뉴스

편리하고 안전한 공인인증서 서비스, 클라우드사인이 답 될까?

[보안뉴스 문가용 기자]

새 정부의 적폐청산 중 가장 많이 오르내리고 있는 것 중 하나가 공인인증서다. 기술적인 이유부터 정치적인 이유, ‘공인’이라는 권위적인 요소에 대한 반감부터 불신까지, 그 이유는 다양하지만 그 근간에는 ‘사용성이 지나치게 낮다’는 점이 존재한다. 거래 한 번 하고 싶어도 알 수 없는 뭔가를 계속해서 설치해야만 하고, 그 설치 과정이 부드럽게 이어지는 것도 아니라 거래를 처음부터 몇 번이고 다시 시작해야만 해서 구매 자체를 포기하게 된 경험, 누구나 한 번쯤은 있을 것이다. 

하지만 응용 소프트웨어 개발 업체인 티모넷의 윤원석 상무이사는 “인증 기술로서는 조금 억울한 측면이 있다”고 말한다. “결국은 ‘본인 입증’만 하면 되는 인증이 있고, 거래를 위해서 해야 하는 보다 심도 높은 인증이 있는데, 본인 입증만 하면 되는 서비스들이 거래용 인증을 사용하다보니 사용자들의 불만이 쌓인 감도 있습니다. 구분 없이 무분별하게 도입한 것이죠. 금융 기관이나 공공 기관에서 사용자의 키보드 보안 등을 위해 추가적인 프로그램을 따로 설치하기도 하고요. 그런 과정에서 ‘공인인증서 사용하려면 프로그램을 계속해서 설치해야 한다’는 선입견이 생겨버렸죠.”

그러한 선입견 속에서 가려진 게 있으니, 바로 우리나라의 공인인증 시스템이 사실은 세계적으로도 우수한 편에 속한다는 것이다. 한국전자인증의 안군식 본부장은 “한국의 인증 시스템이 우수 사례로 꼽힌다”며 “무조건 없앤다는 논리보다 단점들을 보완해서 계속 유지하는 편이 현명한 결정일 것”이라고 말한다. 이에는 티모넷의 윤원석 상무이사도 동의한다. “사이버 공간에서의 거래가 늘어날수록 대면하지 않고 본인 확인을 해줄 수 있는 방법이 반드시 필요한데, 기술만 평가한다면 공인인증서가 훌륭한 기술입니다. 이걸 다 엎어버리고 새로 개발하는 건 비효율적이죠. 현재도 본인 인증 수단으로서 공인인증서가 사용되는 경우가 93%이고요.”

그렇다면 가장 먼저 보완되어야 할 건 공인인증서의 그 불편함이다. 요즘은 사이버 공간 상에서 본인을 인증하는 과정이 편리하게 변해가는 게 세계적인 추세이니 정권이 바뀐 것과 상관없이(즉, 정치적 입장과 별개로) 언젠가 한 번은 짚고 넘어가야할 지점이었다. 안군식 본부장은 “안전 저장 매체(보안 토큰), 스마트 카드 등이 고안되기도 했지만, 비용 문제와 이용의 여전한 불편함 때문에 도입률은 높지 못한 상황”이라고 설명한다. “또한 하드디스크에 인증서가 저장되는 것 때문에 발생하는 불필요한 사고들을 막을 수 있는 보완책도 필요하고요.”

그래서 티모넷과 한국전자인증은 편리성과 안전성, 비용까지 해결할 수 있는 방법을 합작해냈다고 오늘 발표했다. 바로 클라우드를 이용하는 것으로, 클라우드사인(CloudSign)이라고 명명했다. 그런데 이 이름에 서비스의 모든 것이 다 들어있다. “인증서는 보안이 강화된 데이터센터에 저장되고, 이 데이터센터는 1) PC와 단말기를 연결해주는 중계서버, 2) 단말기와 사용자를 인증해주는 인증서버, 3) FIPS 140-2 레벨 3 인증을 받은 HSM(Hardware Security Module)으로 구성되어 있습니다.” 

A라는 인물이 홈텍스에서 세금관련 자료를 뽑아야 하는 경우, 홈텍스가 ‘당신이 A 맞소?’라고 먼저 묻는다. 즉 전자서명을 요청한다. 그럴 때 사용자들은 여태까지는 자신의 하드드라이브 등에 저장된 공인인증서를 선택하고 비밀번호를 입력했다. 하지만 클라우드사인을 사용한다면 사용자의 기기가 아니라 한국전자인증 내 데이터센터에 있는 HSM 내에서 전자서명이 생성된다. 그리고 이 전자서명 정보가 사용자를 거쳐 홈텍스에 전송된다. 

