안녕하세요, PSJ입니다.
오늘은 역사의 뒤안길로 사라진? "공인인증서"에 대해 알아보겠습니다.
지난 10일(2020/12/10) 전자서명법 개정안이 시행됨에 따라, 공인인증서가 법적으로 폐지됐습니다. 그런데, 이 폐지의 의미는 그간 금융결제원 등 공인인증기관이 발급한 인증서에 대해서만 부여됐던 법적 효력이 민간사업자가 발급한 인증서에도 동일하게 부여됨을 의미합니다.
최근 네이버, 카카오 및 통신 3사의 패스 등 민간업체의 전자서명 서비스도 마케팅 전쟁이 한창인데요. 기존 공인인증서는 "공동인증서"로 이름을 바꿔서 서비스 중입니다. 또 금융결제원에서 서비스하는 "금융인증서"도 이들과 경쟁하고 있습니다.
공인인증서를 폐지하고 공동인증서를 만드는 센스!
얼마 전 은행 이체할 일이 있어서 들어가 보니 금융인증서가 대부분 은행에서 사용이 가능했습니다.
※ 금융인증서 미지원 은행
기업은행 (21년 2-3월 적용 예정)
한국시티은행
농협 (적용 예정)
케이뱅크 (적용 예정)
카카오뱅크 (모바일에 적용 예정)
우체국예금보험
저축은행
신협
산림조합 (적용 예정)
저는 네이버와 카카오 인증서도 발급해 놓고 있는데요, 바야흐로 본인인증 서비스의 춘추전국 시대입니다.
과연 이 혼란스러운 천하를 통일하는 서비스는 누가 될 것인가?
제 개인적으로는 금융결제원에서 운영하는 "금융인증서"가 되지 않을까 합니다.
사실 인증서를 사용하는 용도는 은행, 공공서비스, 보험 등이 있는데요. 이중에 가장 자주 사용되는 게 은행업무 아닐까 하는데요. 민간의 인증서비스(네이버, 카카오페이)를 금융권에서 사용을 꺼린다고 하네요.. 그럼 답은 정해진 거 아닐까요?
금융인증서의 장점?
- 인증서 유효기간 3년
- 비밀번호 6자리
- Cloud 저장
- 인증에 별도 프로그램을 설치 불필요
우려스러운 점
- 인증서 유효기간 3년
- 비밀번호 6자리
- Cloud 저장
- 인증과 별개로 은행에서 별도의 보안 프로그램 설치를 요구할 수 있음
- 여전히 복잡한 타행 등록이 필요
- 공인인증서일 때보다 범용성이 떨어짐
- 새 브라우저/앱을 등록하는 사용 인증 절차에서 발신자(금융결제원)가 요금을 부담하는 ARS 또는 SMS 수신 인증이 아닌 사용자가 요금을 부담하는 SMS 발신 인증을 요구
잉?? 장점이 대부분 우려스러운 점이죠. 그렇습니다. 보안과 편의성은 "양날의 검"이자 "창과 방패" 같은 것이라 생각합니다. 편의성을 좋게 하면 그만큼 보안은 취약 해지는 것이죠.
인증서의 유효기간을 기존 1년으로 잡은 데는 사용자를 귀찮게 하려는 의도(물론 결과적으론 엄청 귀찮죠)가 아니라 유효기간이 길거나, 없다면 그만큼 인증서 유출에 대한 보안성이 취약해지는 것이죠. 이런 점에서 보면 사용자 입장에서는 3년간 갱신하지 않아도 되는 인증서 기존보다 3배 편해진 겁니다. 그만큼 보안도 3배 취약해진 샘입니다.
비밀번호 6자리, 이 부분도 마찬가지입니다. 요즘 회원가입하실 때 패스워드 조건 아시나요? 영문자 대/소문자, 숫자, 특수문자 혼합해서 8자리 이상이 국룰입니다. 이런 패스워드 조건은 당연히 보안을 강화하기 위한 조치입니다. 핀 번호 6자리는 그에 비해서 너무 취약하죠. 그리고 이 핀 번호의 큰 취약점은... 대부분 사용자가 동일한 핀 번호를 공용으로 사용한다는 것이죠. (이건 제 추측입니다, 그렇지 않나요?? 저만 그런가요? ㅎㅎ)
클라우드 저장소를 사용하는 부분도, 보안상 취약한 부분입니다. 해당 클라우드 저장소가 해킹되면 많은 사용자들의 정보가 노출될 가능성이 있기 때문이죠.
그러나, 이런 보안적 취약점은 휴대폰 본인인증을 통해 보완하고 있습니다. 앞서 말씀드린 바와 같이, 해킹과 보안은 창과 방패와 같다고 봅니다. 완벽한 것은 없죠, 어느 서비스나 취약점이 존재할 수 있습니다. 그 서비스를 발전시키고 보완해 나가는 선재적 노력이 지속될 때 비로소 안전한 서비스가 되지 않을까요? 여러분 생각은 어떠신가요?
아무튼 저는, 맥과 iPad에서 safari를 통해 인터넷뱅킹을 할 수 있다는 신세계를 경험하게 되어 무척이나 기쁜 상황입니다. (기존에도 클라우드 인증서를 지원하는 은행에서는 가능했지만..)
아직도 갈길이 멀긴 합니다. 은행 및 서비스 별로 지원하는 인증서비스의 종류가 다르기 때문인데요.. 하루빨리 표준화? 가 되었으면 하는 바람입니다.
이런 춘추전국시대에는 차별화된 서비스나 편의성이 시장을 선도할 수 있는 방안일 것입니다. 어떤 서비스가 시장을 선점할지 기대되네요.
어떤 서비스가 되던지 간에 사용자의 편의성과, 보안 두 마리 토끼를 다 잡을 수 있는 서비스로 발전해 가길 기원합니다.
이상입니다.
오늘도 좋은 하루 보내세요.
공감과 댓글은 큰힘이 됩니다! ^ㅡ^
댓글