금융거래나 온라인 쇼핑 시 사용하는 공인인증서의 본인 확인 방식이 변경된다. 현재의 본인 확인 방식인 ‘비밀번호 입력 방법’에 ‘스마트폰을 통한 지문 인식 방법’이 더해져 병행될 예정이다.

정부 관계자는 “공인인증서 본인 인증 방식이 변경되더라도 당분간은 ‘비밀번호 입력 방법’과 ‘스마트폰을 이용한 지문 인식 방법’이 병행될 것으로 보인다”라고 밝히며 “다만 지문 인식 방법은 비밀번호 입력과는 달리 액티브엑스(ActiveX) 보안 프로그램을 설치하지 않아도 되기 때문에 더 편리하고 안정적일 것”이라고 설명했다.

공인인증서 대체보다는 보완

공인인증서는 지난 1999년에 제정된 전자서명법에 따라 탄생한 대표적 인증 수단이다. 자료에 따르면 현재 공인인증서의 사용자수는 금년 10월을 기준으로 우리나라 인구의 60%가 넘는 3379만 명이 사용하고 있는 것으로 나타났다.

그러나 그동안 전자상거래 결제나 각종 금융거래 때 공인인증서를 이용하려면 복잡한 절차 탓에 불편하다는 지적이 많았다. 처음 이용할 때 여러 가지 보안 프로그램을 설치해야 하고 문자와 숫자 그리고 특수문자를 결합한 10자리 이상의 비밀번호를 입력해야 하기 때문이다

특히 한류에 관심이 많은 외국 소비자들이 공인인증서가 없어 국내 쇼핑몰의 상품을 구매하지 못한다는 지적이 잇따르자, 정부는 지난해 5월 온라인 쇼핑에서 30만 원 이상 결제 시 공인인증서를 의무적으로 사용해야 하는 규정을 폐지했다.

대신에 정부는 공인인증서의 보안성을 강화시키되, 누구나 사용가능한 편리한 본인 확인 방식을 모색해 왔다. 공인인증서를 대체하는 것이 아닌 보완하는 방식을 통해 유지하려는 이유는 ‘부인(否認)방지’ 측면에서 볼 때 최고 수준의 기술이기 때문이다.

부인방지란 구매자가 결제 서비스를 통해 제품을 구매해 놓고도, 결제한 사실이 없다고 발뺌하지 못하도록 하는 보안기술이다. 정부 관계자도 “공인인증서는 현재의 문제점을 조금만 보완한다면, 소비자들이 별다른 불편 없이 얼마든지 활용할 수 있는 본인 인증 장치”라고 강조했다.

이에 따라 정부는 공인인증서의 보안을 강화하는 방법으로 생체인증 기술과 결합하는 지문인식을 구상하게 됐고, 민간 결제업체와의 협력을 통해 스마트폰으로 지문을 인식하는 기술을 개발했다. 이 기술은 갖가지 보안 프로그램의 설치 과정이 필요 없고, 복잡한 비밀번호 입력 과정도 없어서 소비자가 사용하기에는 훨씬 편리하다.

현재 이 기술을 내년 1월부터 시범서비스에 적용할 예정이고, 이후 시범서비스를 통해 나타난 문제점들을 보완하여 점진적으로 확대 보급한다는 계획이다. 다만 비밀번호 없는 공인인증서를 이용하기 위해서는 지문 인식 센서가 장착된 스마트폰이 필수이기 때문에 상당 기간은 비밀번호 입력 방식과 병행될 것으로 예상하고 있다.

센서 탑재 스마트폰만 있으면 지문 인식은 간단

새로운 공인인증서 지문 인식 방식은 간단하다. PC를 이용하여 온라인 쇼핑몰 결제를 할 경우, 결제 버튼을 누르면 자신의 스마트폰에 공인인증서가 뜨면서 본인 확인을 요구하는 메시지가 나온다.

이후 스마트폰의 지문 인식 센서에 손가락을 대면 지문 인식이 1초도 안 돼 이뤄지고 동시에 PC 공인인증서에서도 본인 확인이 이뤄진다.

지문인식 공인인증서는 지문 센서가 탑재된 스마트폰으로 공인인증서를 발급 받고 나면 PC나 스마트폰, 어디에서든지 쉽게 이용이 가능하다. 또한 기존에 사용 중인 인증서라면 스마트폰으로 이동한 후 지문 등록을 하면 역시 이용이 가능하다.

지문인식 기술은 그간 지적되어온 ActiveX의 보안 취약점과 인증서 유출 등의 문제점을 해결하면서도, 간편 결제 글로벌 표준인 FIDO(fast identity online) 인증기술을 적용하여 보안을 강화했기 때문에 개인의 생체정보를 서버에 보관하지 않고도 안전하게 이용할 수 있는 것이 특징이다.

FIDO는 구글과 페이팔, 그리고 마이크로소프트 및 삼성전자 등 글로벌협의체가 만든 기술표준으로서, 비밀번호 대신 생체인식 기술을 이용하여 간편하게 결제할 수 있는 장점을 가지고 있다.

한편 최근 들어 피싱(Phishing) 등 전자금융 사기 수법이 진화하면서 사용자 컴퓨터의 하드디스크나 USB 등에 보관하고 있는 공인인증서가 유출되는 사례가 잇달아 발생하고 있어 우려를 낳고 있다.

이에 따라 현재 한국인터넷진흥원(KISA)은 국민들이 공인인증서를 안전하게 저장 및 관리할 수 있는 보안토큰(Hardware Security Module)이나 유심(USIM), 또는 금융IC카드 등 안전한 저장매체를 무료로 보급하고, 공인인증서의 안전한 이용을 위한 실천 수칙을 안내하는 ‘공인인증서 안전 실천 캠페인’을 진행하고 있다.

KISA의 관계자는 “공인인증서의 안전한 사용을 위해 지난 10일부터 ‘공인인증서 안전 인식 전환 캠페인’을 펼치고 있다”고 언급하며, 공인인증서 유출로 인한 피해를 막기 위해 △공인인증서 유출 의심 시 118(국번 없이 전국 동일) 신고 △PC와 스마트폰 보안패치 생활화 △출처가 불분명한 URL 클릭하지 않기 등과 같은 안전수칙을 제시했다.