▲USIM 이용한 공인인증서 보안 솔루션 ‘스마트인증’ 로그인 화면(사진: LG유플러스)

과연 ‘스마트인증’은 기존 공인인증서를 뛰어 넘을 수 있을까? CNB가 가능성을 분석해 봤다. (CNB=정의식 기자)

통신3사, “유심에 저장해 보안성 강화”
‘공인인증서 폐지’ 정부 시책에 역행?
전문가들 “공인인증서 수명 연장 꼼수”

SK텔레콤·KT·LG유플러스 등 이동통신 3사는 15일 유심(USIM) 기반의 공인인증서 서비스 ‘스마트인증’을 3사가 공동으로 출시했다고 밝혔다.

공인인증서는 전자상거래 등에서 본인 인증이 필요할 때 사용되어온 보안시스템이지만, 지난 수년간 공인인증서를 악성코드로 빼내가는 금융사고가 빈발해 문제가 됐다.

이번에 출시된 ‘스마트인증’은 스마트폰의 유심(USIM)칩에 공인인증서를 저장하고 전자서명을 하는 방식으로, 외부 복제가 불가능한 것이 강점이다. 한국인터넷진흥원(KISA)은 유심 기반 인증 방식을 보안토큰과 동급인 보안 1등급 매체로 지정했다.

유심(USIM)은 Universal Subscriber Identity Module의 약자로, ‘범용 가입자 식별 모듈’을 의미한다. 스마트폰에 카드 형식으로 탑재되며, 가입자 정보, 네트워크 정보, 인증 정보 등 중요 정보가 저장된다.

국내에서는 2008년부터 해외처럼 유심 이동성을 강화하는 정책이 시행되어 현재 대다수의 단말기들은 타 통신사에서 발급한 유심을 탑재해도 정상적으로 작동한다.

이통3사는 스마트인증 출시와 관련하여 “금융권과 공동 협력해 스마트인증 서비스 확산에 노력하고, 향후 유심을 활용한 한층 더 보안이 강화된 모바일 인증 서비스를 추가로 선보일 계획”이라고 밝혔다.

▲‘스마트인증’ 작동 구조(사진: 라온시큐어)

‘유심’에 저장…휴대·보안성 향상

이번 유심 기반 공인인증서 ‘스마트인증’에 대해 이통3사측은 “안전성과 휴대성, 편의성 등 다양한 강점을 가진 강력하면서도 편리한 보안시스템”이라고 설명하고 있다.

먼저, 보안이 적용된 매체인 USIM에 공인인증서를 저장하고, 휴대폰을 통해 전자서명을 함으로써, 기존의 PC나 스마트폰의 바이러스나 악성코드를 이용한 해킹·스미싱 등으로 공인인증서가 유출될 우려가 없다.

또, 항상 가지고 다니는 스마트폰에 저장되므로 별도의 USB나 보안토큰 등을 소지하고 다닐 필요가 없어 휴대성이 뛰어나다.

편의성 측면에서 온라인은 물론 모바일에서도 이용 가능하며, 특히 모바일뱅킹에서는 PC 인터넷 뱅킹 거래채널과 스마트폰 공인인증채널이 2원화되어 인증을 수행하는 ‘2채널 인증’이 가능하다.

사용하려면 구글플레이나 통신사 앱스토어에서 ‘스마트인증’ 앱을 다운로드받아 설치한 후 처음 실행했을 때 나타나는 서비스 가입 절차를 수행하면 된다.

모바일 환경에서는 공인인증서 인증이 필요할 때 해당 앱을 실행하면 되고, PC에서 사용하려면 PC용 앱을 설치한 후 공인인증서 인증이 필요할 때 PC용 앱과 스마트폰 앱을 동시에 구동시키는 방식으로 인증이 진행된다.

NFC를 지원하는 안드로이드 스마트폰 사용자라면 누구나 이용 가능하다. 아이폰, 윈도우폰 등은 아직 지원하지 않는다.

▲모바일 환경에서의 ‘스마트인증’ 사용절차(사진: 라온시큐어)

비싼 이용료… 공인인증서 명맥 유지 꼼수?

이처럼 ‘스마트인증’이 기존 공인인증서 시스템의 문제점을 상당부분 해결했다는 것이 이통3사의 입장이지만, 우려하는 목소리도 적지 않다.

상당수 소비자들은 보안 강화의 대가로 월 990원의 이용료를 내야한다는 점을 주목하고 있다. 주요 온라인 커뮤니티에서는 이번 스마트인증에 대해 “이통사가 공익성을 빌미로 유료서비스를 파는 것일뿐” “월 990원이면 연간 1만2000원 가까운 돈을 추가 부담하라는 것” 등 유료화의 문제점을 지적했다.

그간 은행/금융용 공인인증서는 개인에게 무료로 제공되어왔으며, 범용 공인인증서의 가격도 연간 4400원 수준이다.

한편, 공인인증서 폐지를 오랫동안 주장해온 정보화시민운동단체 ‘오픈넷’의 박경신 이사(고려대학교 법학대학원 교수)는 CNB와 통화에서 “상대적으로 보안이 진전된 공인인증서 시스템이 출시된 것은 환영할 일이나, 결과적으로는 폐지되어야할 규제인 공인인증서 시스템의 명맥을 유지하려는 업계의 꼼수로 보여 아쉽다”는 입장을 밝혔다.

박 이사는 “지난 3월 박근혜 대통령이 ‘천송이 코트’의 예까지 들어가며 혁파해야할 대표적 규제로 공인인증서를 지목했고, 5월에는 금융당국이 의무사용 규정을 폐지해 공인인증서를 강제하던 법적 규제가 사라졌음에도 불구하고, 보안업계는 여전히 새로운 시스템을 개발하지않고 공인인증서에만 의존하고 있다”고 지적했다.

상대적으로 보안이 강화된 공인인증서가 나왔다해서 공인인증서의 문제점이 사라진 것은 아니라는 점도 분명히 했다.

박 이사는 “공인인증서의 첫 번째 문제점은 결제과정의 불편함이었고, 두 번째는 외국 소비자들이 국내 쇼핑몰에서 전자상거래를 할 수 없는 문제점이었다”며, “'스마트인증' 역시 스마트폰과 PC를 오가며 복잡한 절차를 거쳐야 해 불편함이 줄지 않았고, 스마트폰 기반이라 외국 소비자들에게 더 큰 장벽이 생기는 셈”이라고 설명했다.

또, “보안성이 과연 더 뛰어난지도 아직은 불분명하다”며 “스마트폰 도난이나 분실, 중고거래 등으로 유심이 타인에게 넘어갈 때, 공인인증서까지 같이 넘어가게 되므로 피해 규모가 더 커질 수도 있다”고 전했다.

박 이사는 “현재는 법적으로 폐지된 공인인증서 시스템이 금융사들과 통신사들에 의해 유지되는 상황으로, 소비자들 입장에선 법으로 강제되든 기업들의 담합에 의해서 강제되든 불편한 것은 마찬가지”라며, “세계적 추세에 맞게 공인인증서 폐지가 정답”이라고 밝혔다.

(CNB=정의식 기자)