12월 10일부터 본격 시행되는 전자서명법 개정안에 따른 인증서 시장 변화
금융권 중심으로 본격 시동 거는 차세대 인증서 선호도 조사결과 분석
차세대 인증서 시장의 태풍의 눈, ‘센스톤’과 ‘아톤’의 인증 솔루션 리뷰
[보안뉴스 원병철 기자] 공인인증서의 시작은 1999년 ‘전자거래기본법’과 ‘전자서명법’이 제정되면서부터다. 인터넷의 발달로 전자상거래가 뿌리내리기 시작하면서 정부가 전자상거래 활성화를 위한 기본법 체계를 구축한 것이다. 이러한 전자상거래 관련법은 전자상거래의 안전성 확보와 전자문서 및 전자서명에 법적 효력을 부여하는 것으로, 공인인증기관이 확인한 디지털 서명을 서면 상의 기명날인과 동일한 법적 효력을 부여해 전자문서에 서명과 같은 법적 효력을 인정했다. 전자상거래의 신뢰성 구축을 위해 거래자의 개인정보보호, 컴퓨터의 안전성 확보를 규정하게 된 셈이다. 이러한 전자서명법 제정은 공인인증서 등 보안 인증 분야의 본격적인 출발점이 됐다.
[이미지=Dreamstime]
공인인증서 존폐에 대한 찬반논쟁... 결국 전부개정안에 따른 폐지
전자상거래의 활성화를 위해 만들어진 공인인증서는 정부에서 인증서를 보증한다는 의미에서는 높은 평가를 받았지만, 액티브엑스(Active-X)와 함께 맞물리면서 점차 과도한 규제로 전자서명의 기술 및 서비스 발전과 시장경쟁을 저해하고, 공인인증서 중심의 시장 독점을 초래한다는 문제점이 지속적으로 제기됐다.
이에 과기정통부는 2017년 9월부터 관계부처 협의, 전문가 토론회 및 이해관계자 의견수렴을 통해 현장의 다양한 의견을 반영, 2018년 1월 22일 규제혁신토론회에서 공인인증서 제도 폐지 방침을 발표했으며, 시민단체와 법률전문가 및 인증기관 등이 참여한 4차 산업혁명위원회 규제·제도혁신 해커톤(2018년 2월 1일~2일) 및 법률전문가·이해관계자 검토회의 등을 거쳐 공인인증서 제도 폐지를 주요 내용으로 하는 전자서명법 전부개정안을 마련했다.
이번 개정안은 기존 공인인증서 제도 및 관련 규제를 대폭 폐지하고, 민간 전문기관을 통한 전자서명인증업무 평가제를 도입, 다양한 전자서명 기술·서비스가 시장에서 동등하게 경쟁할 수 있는 제도적 여건을 조성함으로써 전자서명산업 발전을 도모하고, 국민들에게 다양하고 편리한 전자서명수단을 제공하는 등 인터넷 이용환경을 개선하는데 중점을 두었다.
물론 개정안이 호평만 받은 것은 아니었다. 특히, 기존 법안을 수정해 공인인증서 자체를 없애는 것에는 찬반이 갈렸다. 공인인증서를 없애자는 측은 자유 시장 경쟁에 맡겨야 할 문제라며, 결국 금융거래 당사자의 권익을 침해하고 있다고 주장했다. 반대로 공인인증서를 그대로 사용하되 필요에 따라 수정하고 강화하자는 쪽은 공인인증서로 인한 불편함은 공인인증서 자체가 아닌 사용기관들의 문제이기 때문으로, 공인인증서는 사용자 편의에 맞춰 수정하는 것이 낫다고 주장한다. 찬반 논란이 거세던 공인인증서 폐지를 담은 전자서명법 전부개정안은 우여곡절 끝에 결국 2020년 5월 20일 국회법사위와 본회의를 통과했다.
한편, 개정안이 2018년 3월 발의된 후 쉽게 통과하지 못했음에도 불구하고, 금융권을 중심으로 공인인증서를 대체할 사설인증서, 특히 모바일인증서가 빠르게 확산되면서 사설인증서 시장은 각축장이 됐다.
전자서명법 전부개정안 통과에 따른 사용자들의 궁금증
그렇다면 이번 전자서명법 전부개정안에 따라 바뀌는 것은 어떤 것들일까? 가장 사람들이 궁금해 하는 것이 바로 ‘공인인증서가 없어질까?’하는 것이다. 결론적으로 말하면 ‘인증서’ 자체는 사라지지 않는다. 다만 정부가 지정해주는 ‘공인’이라는 제도만 사라질 뿐이다.
우선, 기존 공인인증서는 전자서명법 전부개정안이 시행되는 2020년 12월 10일의 전날(9일)까지 발행이 가능하다. 특히, 범용공인인증서는 최대 3년까지 사용이 가능하기 때문에 이론상 2023년 12월 8일까지 사용이 가능하다. 즉, 기존에 발급받은 공인인증서(현재까지 약 3,500만장 발급)는 사용연한까지 사용이 가능하다는 얘기다. 아울러 8개 공인인증서 발급기관에서 발행한 공인인증서는 각 발급기관이 심혈을 기울여 만든 인증서로서, 비록 공인이라는 이름이 사라지지만 여러 인증수단의 하나로써 계속 사용이 가능하다.
실제로 업계에서는 ‘공인인증서 제도’가 사라지는 것이지 ‘공인인증서’ 자체가 사라지는 것은 아니라고 강조했다. 실제 공인인증서 발급 기관들은 공인인증서 발급 기술력을 바탕으로 다양한 곳에 인증서 및 인증기술을 공급하고 있다.
두 번째는 바로 ‘사고가 났을 때 책임은 누가 지느냐’이다. 인증분야의 대표적인 스타트업 센스톤은 “지난 6월 위조된 신분증을 이용해 공인인증서를 발급받아 약 1억원을 사용자 몰래 대출받는 사건이 있었다”면서, “이는 공인인증서라는 단일한 환경에서 하나의 인증서로 모든 기관에 통용되는 문제점을 보여주는 사건”이라고 지적했다. “이런 문제를 해결하기 위해서는 인증의 다양화는 물론 보안에 대한 검토가 선행되어야 합니다.”
실제로 금융권에서 발생한 사건·사고는 공인인증서 자체의 문제가 아닌 개인 사용자가 개인정보 및 공인인증서 비밀번호 등 개인정보를 유출 및 노출해서 발생한 사고들이다. 문제는 이렇게 발생한 사건들에서 책임소재에 대한 논쟁, 즉 피해를 누가 보장할 것인가이다.
사실 그동안 공인인증서는 알게 모르게 기업들에게 면죄부를 줬다는 비판을 받았다. 정부가 공인한 ‘공인인증서’를 사용함으로써 인증서를 이용한 사고가 발생해도 책임으로부터 자유로워진다는 주장이다.
이에 대해 한 공인인증서 발급기업은 “글로벌 하게 인증서는 제3의 신뢰된 인증기간인 Trust Third Party에서 발급하고 있으며, 한국에서는 공인이라는 절차가 있어 인증기관에 부정적인 시각이 있지만 그것은 오해”라면서, “기업과 개인 모두에게 중립적인 인증기관이 사건 발생시 문제에 대한 객관적인 판단을 하고, 부정발급으로 인한 피해는 인증기관이 책임을 지는 것”이라고 설명했다. “법원 판례에서도 대출사고가 발생했을 때, 인증수단 외에 서비스 사업자의 확인절차는 별도라는 판결이 있습니다. 이 때문에 인증서 서비스 기업들은 본인 스스로의 책임과 의무를 갖고 안전하게 서비스해야 하고, 사용자 역시 본인의 인증수단을 안전하게 관리할 수 있도록 해야 합니다.”
차세대 인증서 기업 코리아엑스퍼트도 “공인인증서 제도가 폐지됨에 따라 기업에서 사고발생의 책임에 부담이 커진 것은 사실이지만 사용자가 쉽게 인증관리를 할 수 있는 보안체계에 대해 생각할 수 있는 기회가 됐다”고 설명했다. “지금껏 인증서 이슈들은 인증서가 뚫려서 발생한 사고보다는 사용자의 인증서 암호 암기, 주기적 변경의 불편함, 인증서 기간 갱신과 관리 문제, 각종 관련 프로그램 설치 등이 더 문제였다고 볼 수 있습니다. 이에 암기할 필요가 없는 인증서 암호로 편의성을 제공하거나 인증시마다 고정되지 않는 암호를 사용하는 등 보안성을 갖춘 환경을 제공하는 것이 더 중요하다고 생각합니다.”
금융권 중심으로 시동 거는 차세대 인증서들
그렇다면 공인인증서 이후 사설인증서들은 얼마나 등장했을까? 전자서명법 전부개정안에 따르면 기존 공인전자서명과 사설전자서명을 모두 ‘전자서명’으로 통합하고, 차별을 없애(안 제2조) 다양한 전자서명 수단들이 동등하게 경쟁할 수 있는 여건을 만들었다. 즉, ‘공인’이란 이름이 주는 ‘우월적 지위’를 없애 모든 전자서명이 시장에서 경쟁할 수 있도록 하겠다는 의미다. 실제로 전자서명법 전부개정안이 발의(2018년 3월)된 후 시장에는 다양한 차세대 인증서들이 등장했다.
차세대 인증서들이 가장 활발한 활동을 보이는 곳은 바로 금융권이다. 특히, 2018년 8월 은행권은 공동 인증서인 ‘뱅크사인(Bank Sign)’을 발표하고 KB국민은행과 우리은행, 신한은행 등 국내 대표 은행 16개가 공동으로 사용하기로 하면서 큰 이슈가 됐다. 다만 뱅크사인은 아쉽게도 큰 성공을 거두지 못했지만, KB국민은행과 IBK산업은행 등 몇몇 은행들은 자체 인증서를 사용하며 사설인증서 활성화에 앞장서고 있다.
KB국민은행은 지난 2019년 7월 15일 공인인증서를 대체할 자체 인증서인 ‘KB모바일인증서’를 발표했다. 회원가입부터 신규가입까지 모바일에서 진행할수 있도록 한 KB모바일인증서는 기존 보안카드나 OTP(One Time Password)를 대체할 수 있는 것은 물론 사용자 선택에 따라 패턴, 지문, 페이스ID 등을 사용할 수 있도록 했다. 특히, 공인인증서의 가장 불편한 점 점 가운데 하나인 인증서 유효기간을 없애서 사용자가 삭제하지 않으면 계속 사용이 가능하도록 한 것이 특징이다.