“즉 인증서가 개별적으로 단말기에 저장되지 않고, 따라서 여러 보안 프로그램들이 다양하게 설치될 필요가 없어집니다. 안전해지는 것도 당연하고요.” 하지만 클라우드에 인증서를 저장하는 방법은 이미 존재하고 있다. “클라우드사인의 경우 ‘서명 과정 자체가 클라우드 내에서 진행된다는 차별점을 가지고 있습니다. 그냥 인증서를 따로 클라우드에 저장했다가, 이를 불러서 단말기에서 서명을 하는 것보다 덜 취약하죠. 인증서와 서명 모두가 안전한 공간 안에서, 바깥에서는 볼 수 없도록 보관되고 진행되는 것입니다.”

단말기에 있던 ‘자산’과 ‘프로세스’를 클라우드로 옮겨 편리성과 안전성을 다잡았다면, 이제 비용 문제가 남았다. “이전 공인인증서처럼 개인 사용자의 경우 대부분 무료로 이 서비스를 사용할 수 있습니다. 대표 기기 하나에 인증서 1개를 무료로 등록하고 사용할 수 있다는 것이죠. 인증서가 여러 장 필요한 개인이나 사업자의 경우에는 가격이 책정되긴 하지만 기존 인증 서비스 사용료와 크게 다르지 않고, 올 연말까지 등록하실 경우 1년간 무료로 서비스가 제공됩니다.”

현재 이 클라우드사인은 우리가 흔히 보아왔고 사용하고 있는 공인인증서 보안 모듈에도 이식되어 있다. 또한 안드로이드 기기와 애플 기기에서도 스토어로부터 앱을 다운로드 받아 설치할 수도 있다. 기존 방법과 새로운 방법 모두 가능하다는 것. 다만 아직 애플 스토어에서는 클라우드사인 앱이 심사 중에 있다. “앱을 다운로드 받고, 휴대폰 본인 확인을 한 후 지문을 등록하면 가입 완료됩니다. 아직은 지문만을 인증 방법으로 채택하고 있는데, 홍채, 음성 등의 다른 인증 방법도 도입할 계획입니다.”

하지만 인증의 편리한 기술로서 클라우드사인이 시장에 유의미한 영향을 주려면 전자인증서를 기반으로 한 거래가 활발히 일어나는 은행, 금융기관, 공공기관 등에서 적극 도입을 해야 한다. “한국전자인증은 11월 1일 행정안전부가 주최하는 제2회 전자정부 컨퍼런스에 클라우드사인을 시연할 예정입니다.” 

경희대 컴퓨터공학과 한호현 교수는 “디지털 인증 기술이란 결국 기계와 사용자 간의 관계를 정의하는 기술”이라며 “기계를 통해 인간의 활동들이 이뤄지는 빈도수가 높아지는 시대일수록 이 관계를 명확히 정의하는 기술과 체제가 기본바탕이 되어야 한다”고 설명한다. 티모넷의 윤원석 상무이사 역시 “디지털 인증 및 서명 기술에 대한 논의는 본질적으로 공익적인 차원에서 이뤄져야 한다”며 이에 동의한다. 한국전자인증의 정경원 사장은 버리고 새 시스템을 처음부터 일구는 대신 “클라우드사인이 더 안전하고 편리한 공인인증서 사용 환경을 만드는 데 이바지하길 바란다”고 밝혔다.

[국제부 문가용 기자(globoan@boannews.com)]

몇일전에 클라우드사인이 출범한 것 같은데!

저는 저 기술과 정책에 반대입니다.

1. 공인인증서가 욕들어 먹는 이유는 복잡해서가 아니다. (본문에도 나와있듯)

공인인증서가 필요없는 곳에 공인인증서를 요구하는 것이 문제이지, 꼭 필요한 곳에서는 복잡한 게 좋다.

대체 왜 쇼핑하는데 공인인증서를 사용해서 본인인증을 해야하는지 모르겠네요.

쇼핑하는데 필요한 본인인증은 결제카드 주인 == 본인 이면 되는데, 공인인증서를 소환할 필요가 없죠.

다만, 거금이 오가는 은행업무나 사업자 관련 본인인증은 공인인증서가 필수적이죠.

2. 클라우드에서 인증을 한다는데 의미 없다.

어차피 공인인증서를 탈취당하는 사용자는 클라우드에서 해도 마찬가지.

지금의 기반도 나쁘지 않은데(액티브X를 제외하면) 굳이 저렇게 돈 낭비할 필요가 없을 것 같네요.

3. 클라우드를 사용하더라도 결국 뭔가를 설치해야 한다.

클라우드가 간편하게 만든다는데, 결국 클라우드 접속을 위한 백신이나 보안 프로그램을 요구할건데

뭣하러 저걸 쓰는지 이해할 수 없습니다...........

그냥 알아서 관리하는걸로 하면 안되나...

공인인증서는 선택적으로 사용하고, 사용 안해서 해킹당하면 고객 책임.

중요한 설정이나 일정 금액 이상은 인증서 요구, 이외는 그냥 아이디 + 패스워드.

하면 다 간단해지는거 아닌가?