지문인식이나 홍채 인식, 얼굴 인식 등이 FIDO를 사용한 기능입니다.

 

+인증의 분리, FIDO의 정체성

FIDO를 조금 정확하게 표현하면 생체 인식ㆍ인증기술이 아니라 이 기술을 활용하는 인증 방식을 분리하는 것을 뜻한다.
예를 들어 특정 사이트에 로그인할 때 우리가 비밀번호를 입력하면 당연히 사이트 서버는 이전에 저장된 비밀번호와 방금 입력된 비밀번호의 일치, 불일치를 판단한다. 그러나 FIDO는 이러한 사용자의 개인정보를 서버에 저장하지 않는다. 즉, FIDO라는 신뢰할 수 있는 잠금장치를 하나 더 추가하는 것이 핵심이다.

작동원리를 살펴보면 다음과 같다. FIDO 방식을 채택한 애플리케이션은 사용자가 계정을 생성할 때 스마트폰과 같은 개인 단말에 인증키A를, 해당 서버에 인증키B를 생성한다. 이후 사용자가 로그인을 요청하면 인증키B가 위치한 서버는 인증에 필요한 정보와 사용 가능한 인증 방법을 인증키A가 있는 개인 디바이스에 보낸다. 인증키A는 이후 사용자가 단말에 입력한 개인정보를 판단하고, 인증키B가 요청해온 정보(Challenge값, 난수)를 해석한다. 해석이 끝나면 이 두 가지 정보를 토대로 전자서명을 생성해 서버(인증키B)로 보낸다.

즉, 인증키A는 사용자가 입력한 개인정보가 일치한다는 정보만을 인증키B가 있는 서버로 전송한 것이고, 인증키B가 있는 서버는 이 개인정보를 확인하고 저장하지 않는다. 서버는 오직 받은 전자서명을 통해 적합한 사용자인지 만을 판단하는 방식의 인증을 진행한다.

이렇게 개인정보는 서버에 저장되지 않아 해킹의 위험이 적고,
개인 디바이스와 서버에서의 분리된 인증을 통해 보안성을 강화시킨 기술이 FIDO다.

 

 

 

 

 

 

기업들은 왜 인증서를 만들려고 하는 걸까?

 

① 은행 : 보안성과 전문성이 먼저! 편의성은 덤

은행들은 자체 금융 서비스들의 보안을 강화하기 위해서 인증서 사업에 뛰어들었습니다. 편의성에 초점을 맞춘 다른 업체들이 제공하는 인증서를 자칫 잘못 사용했다 보안 문제가 발생할 경우 큰 문제가 될 수 있기 때문에, 은행들은 자체적으로 엄격하게 관리할 수 있는 자체 인증서를 사용하려고 합니다.

주요 은행 앱에 핀테크 인증서가 없는 이유 - Byline Network

 

 

+시중은행들은 어떤 이유에서 핀테크 기업들이 만든 인증서 도입을 꺼리는 것일까. 가장 많이 언급된 이유는 보안이다. 주요 은행들은 모든 시스템을 보수적으로 운영하기 때문에 순간의 장애도 용납할 수 없다. 그러나 핀테크 기업들이 만든 인증서는 보안보다 편의성을 우선시하기 때문에 불안감이 크다는 것이 공통적인 이유다.

 

한 시중은행 관계자는 “사설인증서가 해킹으로부터 안전하다는 보장이 없다”며 “사실상 한 군데에서 뚫리면 도입한 시중은행 전체가 뚫린다” 설명했다. 뿐만 아니라 사고 발생 시 책임소재 또한 문제가 될 수 있다고 덧붙였다.

 

또 다른 이유는 은행들이 자체 개발한 인증서를 상용화하기 위해서다. 시중은행이 내놓은 자체 인증서는 핀테크 기업들이 만든 인증서에 준하는 편의성을 자랑한다. 생체인식, 간편 비밀번호, PIN 등으로 로그인, 이체, 계좌조회 등을 이용할 수 있다.