KB국민은행은 KB모바일인증서가 스마트폰의 안전 영역에 발급 및 저장되어 탈취 및 복제가 불가능하다고 강조했다. 이를 위해 젬알토의 자회사이자 모바일 애플리케이션 보안전문기업 영국 트러스토닉의 TAP(Trustonic Application Protection) 솔루션을 적용했으며, 인증서의 유효성과 비밀번호를 검증하는 알고리즘은 자체기술로 개발해 안정성과 보안성을 강화했다고 밝혔다.
IBK기업은행은 새로운 모바일 플랫폼 ‘i-ONE Bank’를 출시하고 자체 모바일 인증서를 사용한다고 밝혔다. i-ONE Bank 역시 KB모바일인증서와 마찬가지로 1개의 앱에서 모바일인증서를 발급받은 다음 i-ONE Bank 서비스를 이용할 수 있으며, 입출금통장 개설부터 상품가입과 카드 서비스, 가계부까지 하나로 가능하다. 또한, 스마트폰의 생체인식을 이용한 앱 로그인과 인증 비밀번호를 이용한 간편한 서비스 이용도 i-ONE Bank만의 특징이다. 특히, i-ONE Bank는 최근 광고에서도 강조하듯 6자리 비밀번호로 기존 공인인증서와 보안카드, 휴대폰 인증과 신규비밀번호를 모두 대체할 수 있다고 강조하고 있다.
신한은행은 모바일뱅킹앱 ‘쏠(SOL)’과 인터넷뱅킹을 이용할 수 있는 ‘쏠 패스’ 서비스로 사설인증서를 사용할 수 있도록 했다. 쏠 패스는 공인인증서 없이도 로그인을 할 수 있는 서비스로 QR코드를 통해 로그인에 접속할 수 있으며, 스마트폰의 공인인증서나 지문, 패턴 등을 이용해 인터넷뱅킹에 로그인할 수 있다.
케이뱅크는 아톤(ATON)과 손잡고 모바일인증 솔루션을 공급하고 있다. 아톤이 케이뱅크에 공급하는 모바일 인증 솔루션은 아톤의 대표적인 핀테크 보안 솔루션인 ‘아톤 엠세이프박스 보안 솔루션’으로, 특히 화이트박스 암호화 기술을 적용해 기존 하드웨어 기반의 보안매체와 동일한 보안 수준을 지원한다. 아톤은 KB국민은행과 NH농협은행, KB증권 등 다수의 금융기관에 소프트웨어형 보안매체 솔루션을 공급했으며, 지난 5월에는 신한베트남은행과 모바일OTP 공급 계약을 체결했다고 밝혔다.
2년 만에 1,000만 고객을 유치한 카카오뱅크는 금융권에서 공인인증서를 걷어낸 주역이다. 서비스 시작부터 자체인증서와 모바일기기의 생체인식, 패턴 등을 사용하면서 금융서비스를 제공했고, 그 편리성이 고객에게 인정받으면서 현재 금융권의 사설인증서 바람을 불러왔다. 공인인증서를 사용하지 않으면서도 지금껏 큰 사고 한 번 없었다는 사실로도 자체인증서의 보안을 증명했다고 볼 수 있다.
통신3사는 지난 4월 본인인증 공동 브랜드 ‘패스(PASS)’ 앱 기반 ‘패스 인증서’를 출시하고, 차세대인증 서비스 시장에 본격 진출했다. ‘패스 인증서’는 ‘패스’ 본인인증 앱과 연동되는 사설인증서로, 공공기관의 각종 본인 확인, 온라인 서류 발급 신청, 금융거래, 계약서 전자서명 등에 간편하게 이용할 수 있다. ‘패스 인증서’는 기존 공인인증서나 금융권 앱 이상의 높은 보안 수준을 자랑한다. 백신 프로그램과 보안 키패드, 위변조 방지 기술, 인증서를 휴대전화 내 보안 영역에 저장하는 WBC(White Box Cryptography) 기술 등을 적용해 고객의 개인정보를 안전하게 보호한다. 통신사 인증서버와 인증서 플랫폼 간의 전용 네트워크를 이중화하고 통신 구간의 보안도 강화해 외부 공격에 대비했다.
금융권 중심으로 모바일 등 인증방식 변화
차세대 인증서가 등장하고, 금융권에서 활발하게 활용되면서 또 하나 변화한 것이 있었으니 바로 인증방식의 변화다. 과거 공인인증서는 PC나 USB 등 휴대용 저장장치에 저장하고 ‘비밀번호’를 이용해 사용했다. 하지만 스마트폰이 등장하면서 공인인증서도 스마트폰에 저장할 수 있게 됐고, 비밀번호 역시 스마트폰의 기능인 지문이나 홍채, 얼굴 등 생체인식을 활용할 수 있게 됐다.
실제로 업계에서는 이러한 변화가 사회의 흐름이며 당연한 수순이라고 보고 있다. 통신3사의 패스(PASS)를 비롯해 다양한 금융기관에 솔루션을 공급한 아톤은 “사용자들이 항상 소지하고 다니는 모바일 디바이스에 최적화된 인증서 및 인증수단으로 확대되는 것은 기존 공급자에서 소비자 중심으로 인증서의 서비스 방향이 바뀌는 자연스러운 현상”이라면서, “결국 서비스를 이용하는 소비자가 편리하고 안전한 전자서명 서비스와 더불어 사용자를 인증하는 다양한 생체인증 등의 수단도 확대될 것”이라고 강조했다.
공인인증서 발급기관인 한국전자인증은 “공인인증서를 발급받을 때 모바일에서 먼저 발급받고 다시 PC로 인증서를 이동하는 경우가 반대의 경우보다 훨씬 많다”면서, “한국전자인증의 파이도 생체인증 트랜잭션도 누적 8억 1,000만건, 월 5,000만건이 발생할 정도로 많다”고 설명했다.
또한, 이니텍은 “인증수단이 모바일화되는 것은 사회의 흐름이지만, 인증방식에 대한 보안성과 편의성은 물론 확장가능성도 염두에 두어야 한다”고 설명했다. 마치 SSO(Single-Sign On)가 한 번의 인증으로 여러 서비스를 활용할 수 있는 기능을 제공하는 것처럼 모바일 앱과 모바일 웹, 오프라인 등 다양한 환경에서의 인증 역시 한 번에 동기화되어 서비스를 제공할 수 있어야 한다는 것이다.
대기업들의 차세대 인증서 산업 진출
차세대 인증서 시장이 활발해지면서 생긴 큰 변화 중 하나는 바로 대기업들의 인증서 시장 진출이다. 우선 앞서 소개했던 통신3사는 패스(PASS)를 통해 차세대 인증서 시장에 등장했다. 또한, 카카오의 카카오뱅크 역시 자체인증서로 금융서비스를 제공하고 있다. 네이버 인증서는 네이버 자체 서비스는 물론 네이버 고지서나 보험, 쇼핑몰 등 다양한 사이트에서 활용되고 있다.
문제는 이들의 등장이 기존 중소기업 중심의 인증기관 및 인증기업에게 적지 않은 부담으로 다가왔다는 사실이다. 기존 인증기관의 관계자는 “예를 들어 통신3사의 본인확인 서비스를 중심으로 한 독점적 서비스가 전자서명과 만나는 것이나 네이버와 카카오 같은 관계사가 많은 기업들의 전자서명 서비스 제공은 공정한 경쟁 환경이라 보기 어렵다”는 지적을 했다.
물론 지적만 있었던 것은 아니다. 업계의 한 관계자는 “대기업들이 자사가 보유한 플랫폼을 중심으로 한 전자서명 서비스에 진입하고 제휴사 확대에 집중하면서 경쟁이 치열해진 것은 사실”이라고 말했다. “하지만 기존 공인인증서의 불편함 때문에 전자서명을 이용하지 않았던 디지털 취약계층이 사용이 편리한 새로운 인증서를 이용해 시장이 확대되고, 인증서 활용 영역이 넓어지는 효과도 있다고 본다”며 희망적인 해석을 내놓았다. 또 다른 기업 관계자 역시 “대기업들이 준비하는 영역에서도 분명히 빈공간은 있을 수 있다”면서, “이번 전자서명법 전부개정안 역시 우리 일상에 다양한 인증기술을 적용할 수 있는 좋은 기회임에 틀림없으며, 인증기업들도 간편하고 안전한 기술을 개발하다보면 분명 좋은 기회가 올 것”이라고 판단했다.
한편, 업계에서는 대기업 등 다양한 기업들이 차세대 인증서 시장에 진입한 이유로 인증시장의 확대를 꼽았다. 기존 공인인증서가 전자결제를 위해 만들어진 후 현재 공공과 금융권을 중심으로 사용됐다면, 이제는 전자신분증은 물론 자율주행차 등 IoT 기기와의 인증에서도 사용될 만큼 인증서의 사용처가 폭발적으로 늘어날 수 있다는 것이다. 이에 업계에서는 그다지 큰 산업이 아닌 인증서 산업에 대기업 등이 진출한 것은 결국 다른 산업에 활용하기 위한 전초기지라는 판단을 하고 있다.
[차세대 인증서 선호도 조사결과]
사용자들 “차세대 인증서도 결국 ‘보안’이 가장 중요해”
▲차세대 인증서 선호도 설문조사[자료=보안뉴스]
그렇다면 실제 사용자들은 이번 전자서명법 전부개정안 통과에 따른 공인인증제도 폐지에 대해 어떻게 생각할까? <보안뉴스>와 <시큐리티월드>가 독자 1,392명을 대상으로 한 ‘차세대 인증서 선호도 설문조사’에 따르면, 응답자의 38.8%는 “믿고 쓸 수 있는 다양한 차세대 인증서가 활성화된 것 같아 좋다”고 환영했다. 다만 응답자의 32.1%는 “공인인증서의 자리는 결국 다른 인증서가 차지할 뿐, 사용자 선택권이 없는 것은 여전히 똑같다”며 소비자가 차세대 인증서를 선택할 수 있는 권리를 아쉬워했다.
가장 많이 사용해본 차세대 인증서는 통신3사의 패스(PASS)로 응답자의 49.4%가 사용해 봤다고 답했으며, 카카오페이 인증이 24.6%로 뒤를 이었다. 또한 네이버 인증(9.7%)과 토스(6.7%)도 많은 사용자들이 사용해 봤다고 답했다. 아울러 사용해본 차세대 인증서의 편의성과 보안성에 대해 묻는 질문에는 절반 정도인 44.8%가 편의성과 보안성 모두 좋았다고 답했다.
앞서 설명한 것처럼 사용자들은 직접 차세대 인증서를 선택할 수 있는 권리를 원했는데, 응답자의 48.3%는 생체인식 방식의 차세대 인증서를 사용하고 싶다고 답했다. 두 번째는 16.6%의 사용자가 OTP(One Time Password)를 선택했는데, 주로 2차 인증으로 사용되는 OTP에 대한 사용자 선택이 높다는 결과는 많은 것을 시사해 준다.
특히, 응답자의 76.3%는 2차 인증의 필요성에 대해서도 ‘필요하다’고 답변하고, 차세대 인증서에게 ‘보안성’과 ‘편의성’ 중 어느 부분이 더 중점이 두어야 할까?라는 질문에도 보안(59.5%)을 선택한 사용자가 절반이상이었을 만큼, 사용자도 인증서의 ‘보안성’을 우선한다는 점을 보여 줬다.
차세대 인증서 시장을 리딩하는 기업
센스톤(Ssenstone)
센스톤의 인증제품은 크게 2가지다. FIDO1.0, FIDO2 모두 자체 기술로 인증을 받고, 생체인증과 보안PIN, 패턴, mOTP 등의 현존 인증기술을 사용자에게는 선택적으로 쓸 수 있도록 했다. 시스템 운영 측면에서는 통합인증으로 공급되는 스톤패스(StonePASS)와 단방향 다이내믹 코드 인증 기술인 OTAC(One-Time Authentication Code)가 있다. 특히, OTAC은 국민연금공단에 적용됐으며, KB은행에서 POC를 진행했다. 또한, 해외에서는 기술을 기반으로 한 다양한 사업 모델로 성공적으로 진출해 현재 가시적인 성과를 나타내고 있다. OTAC 기술은 글로벌 특허 포트폴리오(글로벌 특허 115개 이상)가 강력하게 구성돼 있다. 아울러 센스톤은 OTAC 기술로 아기유니콘200 육성사업 최종 평가에서 최고의 성적을 받았다.
아톤(ATON)
아톤은 금융권에 공급하고 있는 PKI 기반 사설인증서뿐만 아니라 통신3사와 공동으로 PASS인증서를 제공하고 있다. 이들 인증서에는 아톤이 자체 개발한 소프트웨어형 저장매체(SE) 기술이 적용돼 안전성이 보장되며, 기존 하드웨어 보안매체(OTP 토큰, 보안카드 등)를 대체해 편리한 비대면 서비스를 제공할 수 있다. 특히, PASS 인증서는 국내 통신사 고객에 제공하는 본인확인 서비스 ‘PASS’ 앱 내에서 이용할 수 있는 전자서명 서비스로, 2020년 6월 현재 약 1,500만 건이 발급됐다. 국내 인증 플랫폼 중 가장 많은 발급 건수를 보유하고 있으며, 연내 1,800만 건 이상 발급을 예상하고 있다. PASS 인증서는 방통위 지정 본인확인 기관이 제공하고 있는 전자서명 서비스로 실시간으로 전화번호, 명의인증, 기기인증, 인증서 유효성 검증, 서명검증을 하는 유일한 인증서 서비스다.
이니텍(Initech)
이니텍은 지난 2018년 6월 공인인증기관으로 지정되면서, 공인인증 서비스의 구축 및 운영경험을 가지고 있다. 공인인증서와 사설인증서는 기술적으로 동일한 구조를 가지고 있기 때문에 이니텍은 앞으로의 사설인증서 서비스에 있어서 가장 최신의 구축 노하우와 보안성, 성능, 기능 등이 검증된 인증서 솔루션 관련 사업 역량을 보유하고 있다. 현재 이니텍 사설인증 솔루션은 금융사 및 엔터프라이즈 그룹사 대상의 내부 업무용 사설 인증 서비스에 적용·운영되고 있으며, 향후 확대되는 사설인증서 시장에 대응하기 위해 금융권, 공공 및 일반기업 대상 차세대 사설인증 솔루션 개발 및 사설인증 구축사업에 참여하고 있다.
코리아엑스퍼트(KoreaExpert)
코리아엑스퍼트는 기존 공인인증서의 단점을 개선하고자 2020년 OTID 기술에 PKI 기술을 접목한 ‘PKID’를 출시했다. PKID는 간편인증뿐만 아니라 전자서명, 부인방지 기능까지 올인원(Allin-One)으로 제공하는 사설인증 솔루션이다. 기존 공인인증서가 폐지된 이유 중 하나는 사용자가 인증서를 발급받고 암호를 외워서 사용할 때마다 기억해야 했고, 일정 기간이 지나면 갱신을 해야 했기 때문에 힘이 들었다는 점이다. PKID는 개인키를 암기하지 않고 일회용 코드로 인증이 된다는 특장점으로 기존 공인인증서의 기술적 안전성을 유지하고 사용 편의상의 문제점을 한 번에 해결했다. 또한, PKID는 도입사나 사설 기관에서 기존의 인증서 로그 관리부터 법적 증빙에 대한 안전성을 보장한다. 최근 여러 기업에서 공인인증서를 대체할 차세대 방안으로 PKID 도입을 활발히 협의 중이다.
한국전자인증(CrossCert)
한국전자인증의 공인인증서는 클라우드에 발급 및 저장해 사용할 수 있다. PC, 스마트폰, 휴대기기에 인증서를 각각 발급하거나 이동할 필요 없이 클라우드에 두고 계속 사용하는 방식이며, 3년과 5년 등 장기로도 발급이 가능하다. 또한, 글로벌 인증서는 브라우저와 완벽히 호환되어 별도의 프로그램 설치 없이도 사용이 가능하고, 외국기업의 국내기업과 거래에도 호환성이 뛰어난 인증서다. 한국전자인증의 차세대인증서 ‘ManagedPKI’는 공인인증서와 동일한 시설규격, 보안규격을 준수하고, 글로벌인증심사인 ‘Webtrust Audit’을 받은 서비스다. 일부 사설인증기관들이 이러한 글로벌 Audit 받지 않고 있는데, 한국전자인증은 매년 심사를 받고 있다. 특히, 1회용 인증서와 한 달 인증서, 인증서+부가서비스를 구현할 수 있는 인증시스템이다.
[차세대 인증서 시장의 태풍의 눈-1. 센스톤]
센스톤의 글로벌 특허 115개의 원천기술 ‘OTAC(One-Time Authentication Code)’
해외에서 인정받은 기술을 코로나19 대응을 위해 대한민국 정부에 기부합니다!
센스톤은 원천기술을 직접 보유하고 있는 인증보안 기술 스타트업이다. 그것을 증명하듯 글로벌하게 115개 이상의 특허를 보유하고 있으며, 그 어렵다는 미국 특허등록까지 받았다. 최근 이 회사는 한국 스타트업 최초로 ‘The EUROPAS 2020’과 ‘CyberTech 100’, 유엔(UN)이 설립한 익스트림테크챌린지(Extreme Tech Challenge, XTC)의 최종 파이널리스트에 선정되는 성과를 거뒀다. 특히, XTC는 영국 스타트업 자격으로 선정된 2개 기업 중 한국계 스타트업으로는 유일하게 선택됐다. 국내 역시 최근 정부가 추진하는 ‘K-유니콘 프로젝트’를 통해 기술·사업성을 평가하는 ‘아기유니콘’에서 최고 성적을 받으며 1위로 선정되었고, 중소벤처기업부의 ‘기술개발혁신사업’에도 최종 선정됐다.
▲단방향 다이내믹 코드 인증 기술 OTAC[자료=센스톤]
센스톤이 원천기술과 특허에 대해 강조하는 이유가 있다. 첫 번째는 신기술에 대해서 원천기술을 직접 보유하고 이를 직접 개발한 개발자들이 있어야만, 기술에 대한 안정적인 지원이 가능하기 때문이다. 두 번째는 기술을 적용한 고객을 보호할 수 있다는 점이다. 원천기술을 비즈니스에 적용할 경우 발생할 수 있는 타기업의 특허 침해 문제를 근본적으로 막는데, 이 보호막이 없다면 기술을 적용한 고객도 국내외 할 것 없이 특허 소송의 대상이 되기 때문이다.
이런 이유로 특허 포트폴리오가 약할 경우, 기술의 해외 진출은 꿈도 꾸지 못하게 되는 것이다. 센스톤의 OTAC(One-Time Authentication Code) 기술은 OPT(One Time Password)와 매우 유사하지만, 그동안 불가능하다고 한 몇 가지 다름을 가지고 있다. OTP는 2차 인증용으로만 사용이 가능할 뿐이고, OTAC은 단독으로 1차 인증용으로 사용이 가능하다. 즉, OTP를 1차 인증용으로 사용할 경우 시스템은 사용자를 바로 인지할 수 없고, 더 큰 문제는 다른 사용자와 중복되는 경우가 나온다는 것이다. 그러나 OTAC는 1차 인증용으로 쓰이면서 통신 없이 만들어진 다이내믹 랜덤 코드만으로 사용자를 바로 식별하고, 다른 사용자와 중복될 확률이 0%인 기술이다.
더욱이 이 알고리즘 코드의 사이즈는 4KB 미안이기에 반도체 칩 레벨에도 올라갈 수 있다. 그래서 올해 7월에는 이 OTAC 기술이 탑재된 디지털카드가 출시된다. 이 카드는 플라스틱 카드 사이즈에 EMV 칩과 NFC 칩, 지문센서, ePaper 디스플레이의 하드웨어 구성을 가지고 있으며, 통신이 안 되는 이 디바이스에서 지문센서에 손가락을 대고 아무 NFC 기기에 카드를 대면 다이내믹 카드번호 또는 ID번호가 생성된다. 즉, 배터리가 내장되어 있지 않으며, 통신되지 않는 환경의 디바이스에서 토큰과 같이 쓰일 수 있는 OTAC가 생성된다. 이렇게 디지털카드를 사용하지 않을 경우에는 스마트폰에서 다이내믹 카드번호를 생성해서 바로 사용할 수 있다.
이 기술은 국내에서는 제주특별자치도개발공사의 VMI 솔루션에 내재화돼 적용됐으며, 글로벌하게는 인도네시아 월렛 서비스에 다이내믹ID, 스마트그리드의 토큰 등으로 적용됐다. 또한, 유럽의 은행과 자동차 회사들과도 공동개발을 위한 진행이 이루어지고 있다. 기존 인증기술은 하나의 방식으로 표의 조건을 모두 만족시키지 못한다. 그래서 다중으로 섞어 사용하게 되는데, OTAC는 단독으로 조건을 모두 만족하는 기술이다.
특히, 최근에는 정부에서 추진하는 DID 표준화 정책과 코로나19의 확산에 대응하기 위한 기술로 제안하고 있다. DID 환경에서는 주민번호나 운전면허 번호를 정 값이 아닌 OTAC 기술로 다이내믹 코드를 전달하게 할 수 있고, 코로나19 환경에서는 전자출입명부에 사용이 가능하다. 다음 그림은 현재의 전자출입명부방식과 OTAC를 적용한 특허출원 된 방식을 비교한 것이다.