 

 

② 핀테크 : 플랫폼이 될거야

 

핀테크 회사들은 편의성에 초점을 두고 인증서 서비스를 만들고 있습니다. 인증이 예전보다 편하다는 것을 내세워 사용자를 모으고, 더 큰 플랫폼으로 거듭나겠다는 전략입니다. 유저를 모으고, 여러 인증 서비스와 금융 서비스가 가능한 플랫폼으로 거듭나 새로운 사업기회를 찾겠다는 것이죠.

 

+인증서비스 시장 진출의 가장 큰 목적은 인증 플랫폼을 통한 사용자 확보다.

플랫폼은 사용자와의 접점을 넓힐 수 있는 길이며 플랫폼을 가지지 못한 기업 입장에서는 매력적인 기회다.

네이버와 카카오가 온라인 기반의 다양한 서비스를 끝없이 확장할 수 있었던 것도 사용자와의 접점이 높은 플랫폼을 보유한 덕분이다.

SK텔레콤은 패스를 기반으로 통합 모바일 인증 플랫폼 전략을 세우고 있다. 본인 확인 서비스를 통해 공공기관의 온라인 서류발급 신청, 금융거래, 계약서 전자서명 등 다양한 인증 서비스로 제공하고 향후 비대면 계좌 개설, 자동이체 전자서명, 보험, 전자상거래 서비스 등 금융 서비스 시장까지 노리고 있다

 

 

 

 

③ 플랫폼 : 금융으로 확장한다

 

네이버나 카카오 같은 플랫폼 회사들은 금융 서비스로 사업 영역을 확장하기 위해 인증서 사업에 뛰어들었습니다. 유저는 이미 확보했고, 이제는 금융 서비스 전반을 자체 플랫폼에 담아서 서비스 영역을 넓히겠다는 것입니다. 인증서를 활용해 증권, 보험, 자산관리 등 고관여 금융 서비스까지 제공하며 금융까지 가능한 플랫폼으로 거듭나려는 전략입니다.

 

 

+카카오와 네이버는 단순히 인증서비스 제공을 넘어 민감한 개인 정보를 담고 있는 금융 및 공공기관의 전자문서를 받아보고 관리할 수 있는 서비스를 제공한다. 또 네이버는 디지털 인증 인프라 및 노하우 등을 자체 브라우저인 웨일 브라우저에 탑재해 인증 기술 분야에 최적화된 브라우저를 선보여 사용자들을 웨일로 끌어모으겠다는 계획이다.

 

네이버 관계자는 "향후 네이버 외 다양한 웹사이트에서 '네이버 아이디로 로그인'할 시, 한층 보안이 강화된 2중 보안 장치로 인증 서비스를 활용할 예정이다"라며 "현재 '네이버 아이디로 로그인' 서비스는 약 2만5000곳에 적용하고 있으며 인증서가 적용되면 온라인 생활 전반에서 한층 향상된 보안성을 경험하게 된다"고 말했다.

 

김민정 하이투자증권 연구원은 "기존 공인인증서로만 제공받을 수 있었던 서비스를 IT 기업이 자체 개발한 인증서로 대체하면 입영통지서, 자동차 검사안내, 주차 및 속도 위반 과태료 등의 공지를 간편결제 플랫폼으로 받을 수 있고 결제도 플랫폼 내에서 가능해진다"면서 "아이디 기반으로 인증이 가능해지면 증권 및 보험 등도 빠르게 가입할 수 있게 되고 향후 고관여 금융서비스를 확장해 종합 자산 관리 플랫폼으로 진화할 수 있는 우호적 환경이 마련된다"고 전망했다. 

 

 

 

민간인증서 성공의 핵심은 "제휴 확대"입니다.

인증서를 사용할 수 있는 곳이 늘어날수록 그 인증서의 영향력이 커지겠죠?

어떤 민간인증서가 제휴처가 늘어나는지를 보면 앞으로 누가 잘 나갈지 힌트를 얻을 수 있습니다.