현재의 방식은 QR 발급회사가 매번 QR코드를 생성해서 전송하며, 이를 일정기간 무조건 보관해야 한다. 그러다 보니, 시스템의 부하가 많이 발생하게 되고, 심지어는 통신이 안 되는 곳이 많은 해외 다른 국가에서는 사용이 어려울 수 있다.
그러나 센스톤의 기술은 현재 방식처럼 한번 등록하고 난 후에는 앱을 지원하는 회사에서는 사용자와 별도의 트래픽이 전혀 발생하지 않는다. 유창훈 센스톤 대표는 “우리 회사는 창업단계부터 우리나라 정부의 도움을 많이 받으면서 성장했습니다. 그래서 이런 어려운 시기에 의미 있는 기술을 대한민국 정부에 무상으로 기부하기로 회사 전 멤버들과 함께 결정했습니다”라며, 기술기부 의사를 밝혔다.
[차세대 인증서 시장의 태풍의 눈-2. 아톤]
‘가장 쉽게, 더 혁신적으로’ 전자서명 시장을 재편하고 있는 핀테크 보안기업 아톤(ATON)
WBC기반 강력한 저장매체 기술로 차세대 보안·인증시장 이끌 것
아톤은 1999년 설립해 20년간 모바일 금융 서비스 개발에 집중하며, 금융 서비스에 IT 및 보안·인증을 접목시키면서 핀테크를 견인해온 회사다. 설립 이후부터 모바일 중심의 금융거래를 원활하게 지원하는 보안·인증 서비스를 개발하고 금융사에 제공하면서 모바일 기반 금융 솔루션 시장에서 선두기업으로 자리매김하고 있다. 수년간 축적된 금융 IT 서비스 경험과 기술력으로 정부의 보안·인증 규제와 발맞춰 서비스 개발을 하고 있으며, 핀테크 보안이라는 새로운 시장을 리드하기 위해 다각도로 노력 중이다. 한편, 아톤은 2019년 10월 코스닥 시장에 상장했다.
▲‘가장 쉽게, 더 혁신적으로’ 전자서명 시장을 재편하고 있는 핀테크 보안 기업 아톤[이미지=아톤]
5,000만 통신 가입자를 위한 차세대 전자서명 서비스 ‘PASS 인증서’
PASS는 통신3사(SKT·KT·LGU+)와 아톤이 공동으로 제공하고 있는 전자서명 서비스로, 휴대폰 번호만으로 공인인증서를 대체해 사용자 인증이 가능하다. 통신사 본인확인 서비스 ‘PASS(패스)’ 앱 내에서 이용이 가능하며, 별도 앱을 설치할 필요 없이 빠르고 간편하게 발급받고 공인인증서의 복잡한 비밀번호 대신 6자리 PIN번호나 생체인증만으로 전자서명이 필요한 곳이라면 언제 어디서나 이용할 수 있는 간편인증 서비스다.
패스 인증서는 위조불가, 부인방지 기능 등을 제공하며, 금융권 수준 최상의 보안 솔루션을 탑재해 인증서 갱신 주기도 기존보다 연장된 3년을 지원한다. 강력한 보안과 간결한 이용 프로세스를 통해 공공·금융·의료·교육기관 등에 로그인, 보험·청약·대출 계약, 자동이체 출금 동의 등 전자서명이 요구되는 모든 곳에 적용이 가능하다. 안정성과 사용 편의성은 물론, 5,000만 통신 고객을 대상으로 범용성까지 갖춘 전국민을 위한 차세대 전자서명 서비스다.
스마트폰 내 특수보안 영역 통한 강력한 정보보호 ‘엠세이프박스(mSafeBOX)’
그 동안 사용자가 공공·금융·의료·교육 등의 서비스를 이용할 때, 사용자 인증 및 전자서명을 위해 공인인증서 발급이 요구됐으며, 이를 위해 ActiveX 등의 추가 보안 프로그램을 설치해야 해서 사용자에 상당한 불편함을 초래했다. 또한, 산업은 점차 스마트폰 중심으로 진화하는데, 공인인증서 등은 여전히 PC기반의 서비스를 제공했다.
아톤은 스마트폰 앱의 일반 실행 영역과 분리된 특수 보안 영역을 구현, 외부의 악의적 침입을 원천적으로 차단하고 모바일 기기 안에서 로그인·사용자인증·전자서명·결제 등의 서비스를 안전하게 실행할 수 있도록 국내 최초 소프트웨어 기반 시큐어 엘리먼트(Secure Element, SE)인 엠세이프박스를 개발해 출시했다. 이는 기존 금융 거래 시 사용했던 보안카드, 토큰형 OTP 등 별도의 하드웨어형 보안매체가 아닌 소프트웨어 방식의 SE로, 화이트박스 암호화 기술(White-Box Cryptography, WBC)을 통해 중요 키와 알고리즘을 안전하게 보호한다.
아톤 엠세이프박스는 스마트폰, 태블릿, PC 등 모든 단말기에 적용이 가능하며, 운영체제(OS: Operating System)의 영향을 받지 않아 폭넓은 커버리지를 제공한다. 강력한 보호 기능을 기반으로 금융, 통신, 공공분야에서 널리 이용 중이다.
모든 비대면 인증 가능한 사설인증 서비스 ‘엠피케이아이(mPKI)’
아톤 엠피케이아이는 공인인증서를 대체하고 자체 전자서명 체계를 갖추기 위해 금융기관에서 주로 도입하고 있는 사설인증 솔루션이다. 아톤의 저장매체 기술을 통해 인증서를 안전하게 발급하고 관리하여 인증서 탈취 또는 복제를 원천적으로 차단하며, 특수 보안 환경에서 암호화를 수행하고 인증서 알고리즘 등을 실행해 보안 수준을 향상했다.
기존 공인인증서의 복잡한 프로세스를 대폭 개선해 간편 비밀번호 또는 생체인증으로 전자서명이 가능하며, 간편하지만 강력한 보안으로 인증서 유효기간도 최대 3년까지 지원해 사용자 편의성을 개선했다. 또한, 주식 거래 시 중요한 속도를 고려해 축약서명 기능도 추가해 고객의 통합 사설인증 시스템 구축을 지원하고 있다.
아톤의 PKI기반 사설인증 솔루션은 금융을 비롯한 산업 전반에 걸쳐 비대면 채널과 서비스에 특화된 인증 및 전자서명을 제공한다.
보안 강화 위한 2중 인증 보안장치 ‘엠오티피(mOTP)’
아톤 엠오티피는 금융거래와 결제, 웹사이트 로그인 등의 서비스를 이용할 때, 스마트폰 내에서 일회용 비밀번호(One-Time-Password)를 생성해 간편하고 빠르게 사용자를 검증할 수 있는 다중 인증(Multi-factor Authentication) 솔루션이다. 기존의 보안카드나 토큰형 OTP 정보의 탈취로 인한 보안 취약성과 항상 소지해야 하는 불편함을 보완함으로써 모바일에서 OTP를 생성하고 자동으로 입력되도록 설계해 간편성을 향상했다. 모바일 기기 내 분리된 특수 보안 영역에서 OTP가 생성돼 높은 보안성을 보장하는 동시에 사용자 편의성을 극대화했다.
국내외 은행 및 증권사 등 금융권뿐만 아니라, 일반 서비스 및 게임사 등에서도 아톤의 OTP 솔루션을 도입해 고객 중심의 서비스를 제공하고 있다. 또한, OTP 기술의 보안성을 인정받아 국내 금융기관의 최고 이체한도를 보장한다.
모바일 보안 넘어 사물인터넷(IoT) 보안까지 섭렵
아톤은 모바일 보안뿐만 아니라 스마트홈 및 사물인터넷(IoT: Internet of Things) 서비스의 보안 강화를 위한 암호모듈 ‘아이세프박스(iSafeBOX)’를 개발해 지난달 출시했다. 근래 국내외 IoT 기반 서비스의 해킹 사례가 빈번히 발생하면서 IoT 보안에 대한 관심이 높아지고 있는 가운데, 특히 신축 아파트를 중심으로 스마트홈 시스템을 도입한 단지들의 정보를 보호하고 보안 취약성을 보완할 수 있도록 솔루션을 설계했다.
아톤의 아이세이프박스는 WBC 기술을 활용해 암호화키의 안전한 생성 및 보관을 비롯해, 암호 알고리즘 실행 등이 노출되거나 탈취당하는 것을 원천적으로 방지한다. 또한, 월패드 및 IoT Hub 제조사에서 주로 사용하는 안드로이드, Mbed Linux 등의 다양한 운영체제(OS)에 최적화돼 하드웨어 보안 모듈 없이도 빠르고 쉽게 제조사가 보안을 강화할 수 있도록 활용성을 극대화했다.
이는 아톤의 소프트웨어형 SE인 ‘엠세이프박스’ 기술을 응용한 것으로, 하드웨어 수준의 높은 보안성을 자랑하며, 이미 다수의 국내 대형 은행에서 도입해 금융권에서도 보안기술을 인정받은 바 있다. 기존의 모바일 서비스 외에 IoT 시장을 겨냥한 경량 암호 모듈을 추가한 것이 특징이다.
글로벌 경쟁력 강화 위해 클라우드형 서비스 출시
뿐만 아니라 아톤은 연내 클라우드(Cloud) 구독형 인증 서비스를 출시할 예정이다. 기존에 온프레미스(On-Premise) 형으로 구축했던 사설인증 및 다중인증 솔루션 기능을 클라우드형으로 확대 제공하는 것이다. 간편한 절차로 고객 자산을 보호하려는 중소기업 및 스타트업 시장을 공략해 인증 서비스를 제공하고, 기업은 클라우드를 통해 빠르고 편하게 인증 서비스를 통합 적용해 이용할 수 있게 된다는 설명이다.
보안·인증 산업은 시장 트렌드의 변화나 정부의 정책적 변화와 밀접하게 관련이 있다. 특히, 코로나19를 계기로 사회 전반에 확산하는 비대면 문화에 대응하기 위한 ‘언택트(Untact)’ 서비스를 제공함으로써 글로벌 시장 진출도 계획하고 있다.
아톤은 클라우드 기반의 솔루션 회사가 세계적 트렌드로 자리 잡아 가는 만큼, 글로벌 보안 기업들과 경쟁하기 위해 벤치마킹과 국내 시장 동향 및 정책 변화에 대한 지속적인 모니터링 강화, 연구개발에 지속적으로 투자해 나갈 것이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]
금융권 중심으로 본격 시동 거는 차세대 인증서 선호도 조사결과 분석
차세대 인증서 시장의 태풍의 눈, ‘센스톤’과 ‘아톤’의 인증 솔루션 리뷰
[보안뉴스 원병철 기자] 공인인증서의 시작은 1999년 ‘전자거래기본법’과 ‘전자서명법’이 제정되면서부터다. 인터넷의 발달로 전자상거래가 뿌리내리기 시작하면서 정부가 전자상거래 활성화를 위한 기본법 체계를 구축한 것이다. 이러한 전자상거래 관련법은 전자상거래의 안전성 확보와 전자문서 및 전자서명에 법적 효력을 부여하는 것으로, 공인인증기관이 확인한 디지털 서명을 서면 상의 기명날인과 동일한 법적 효력을 부여해 전자문서에 서명과 같은 법적 효력을 인정했다. 전자상거래의 신뢰성 구축을 위해 거래자의 개인정보보호, 컴퓨터의 안전성 확보를 규정하게 된 셈이다. 이러한 전자서명법 제정은 공인인증서 등 보안 인증 분야의 본격적인 출발점이 됐다.
[이미지=Dreamstime]
공인인증서 존폐에 대한 찬반논쟁... 결국 전부개정안에 따른 폐지
전자상거래의 활성화를 위해 만들어진 공인인증서는 정부에서 인증서를 보증한다는 의미에서는 높은 평가를 받았지만, 액티브엑스(Active-X)와 함께 맞물리면서 점차 과도한 규제로 전자서명의 기술 및 서비스 발전과 시장경쟁을 저해하고, 공인인증서 중심의 시장 독점을 초래한다는 문제점이 지속적으로 제기됐다.
이에 과기정통부는 2017년 9월부터 관계부처 협의, 전문가 토론회 및 이해관계자 의견수렴을 통해 현장의 다양한 의견을 반영, 2018년 1월 22일 규제혁신토론회에서 공인인증서 제도 폐지 방침을 발표했으며, 시민단체와 법률전문가 및 인증기관 등이 참여한 4차 산업혁명위원회 규제·제도혁신 해커톤(2018년 2월 1일~2일) 및 법률전문가·이해관계자 검토회의 등을 거쳐 공인인증서 제도 폐지를 주요 내용으로 하는 전자서명법 전부개정안을 마련했다.
이번 개정안은 기존 공인인증서 제도 및 관련 규제를 대폭 폐지하고, 민간 전문기관을 통한 전자서명인증업무 평가제를 도입, 다양한 전자서명 기술·서비스가 시장에서 동등하게 경쟁할 수 있는 제도적 여건을 조성함으로써 전자서명산업 발전을 도모하고, 국민들에게 다양하고 편리한 전자서명수단을 제공하는 등 인터넷 이용환경을 개선하는데 중점을 두었다.
물론 개정안이 호평만 받은 것은 아니었다. 특히, 기존 법안을 수정해 공인인증서 자체를 없애는 것에는 찬반이 갈렸다. 공인인증서를 없애자는 측은 자유 시장 경쟁에 맡겨야 할 문제라며, 결국 금융거래 당사자의 권익을 침해하고 있다고 주장했다. 반대로 공인인증서를 그대로 사용하되 필요에 따라 수정하고 강화하자는 쪽은 공인인증서로 인한 불편함은 공인인증서 자체가 아닌 사용기관들의 문제이기 때문으로, 공인인증서는 사용자 편의에 맞춰 수정하는 것이 낫다고 주장한다. 찬반 논란이 거세던 공인인증서 폐지를 담은 전자서명법 전부개정안은 우여곡절 끝에 결국 2020년 5월 20일 국회법사위와 본회의를 통과했다.
한편, 개정안이 2018년 3월 발의된 후 쉽게 통과하지 못했음에도 불구하고, 금융권을 중심으로 공인인증서를 대체할 사설인증서, 특히 모바일인증서가 빠르게 확산되면서 사설인증서 시장은 각축장이 됐다.
전자서명법 전부개정안 통과에 따른 사용자들의 궁금증
그렇다면 이번 전자서명법 전부개정안에 따라 바뀌는 것은 어떤 것들일까? 가장 사람들이 궁금해 하는 것이 바로 ‘공인인증서가 없어질까?’하는 것이다. 결론적으로 말하면 ‘인증서’ 자체는 사라지지 않는다. 다만 정부가 지정해주는 ‘공인’이라는 제도만 사라질 뿐이다.
우선, 기존 공인인증서는 전자서명법 전부개정안이 시행되는 2020년 12월 10일의 전날(9일)까지 발행이 가능하다. 특히, 범용공인인증서는 최대 3년까지 사용이 가능하기 때문에 이론상 2023년 12월 8일까지 사용이 가능하다. 즉, 기존에 발급받은 공인인증서(현재까지 약 3,500만장 발급)는 사용연한까지 사용이 가능하다는 얘기다. 아울러 8개 공인인증서 발급기관에서 발행한 공인인증서는 각 발급기관이 심혈을 기울여 만든 인증서로서, 비록 공인이라는 이름이 사라지지만 여러 인증수단의 하나로써 계속 사용이 가능하다.
실제로 업계에서는 ‘공인인증서 제도’가 사라지는 것이지 ‘공인인증서’ 자체가 사라지는 것은 아니라고 강조했다. 실제 공인인증서 발급 기관들은 공인인증서 발급 기술력을 바탕으로 다양한 곳에 인증서 및 인증기술을 공급하고 있다.
두 번째는 바로 ‘사고가 났을 때 책임은 누가 지느냐’이다. 인증분야의 대표적인 스타트업 센스톤은 “지난 6월 위조된 신분증을 이용해 공인인증서를 발급받아 약 1억원을 사용자 몰래 대출받는 사건이 있었다”면서, “이는 공인인증서라는 단일한 환경에서 하나의 인증서로 모든 기관에 통용되는 문제점을 보여주는 사건”이라고 지적했다. “이런 문제를 해결하기 위해서는 인증의 다양화는 물론 보안에 대한 검토가 선행되어야 합니다.”
실제로 금융권에서 발생한 사건·사고는 공인인증서 자체의 문제가 아닌 개인 사용자가 개인정보 및 공인인증서 비밀번호 등 개인정보를 유출 및 노출해서 발생한 사고들이다. 문제는 이렇게 발생한 사건들에서 책임소재에 대한 논쟁, 즉 피해를 누가 보장할 것인가이다.
사실 그동안 공인인증서는 알게 모르게 기업들에게 면죄부를 줬다는 비판을 받았다. 정부가 공인한 ‘공인인증서’를 사용함으로써 인증서를 이용한 사고가 발생해도 책임으로부터 자유로워진다는 주장이다.
이에 대해 한 공인인증서 발급기업은 “글로벌 하게 인증서는 제3의 신뢰된 인증기간인 Trust Third Party에서 발급하고 있으며, 한국에서는 공인이라는 절차가 있어 인증기관에 부정적인 시각이 있지만 그것은 오해”라면서, “기업과 개인 모두에게 중립적인 인증기관이 사건 발생시 문제에 대한 객관적인 판단을 하고, 부정발급으로 인한 피해는 인증기관이 책임을 지는 것”이라고 설명했다. “법원 판례에서도 대출사고가 발생했을 때, 인증수단 외에 서비스 사업자의 확인절차는 별도라는 판결이 있습니다. 이 때문에 인증서 서비스 기업들은 본인 스스로의 책임과 의무를 갖고 안전하게 서비스해야 하고, 사용자 역시 본인의 인증수단을 안전하게 관리할 수 있도록 해야 합니다.”
차세대 인증서 기업 코리아엑스퍼트도 “공인인증서 제도가 폐지됨에 따라 기업에서 사고발생의 책임에 부담이 커진 것은 사실이지만 사용자가 쉽게 인증관리를 할 수 있는 보안체계에 대해 생각할 수 있는 기회가 됐다”고 설명했다. “지금껏 인증서 이슈들은 인증서가 뚫려서 발생한 사고보다는 사용자의 인증서 암호 암기, 주기적 변경의 불편함, 인증서 기간 갱신과 관리 문제, 각종 관련 프로그램 설치 등이 더 문제였다고 볼 수 있습니다. 이에 암기할 필요가 없는 인증서 암호로 편의성을 제공하거나 인증시마다 고정되지 않는 암호를 사용하는 등 보안성을 갖춘 환경을 제공하는 것이 더 중요하다고 생각합니다.”
금융권 중심으로 시동 거는 차세대 인증서들
그렇다면 공인인증서 이후 사설인증서들은 얼마나 등장했을까? 전자서명법 전부개정안에 따르면 기존 공인전자서명과 사설전자서명을 모두 ‘전자서명’으로 통합하고, 차별을 없애(안 제2조) 다양한 전자서명 수단들이 동등하게 경쟁할 수 있는 여건을 만들었다. 즉, ‘공인’이란 이름이 주는 ‘우월적 지위’를 없애 모든 전자서명이 시장에서 경쟁할 수 있도록 하겠다는 의미다. 실제로 전자서명법 전부개정안이 발의(2018년 3월)된 후 시장에는 다양한 차세대 인증서들이 등장했다.
차세대 인증서들이 가장 활발한 활동을 보이는 곳은 바로 금융권이다. 특히, 2018년 8월 은행권은 공동 인증서인 ‘뱅크사인(Bank Sign)’을 발표하고 KB국민은행과 우리은행, 신한은행 등 국내 대표 은행 16개가 공동으로 사용하기로 하면서 큰 이슈가 됐다. 다만 뱅크사인은 아쉽게도 큰 성공을 거두지 못했지만, KB국민은행과 IBK산업은행 등 몇몇 은행들은 자체 인증서를 사용하며 사설인증서 활성화에 앞장서고 있다.
KB국민은행은 지난 2019년 7월 15일 공인인증서를 대체할 자체 인증서인 ‘KB모바일인증서’를 발표했다. 회원가입부터 신규가입까지 모바일에서 진행할수 있도록 한 KB모바일인증서는 기존 보안카드나 OTP(One Time Password)를 대체할 수 있는 것은 물론 사용자 선택에 따라 패턴, 지문, 페이스ID 등을 사용할 수 있도록 했다. 특히, 공인인증서의 가장 불편한 점 점 가운데 하나인 인증서 유효기간을 없애서 사용자가 삭제하지 않으면 계속 사용이 가능하도록 한 것이 특징이다.
KB국민은행은 KB모바일인증서가 스마트폰의 안전 영역에 발급 및 저장되어 탈취 및 복제가 불가능하다고 강조했다. 이를 위해 젬알토의 자회사이자 모바일 애플리케이션 보안전문기업 영국 트러스토닉의 TAP(Trustonic Application Protection) 솔루션을 적용했으며, 인증서의 유효성과 비밀번호를 검증하는 알고리즘은 자체기술로 개발해 안정성과 보안성을 강화했다고 밝혔다.
IBK기업은행은 새로운 모바일 플랫폼 ‘i-ONE Bank’를 출시하고 자체 모바일 인증서를 사용한다고 밝혔다. i-ONE Bank 역시 KB모바일인증서와 마찬가지로 1개의 앱에서 모바일인증서를 발급받은 다음 i-ONE Bank 서비스를 이용할 수 있으며, 입출금통장 개설부터 상품가입과 카드 서비스, 가계부까지 하나로 가능하다. 또한, 스마트폰의 생체인식을 이용한 앱 로그인과 인증 비밀번호를 이용한 간편한 서비스 이용도 i-ONE Bank만의 특징이다. 특히, i-ONE Bank는 최근 광고에서도 강조하듯 6자리 비밀번호로 기존 공인인증서와 보안카드, 휴대폰 인증과 신규비밀번호를 모두 대체할 수 있다고 강조하고 있다.
신한은행은 모바일뱅킹앱 ‘쏠(SOL)’과 인터넷뱅킹을 이용할 수 있는 ‘쏠 패스’ 서비스로 사설인증서를 사용할 수 있도록 했다. 쏠 패스는 공인인증서 없이도 로그인을 할 수 있는 서비스로 QR코드를 통해 로그인에 접속할 수 있으며, 스마트폰의 공인인증서나 지문, 패턴 등을 이용해 인터넷뱅킹에 로그인할 수 있다.
케이뱅크는 아톤(ATON)과 손잡고 모바일인증 솔루션을 공급하고 있다. 아톤이 케이뱅크에 공급하는 모바일 인증 솔루션은 아톤의 대표적인 핀테크 보안 솔루션인 ‘아톤 엠세이프박스 보안 솔루션’으로, 특히 화이트박스 암호화 기술을 적용해 기존 하드웨어 기반의 보안매체와 동일한 보안 수준을 지원한다. 아톤은 KB국민은행과 NH농협은행, KB증권 등 다수의 금융기관에 소프트웨어형 보안매체 솔루션을 공급했으며, 지난 5월에는 신한베트남은행과 모바일OTP 공급 계약을 체결했다고 밝혔다.
2년 만에 1,000만 고객을 유치한 카카오뱅크는 금융권에서 공인인증서를 걷어낸 주역이다. 서비스 시작부터 자체인증서와 모바일기기의 생체인식, 패턴 등을 사용하면서 금융서비스를 제공했고, 그 편리성이 고객에게 인정받으면서 현재 금융권의 사설인증서 바람을 불러왔다. 공인인증서를 사용하지 않으면서도 지금껏 큰 사고 한 번 없었다는 사실로도 자체인증서의 보안을 증명했다고 볼 수 있다.
통신3사는 지난 4월 본인인증 공동 브랜드 ‘패스(PASS)’ 앱 기반 ‘패스 인증서’를 출시하고, 차세대인증 서비스 시장에 본격 진출했다. ‘패스 인증서’는 ‘패스’ 본인인증 앱과 연동되는 사설인증서로, 공공기관의 각종 본인 확인, 온라인 서류 발급 신청, 금융거래, 계약서 전자서명 등에 간편하게 이용할 수 있다. ‘패스 인증서’는 기존 공인인증서나 금융권 앱 이상의 높은 보안 수준을 자랑한다. 백신 프로그램과 보안 키패드, 위변조 방지 기술, 인증서를 휴대전화 내 보안 영역에 저장하는 WBC(White Box Cryptography) 기술 등을 적용해 고객의 개인정보를 안전하게 보호한다. 통신사 인증서버와 인증서 플랫폼 간의 전용 네트워크를 이중화하고 통신 구간의 보안도 강화해 외부 공격에 대비했다.
금융권 중심으로 모바일 등 인증방식 변화
차세대 인증서가 등장하고, 금융권에서 활발하게 활용되면서 또 하나 변화한 것이 있었으니 바로 인증방식의 변화다. 과거 공인인증서는 PC나 USB 등 휴대용 저장장치에 저장하고 ‘비밀번호’를 이용해 사용했다. 하지만 스마트폰이 등장하면서 공인인증서도 스마트폰에 저장할 수 있게 됐고, 비밀번호 역시 스마트폰의 기능인 지문이나 홍채, 얼굴 등 생체인식을 활용할 수 있게 됐다.
실제로 업계에서는 이러한 변화가 사회의 흐름이며 당연한 수순이라고 보고 있다. 통신3사의 패스(PASS)를 비롯해 다양한 금융기관에 솔루션을 공급한 아톤은 “사용자들이 항상 소지하고 다니는 모바일 디바이스에 최적화된 인증서 및 인증수단으로 확대되는 것은 기존 공급자에서 소비자 중심으로 인증서의 서비스 방향이 바뀌는 자연스러운 현상”이라면서, “결국 서비스를 이용하는 소비자가 편리하고 안전한 전자서명 서비스와 더불어 사용자를 인증하는 다양한 생체인증 등의 수단도 확대될 것”이라고 강조했다.
공인인증서 발급기관인 한국전자인증은 “공인인증서를 발급받을 때 모바일에서 먼저 발급받고 다시 PC로 인증서를 이동하는 경우가 반대의 경우보다 훨씬 많다”면서, “한국전자인증의 파이도 생체인증 트랜잭션도 누적 8억 1,000만건, 월 5,000만건이 발생할 정도로 많다”고 설명했다.
또한, 이니텍은 “인증수단이 모바일화되는 것은 사회의 흐름이지만, 인증방식에 대한 보안성과 편의성은 물론 확장가능성도 염두에 두어야 한다”고 설명했다. 마치 SSO(Single-Sign On)가 한 번의 인증으로 여러 서비스를 활용할 수 있는 기능을 제공하는 것처럼 모바일 앱과 모바일 웹, 오프라인 등 다양한 환경에서의 인증 역시 한 번에 동기화되어 서비스를 제공할 수 있어야 한다는 것이다.
대기업들의 차세대 인증서 산업 진출
차세대 인증서 시장이 활발해지면서 생긴 큰 변화 중 하나는 바로 대기업들의 인증서 시장 진출이다. 우선 앞서 소개했던 통신3사는 패스(PASS)를 통해 차세대 인증서 시장에 등장했다. 또한, 카카오의 카카오뱅크 역시 자체인증서로 금융서비스를 제공하고 있다. 네이버 인증서는 네이버 자체 서비스는 물론 네이버 고지서나 보험, 쇼핑몰 등 다양한 사이트에서 활용되고 있다.
문제는 이들의 등장이 기존 중소기업 중심의 인증기관 및 인증기업에게 적지 않은 부담으로 다가왔다는 사실이다. 기존 인증기관의 관계자는 “예를 들어 통신3사의 본인확인 서비스를 중심으로 한 독점적 서비스가 전자서명과 만나는 것이나 네이버와 카카오 같은 관계사가 많은 기업들의 전자서명 서비스 제공은 공정한 경쟁 환경이라 보기 어렵다”는 지적을 했다.
물론 지적만 있었던 것은 아니다. 업계의 한 관계자는 “대기업들이 자사가 보유한 플랫폼을 중심으로 한 전자서명 서비스에 진입하고 제휴사 확대에 집중하면서 경쟁이 치열해진 것은 사실”이라고 말했다. “하지만 기존 공인인증서의 불편함 때문에 전자서명을 이용하지 않았던 디지털 취약계층이 사용이 편리한 새로운 인증서를 이용해 시장이 확대되고, 인증서 활용 영역이 넓어지는 효과도 있다고 본다”며 희망적인 해석을 내놓았다. 또 다른 기업 관계자 역시 “대기업들이 준비하는 영역에서도 분명히 빈공간은 있을 수 있다”면서, “이번 전자서명법 전부개정안 역시 우리 일상에 다양한 인증기술을 적용할 수 있는 좋은 기회임에 틀림없으며, 인증기업들도 간편하고 안전한 기술을 개발하다보면 분명 좋은 기회가 올 것”이라고 판단했다.
한편, 업계에서는 대기업 등 다양한 기업들이 차세대 인증서 시장에 진입한 이유로 인증시장의 확대를 꼽았다. 기존 공인인증서가 전자결제를 위해 만들어진 후 현재 공공과 금융권을 중심으로 사용됐다면, 이제는 전자신분증은 물론 자율주행차 등 IoT 기기와의 인증에서도 사용될 만큼 인증서의 사용처가 폭발적으로 늘어날 수 있다는 것이다. 이에 업계에서는 그다지 큰 산업이 아닌 인증서 산업에 대기업 등이 진출한 것은 결국 다른 산업에 활용하기 위한 전초기지라는 판단을 하고 있다.
[차세대 인증서 선호도 조사결과]
사용자들 “차세대 인증서도 결국 ‘보안’이 가장 중요해”
▲차세대 인증서 선호도 설문조사[자료=보안뉴스]
그렇다면 실제 사용자들은 이번 전자서명법 전부개정안 통과에 따른 공인인증제도 폐지에 대해 어떻게 생각할까? <보안뉴스>와 <시큐리티월드>가 독자 1,392명을 대상으로 한 ‘차세대 인증서 선호도 설문조사’에 따르면, 응답자의 38.8%는 “믿고 쓸 수 있는 다양한 차세대 인증서가 활성화된 것 같아 좋다”고 환영했다. 다만 응답자의 32.1%는 “공인인증서의 자리는 결국 다른 인증서가 차지할 뿐, 사용자 선택권이 없는 것은 여전히 똑같다”며 소비자가 차세대 인증서를 선택할 수 있는 권리를 아쉬워했다.
가장 많이 사용해본 차세대 인증서는 통신3사의 패스(PASS)로 응답자의 49.4%가 사용해 봤다고 답했으며, 카카오페이 인증이 24.6%로 뒤를 이었다. 또한 네이버 인증(9.7%)과 토스(6.7%)도 많은 사용자들이 사용해 봤다고 답했다. 아울러 사용해본 차세대 인증서의 편의성과 보안성에 대해 묻는 질문에는 절반 정도인 44.8%가 편의성과 보안성 모두 좋았다고 답했다.
앞서 설명한 것처럼 사용자들은 직접 차세대 인증서를 선택할 수 있는 권리를 원했는데, 응답자의 48.3%는 생체인식 방식의 차세대 인증서를 사용하고 싶다고 답했다. 두 번째는 16.6%의 사용자가 OTP(One Time Password)를 선택했는데, 주로 2차 인증으로 사용되는 OTP에 대한 사용자 선택이 높다는 결과는 많은 것을 시사해 준다.
특히, 응답자의 76.3%는 2차 인증의 필요성에 대해서도 ‘필요하다’고 답변하고, 차세대 인증서에게 ‘보안성’과 ‘편의성’ 중 어느 부분이 더 중점이 두어야 할까?라는 질문에도 보안(59.5%)을 선택한 사용자가 절반이상이었을 만큼, 사용자도 인증서의 ‘보안성’을 우선한다는 점을 보여 줬다.
차세대 인증서 시장을 리딩하는 기업
센스톤(Ssenstone)
센스톤의 인증제품은 크게 2가지다. FIDO1.0, FIDO2 모두 자체 기술로 인증을 받고, 생체인증과 보안PIN, 패턴, mOTP 등의 현존 인증기술을 사용자에게는 선택적으로 쓸 수 있도록 했다. 시스템 운영 측면에서는 통합인증으로 공급되는 스톤패스(StonePASS)와 단방향 다이내믹 코드 인증 기술인 OTAC(One-Time Authentication Code)가 있다. 특히, OTAC은 국민연금공단에 적용됐으며, KB은행에서 POC를 진행했다. 또한, 해외에서는 기술을 기반으로 한 다양한 사업 모델로 성공적으로 진출해 현재 가시적인 성과를 나타내고 있다. OTAC 기술은 글로벌 특허 포트폴리오(글로벌 특허 115개 이상)가 강력하게 구성돼 있다. 아울러 센스톤은 OTAC 기술로 아기유니콘200 육성사업 최종 평가에서 최고의 성적을 받았다.
아톤(ATON)
아톤은 금융권에 공급하고 있는 PKI 기반 사설인증서뿐만 아니라 통신3사와 공동으로 PASS인증서를 제공하고 있다. 이들 인증서에는 아톤이 자체 개발한 소프트웨어형 저장매체(SE) 기술이 적용돼 안전성이 보장되며, 기존 하드웨어 보안매체(OTP 토큰, 보안카드 등)를 대체해 편리한 비대면 서비스를 제공할 수 있다. 특히, PASS 인증서는 국내 통신사 고객에 제공하는 본인확인 서비스 ‘PASS’ 앱 내에서 이용할 수 있는 전자서명 서비스로, 2020년 6월 현재 약 1,500만 건이 발급됐다. 국내 인증 플랫폼 중 가장 많은 발급 건수를 보유하고 있으며, 연내 1,800만 건 이상 발급을 예상하고 있다. PASS 인증서는 방통위 지정 본인확인 기관이 제공하고 있는 전자서명 서비스로 실시간으로 전화번호, 명의인증, 기기인증, 인증서 유효성 검증, 서명검증을 하는 유일한 인증서 서비스다.
이니텍(Initech)
이니텍은 지난 2018년 6월 공인인증기관으로 지정되면서, 공인인증 서비스의 구축 및 운영경험을 가지고 있다. 공인인증서와 사설인증서는 기술적으로 동일한 구조를 가지고 있기 때문에 이니텍은 앞으로의 사설인증서 서비스에 있어서 가장 최신의 구축 노하우와 보안성, 성능, 기능 등이 검증된 인증서 솔루션 관련 사업 역량을 보유하고 있다. 현재 이니텍 사설인증 솔루션은 금융사 및 엔터프라이즈 그룹사 대상의 내부 업무용 사설 인증 서비스에 적용·운영되고 있으며, 향후 확대되는 사설인증서 시장에 대응하기 위해 금융권, 공공 및 일반기업 대상 차세대 사설인증 솔루션 개발 및 사설인증 구축사업에 참여하고 있다.
코리아엑스퍼트(KoreaExpert)
코리아엑스퍼트는 기존 공인인증서의 단점을 개선하고자 2020년 OTID 기술에 PKI 기술을 접목한 ‘PKID’를 출시했다. PKID는 간편인증뿐만 아니라 전자서명, 부인방지 기능까지 올인원(Allin-One)으로 제공하는 사설인증 솔루션이다. 기존 공인인증서가 폐지된 이유 중 하나는 사용자가 인증서를 발급받고 암호를 외워서 사용할 때마다 기억해야 했고, 일정 기간이 지나면 갱신을 해야 했기 때문에 힘이 들었다는 점이다. PKID는 개인키를 암기하지 않고 일회용 코드로 인증이 된다는 특장점으로 기존 공인인증서의 기술적 안전성을 유지하고 사용 편의상의 문제점을 한 번에 해결했다. 또한, PKID는 도입사나 사설 기관에서 기존의 인증서 로그 관리부터 법적 증빙에 대한 안전성을 보장한다. 최근 여러 기업에서 공인인증서를 대체할 차세대 방안으로 PKID 도입을 활발히 협의 중이다.
한국전자인증(CrossCert)
한국전자인증의 공인인증서는 클라우드에 발급 및 저장해 사용할 수 있다. PC, 스마트폰, 휴대기기에 인증서를 각각 발급하거나 이동할 필요 없이 클라우드에 두고 계속 사용하는 방식이며, 3년과 5년 등 장기로도 발급이 가능하다. 또한, 글로벌 인증서는 브라우저와 완벽히 호환되어 별도의 프로그램 설치 없이도 사용이 가능하고, 외국기업의 국내기업과 거래에도 호환성이 뛰어난 인증서다. 한국전자인증의 차세대인증서 ‘ManagedPKI’는 공인인증서와 동일한 시설규격, 보안규격을 준수하고, 글로벌인증심사인 ‘Webtrust Audit’을 받은 서비스다. 일부 사설인증기관들이 이러한 글로벌 Audit 받지 않고 있는데, 한국전자인증은 매년 심사를 받고 있다. 특히, 1회용 인증서와 한 달 인증서, 인증서+부가서비스를 구현할 수 있는 인증시스템이다.
[차세대 인증서 시장의 태풍의 눈-1. 센스톤]
센스톤의 글로벌 특허 115개의 원천기술 ‘OTAC(One-Time Authentication Code)’
해외에서 인정받은 기술을 코로나19 대응을 위해 대한민국 정부에 기부합니다!
센스톤은 원천기술을 직접 보유하고 있는 인증보안 기술 스타트업이다. 그것을 증명하듯 글로벌하게 115개 이상의 특허를 보유하고 있으며, 그 어렵다는 미국 특허등록까지 받았다. 최근 이 회사는 한국 스타트업 최초로 ‘The EUROPAS 2020’과 ‘CyberTech 100’, 유엔(UN)이 설립한 익스트림테크챌린지(Extreme Tech Challenge, XTC)의 최종 파이널리스트에 선정되는 성과를 거뒀다. 특히, XTC는 영국 스타트업 자격으로 선정된 2개 기업 중 한국계 스타트업으로는 유일하게 선택됐다. 국내 역시 최근 정부가 추진하는 ‘K-유니콘 프로젝트’를 통해 기술·사업성을 평가하는 ‘아기유니콘’에서 최고 성적을 받으며 1위로 선정되었고, 중소벤처기업부의 ‘기술개발혁신사업’에도 최종 선정됐다.
▲단방향 다이내믹 코드 인증 기술 OTAC[자료=센스톤]
센스톤이 원천기술과 특허에 대해 강조하는 이유가 있다. 첫 번째는 신기술에 대해서 원천기술을 직접 보유하고 이를 직접 개발한 개발자들이 있어야만, 기술에 대한 안정적인 지원이 가능하기 때문이다. 두 번째는 기술을 적용한 고객을 보호할 수 있다는 점이다. 원천기술을 비즈니스에 적용할 경우 발생할 수 있는 타기업의 특허 침해 문제를 근본적으로 막는데, 이 보호막이 없다면 기술을 적용한 고객도 국내외 할 것 없이 특허 소송의 대상이 되기 때문이다.
이런 이유로 특허 포트폴리오가 약할 경우, 기술의 해외 진출은 꿈도 꾸지 못하게 되는 것이다. 센스톤의 OTAC(One-Time Authentication Code) 기술은 OPT(One Time Password)와 매우 유사하지만, 그동안 불가능하다고 한 몇 가지 다름을 가지고 있다. OTP는 2차 인증용으로만 사용이 가능할 뿐이고, OTAC은 단독으로 1차 인증용으로 사용이 가능하다. 즉, OTP를 1차 인증용으로 사용할 경우 시스템은 사용자를 바로 인지할 수 없고, 더 큰 문제는 다른 사용자와 중복되는 경우가 나온다는 것이다. 그러나 OTAC는 1차 인증용으로 쓰이면서 통신 없이 만들어진 다이내믹 랜덤 코드만으로 사용자를 바로 식별하고, 다른 사용자와 중복될 확률이 0%인 기술이다.
더욱이 이 알고리즘 코드의 사이즈는 4KB 미안이기에 반도체 칩 레벨에도 올라갈 수 있다. 그래서 올해 7월에는 이 OTAC 기술이 탑재된 디지털카드가 출시된다. 이 카드는 플라스틱 카드 사이즈에 EMV 칩과 NFC 칩, 지문센서, ePaper 디스플레이의 하드웨어 구성을 가지고 있으며, 통신이 안 되는 이 디바이스에서 지문센서에 손가락을 대고 아무 NFC 기기에 카드를 대면 다이내믹 카드번호 또는 ID번호가 생성된다. 즉, 배터리가 내장되어 있지 않으며, 통신되지 않는 환경의 디바이스에서 토큰과 같이 쓰일 수 있는 OTAC가 생성된다. 이렇게 디지털카드를 사용하지 않을 경우에는 스마트폰에서 다이내믹 카드번호를 생성해서 바로 사용할 수 있다.
이 기술은 국내에서는 제주특별자치도개발공사의 VMI 솔루션에 내재화돼 적용됐으며, 글로벌하게는 인도네시아 월렛 서비스에 다이내믹ID, 스마트그리드의 토큰 등으로 적용됐다. 또한, 유럽의 은행과 자동차 회사들과도 공동개발을 위한 진행이 이루어지고 있다. 기존 인증기술은 하나의 방식으로 표의 조건을 모두 만족시키지 못한다. 그래서 다중으로 섞어 사용하게 되는데, OTAC는 단독으로 조건을 모두 만족하는 기술이다.
특히, 최근에는 정부에서 추진하는 DID 표준화 정책과 코로나19의 확산에 대응하기 위한 기술로 제안하고 있다. DID 환경에서는 주민번호나 운전면허 번호를 정 값이 아닌 OTAC 기술로 다이내믹 코드를 전달하게 할 수 있고, 코로나19 환경에서는 전자출입명부에 사용이 가능하다. 다음 그림은 현재의 전자출입명부방식과 OTAC를 적용한 특허출원 된 방식을 비교한 것이다.
현재의 방식은 QR 발급회사가 매번 QR코드를 생성해서 전송하며, 이를 일정기간 무조건 보관해야 한다. 그러다 보니, 시스템의 부하가 많이 발생하게 되고, 심지어는 통신이 안 되는 곳이 많은 해외 다른 국가에서는 사용이 어려울 수 있다.
그러나 센스톤의 기술은 현재 방식처럼 한번 등록하고 난 후에는 앱을 지원하는 회사에서는 사용자와 별도의 트래픽이 전혀 발생하지 않는다. 유창훈 센스톤 대표는 “우리 회사는 창업단계부터 우리나라 정부의 도움을 많이 받으면서 성장했습니다. 그래서 이런 어려운 시기에 의미 있는 기술을 대한민국 정부에 무상으로 기부하기로 회사 전 멤버들과 함께 결정했습니다”라며, 기술기부 의사를 밝혔다.
[차세대 인증서 시장의 태풍의 눈-2. 아톤]
‘가장 쉽게, 더 혁신적으로’ 전자서명 시장을 재편하고 있는 핀테크 보안기업 아톤(ATON)
WBC기반 강력한 저장매체 기술로 차세대 보안·인증시장 이끌 것
아톤은 1999년 설립해 20년간 모바일 금융 서비스 개발에 집중하며, 금융 서비스에 IT 및 보안·인증을 접목시키면서 핀테크를 견인해온 회사다. 설립 이후부터 모바일 중심의 금융거래를 원활하게 지원하는 보안·인증 서비스를 개발하고 금융사에 제공하면서 모바일 기반 금융 솔루션 시장에서 선두기업으로 자리매김하고 있다. 수년간 축적된 금융 IT 서비스 경험과 기술력으로 정부의 보안·인증 규제와 발맞춰 서비스 개발을 하고 있으며, 핀테크 보안이라는 새로운 시장을 리드하기 위해 다각도로 노력 중이다. 한편, 아톤은 2019년 10월 코스닥 시장에 상장했다.
▲‘가장 쉽게, 더 혁신적으로’ 전자서명 시장을 재편하고 있는 핀테크 보안 기업 아톤[이미지=아톤]
5,000만 통신 가입자를 위한 차세대 전자서명 서비스 ‘PASS 인증서’
PASS는 통신3사(SKT·KT·LGU+)와 아톤이 공동으로 제공하고 있는 전자서명 서비스로, 휴대폰 번호만으로 공인인증서를 대체해 사용자 인증이 가능하다. 통신사 본인확인 서비스 ‘PASS(패스)’ 앱 내에서 이용이 가능하며, 별도 앱을 설치할 필요 없이 빠르고 간편하게 발급받고 공인인증서의 복잡한 비밀번호 대신 6자리 PIN번호나 생체인증만으로 전자서명이 필요한 곳이라면 언제 어디서나 이용할 수 있는 간편인증 서비스다.
패스 인증서는 위조불가, 부인방지 기능 등을 제공하며, 금융권 수준 최상의 보안 솔루션을 탑재해 인증서 갱신 주기도 기존보다 연장된 3년을 지원한다. 강력한 보안과 간결한 이용 프로세스를 통해 공공·금융·의료·교육기관 등에 로그인, 보험·청약·대출 계약, 자동이체 출금 동의 등 전자서명이 요구되는 모든 곳에 적용이 가능하다. 안정성과 사용 편의성은 물론, 5,000만 통신 고객을 대상으로 범용성까지 갖춘 전국민을 위한 차세대 전자서명 서비스다.
스마트폰 내 특수보안 영역 통한 강력한 정보보호 ‘엠세이프박스(mSafeBOX)’
그 동안 사용자가 공공·금융·의료·교육 등의 서비스를 이용할 때, 사용자 인증 및 전자서명을 위해 공인인증서 발급이 요구됐으며, 이를 위해 ActiveX 등의 추가 보안 프로그램을 설치해야 해서 사용자에 상당한 불편함을 초래했다. 또한, 산업은 점차 스마트폰 중심으로 진화하는데, 공인인증서 등은 여전히 PC기반의 서비스를 제공했다.
아톤은 스마트폰 앱의 일반 실행 영역과 분리된 특수 보안 영역을 구현, 외부의 악의적 침입을 원천적으로 차단하고 모바일 기기 안에서 로그인·사용자인증·전자서명·결제 등의 서비스를 안전하게 실행할 수 있도록 국내 최초 소프트웨어 기반 시큐어 엘리먼트(Secure Element, SE)인 엠세이프박스를 개발해 출시했다. 이는 기존 금융 거래 시 사용했던 보안카드, 토큰형 OTP 등 별도의 하드웨어형 보안매체가 아닌 소프트웨어 방식의 SE로, 화이트박스 암호화 기술(White-Box Cryptography, WBC)을 통해 중요 키와 알고리즘을 안전하게 보호한다.
아톤 엠세이프박스는 스마트폰, 태블릿, PC 등 모든 단말기에 적용이 가능하며, 운영체제(OS: Operating System)의 영향을 받지 않아 폭넓은 커버리지를 제공한다. 강력한 보호 기능을 기반으로 금융, 통신, 공공분야에서 널리 이용 중이다.
모든 비대면 인증 가능한 사설인증 서비스 ‘엠피케이아이(mPKI)’
아톤 엠피케이아이는 공인인증서를 대체하고 자체 전자서명 체계를 갖추기 위해 금융기관에서 주로 도입하고 있는 사설인증 솔루션이다. 아톤의 저장매체 기술을 통해 인증서를 안전하게 발급하고 관리하여 인증서 탈취 또는 복제를 원천적으로 차단하며, 특수 보안 환경에서 암호화를 수행하고 인증서 알고리즘 등을 실행해 보안 수준을 향상했다.
기존 공인인증서의 복잡한 프로세스를 대폭 개선해 간편 비밀번호 또는 생체인증으로 전자서명이 가능하며, 간편하지만 강력한 보안으로 인증서 유효기간도 최대 3년까지 지원해 사용자 편의성을 개선했다. 또한, 주식 거래 시 중요한 속도를 고려해 축약서명 기능도 추가해 고객의 통합 사설인증 시스템 구축을 지원하고 있다.
아톤의 PKI기반 사설인증 솔루션은 금융을 비롯한 산업 전반에 걸쳐 비대면 채널과 서비스에 특화된 인증 및 전자서명을 제공한다.
보안 강화 위한 2중 인증 보안장치 ‘엠오티피(mOTP)’
아톤 엠오티피는 금융거래와 결제, 웹사이트 로그인 등의 서비스를 이용할 때, 스마트폰 내에서 일회용 비밀번호(One-Time-Password)를 생성해 간편하고 빠르게 사용자를 검증할 수 있는 다중 인증(Multi-factor Authentication) 솔루션이다. 기존의 보안카드나 토큰형 OTP 정보의 탈취로 인한 보안 취약성과 항상 소지해야 하는 불편함을 보완함으로써 모바일에서 OTP를 생성하고 자동으로 입력되도록 설계해 간편성을 향상했다. 모바일 기기 내 분리된 특수 보안 영역에서 OTP가 생성돼 높은 보안성을 보장하는 동시에 사용자 편의성을 극대화했다.
국내외 은행 및 증권사 등 금융권뿐만 아니라, 일반 서비스 및 게임사 등에서도 아톤의 OTP 솔루션을 도입해 고객 중심의 서비스를 제공하고 있다. 또한, OTP 기술의 보안성을 인정받아 국내 금융기관의 최고 이체한도를 보장한다.
모바일 보안 넘어 사물인터넷(IoT) 보안까지 섭렵
아톤은 모바일 보안뿐만 아니라 스마트홈 및 사물인터넷(IoT: Internet of Things) 서비스의 보안 강화를 위한 암호모듈 ‘아이세프박스(iSafeBOX)’를 개발해 지난달 출시했다. 근래 국내외 IoT 기반 서비스의 해킹 사례가 빈번히 발생하면서 IoT 보안에 대한 관심이 높아지고 있는 가운데, 특히 신축 아파트를 중심으로 스마트홈 시스템을 도입한 단지들의 정보를 보호하고 보안 취약성을 보완할 수 있도록 솔루션을 설계했다.
아톤의 아이세이프박스는 WBC 기술을 활용해 암호화키의 안전한 생성 및 보관을 비롯해, 암호 알고리즘 실행 등이 노출되거나 탈취당하는 것을 원천적으로 방지한다. 또한, 월패드 및 IoT Hub 제조사에서 주로 사용하는 안드로이드, Mbed Linux 등의 다양한 운영체제(OS)에 최적화돼 하드웨어 보안 모듈 없이도 빠르고 쉽게 제조사가 보안을 강화할 수 있도록 활용성을 극대화했다.
이는 아톤의 소프트웨어형 SE인 ‘엠세이프박스’ 기술을 응용한 것으로, 하드웨어 수준의 높은 보안성을 자랑하며, 이미 다수의 국내 대형 은행에서 도입해 금융권에서도 보안기술을 인정받은 바 있다. 기존의 모바일 서비스 외에 IoT 시장을 겨냥한 경량 암호 모듈을 추가한 것이 특징이다.
글로벌 경쟁력 강화 위해 클라우드형 서비스 출시
뿐만 아니라 아톤은 연내 클라우드(Cloud) 구독형 인증 서비스를 출시할 예정이다. 기존에 온프레미스(On-Premise) 형으로 구축했던 사설인증 및 다중인증 솔루션 기능을 클라우드형으로 확대 제공하는 것이다. 간편한 절차로 고객 자산을 보호하려는 중소기업 및 스타트업 시장을 공략해 인증 서비스를 제공하고, 기업은 클라우드를 통해 빠르고 편하게 인증 서비스를 통합 적용해 이용할 수 있게 된다는 설명이다.
보안·인증 산업은 시장 트렌드의 변화나 정부의 정책적 변화와 밀접하게 관련이 있다. 특히, 코로나19를 계기로 사회 전반에 확산하는 비대면 문화에 대응하기 위한 ‘언택트(Untact)’ 서비스를 제공함으로써 글로벌 시장 진출도 계획하고 있다.
아톤은 클라우드 기반의 솔루션 회사가 세계적 트렌드로 자리 잡아 가는 만큼, 글로벌 보안 기업들과 경쟁하기 위해 벤치마킹과 국내 시장 동향 및 정책 변화에 대한 지속적인 모니터링 강화, 연구개발에 지속적으로 투자해 나갈 것이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
