[IT동아 이상우 기자] 티모넷이 4월 4일 열린 2017 모바일 테크데이에서 모바일 서비스와 보안의 오늘과 미래를 주제로 컨퍼런스를 개최했다. 티모넷은 이 자리에서 자사가 개발한 클라우드 기반 보안토큰 서비스 '이지사인'을 소개하고 이를 시연하며 공인인증서의 발전 가능성을 시사했다.
연사로 나선 티모넷 윤원석 상무는 "공인인증서는 액티브X 설치 강요 및 이에 따른 플랫폼 제한, 안전하지 않은 저장소 등 몇 가지 불편한 점 때문에 오해와 불만이 많지만, 그럼에도 불구하고 여전히 필요한 서비스다. 따라서 이를 더 안전하고 편리하게 사용할 수 있는 수단이 필요하다"고 말했다.
기존 공인인증서의 문제점은 크게 세 가지로, 첫 번째는 안전하지 않은 저장소이 보관되다는 점이다. 예를 들어 스마트폰에 공인인증서를 보관하는 경우, NPKI, 폴더가 스마트폰 내부 폴더로 노출돼 있으며, 이를 하드디스크나 USB 메모리 등의 다른 저장소로 복사하는 것도 너무나 쉽다. 이를 위해 보안토큰 같은 휴대용 저장 매체에 인증서를 보관하는 방법도 있지만, 인증서를 사용할 때마다 보안토큰을 휴대해야 하는 불편함이 있다.
다음으로 안전성이다. 공인인증서 자체는 안전한 기술이지만, 비밀번호가 노출되면 타인도 사용 가능하다. 특히 안전하지 않은 저장소에 보관된 인증서가 비밀번호와 함께 탈취된다면 누구나 그 인증서를 사용할 수 있게 된다(물론 이런 일을 막기 위해 OTP 등 2차 인증 수단을 함께 사용하는 경우도 있다). 마지막으로 액티브X다. 대부분의 온라인 금융 서비스나 공공 서비스를 이용할 때 공인인증서를 요구하는데, 이를 위해 액티브X 설치가 필요한 경우가 많다. 이 때문에 사용할 수 있는 플랫폼이 인터넷 익스플로러로 제한된다. 참고로 온라인쇼핑몰 등 전자상거래에서 공인인증서 의무사용 규정이 폐지됐지만, 여전히 많은 기업이 기존 방식인 액티브X와 공인인증서를 이용하는 실정이다.
클라우드 기반 보안토큰 서비스 '이지사인'은 이러한 불편함을 한 번에 해결할 수 있는 기술이다. 클라우드 서버에 있는 하드웨어 보안 모듈에 개인 또는 법인 인증서를 저장하고 필요할 때마다 이를 불러와 사용할 수 있기 때문에 해킹 등으로 인해 인증서가 탈취당할 우려를 줄일 수 있다. 인증서는 단순한 PIN뿐만 아니라 스마트폰에 있는 지문인식 등 바이오인식 기술과 연동해 사용하는 것도 가능하다. 생체적 특징을 이용한 바이오인식은 탈취가 상대적으로 어렵기 때문에 스마트폰 등을 이용한 결제에서도 많이 쓰이는 추세다.
특히 이지사인은 웹 표준 기술인 HTML5를 기반으로 작동한다. 별도의 액티브X 설치가 필요 없기 때문에 인증서 사용 시 인터넷 익스플로러를 켤 필요도 없다. 뿐만 아니라 크롬, 파이어폭스, 오페라 등 다양한 웹 브라우저를 지원하며, 운영체제 역시 윈도우뿐만 아니라 맥OS나 리눅스, 안드로이드, iOS 등에서도 사용할 수 있다.
클라우드를 기반으로 작동하기 때문에 인증서를 휴대할 필요도 없는 점이 장점이다. 예를 들어 법인용 공인인증서의 경우 하나의 인증서를 여러 사람이 사용하는 경우가 많다. 이 때 인증서를 사용하려면 하나의 보안 토큰을 여러 사람이 돌려 사용해야 한다. 하지만 클라우드 기반 인증서는 권한을 받은 사람이라면 공인인증서를 직접 휴대하지 않고도 공인인증 서비스 사용할 수 있으며, 관리자는 특정 사용자에게 권한을 부여하거나 해제하는 작업을 손쉽게 할 수 있다.
무엇보다 현재 금융 서비스 웹 페이지에 구축된 기존 시스템과도 호환하기 때문에 기존 USB 형태의 보안토큰을 인증 수단으로 지원하는 서비스라면 어디서든 사용할 수 있다.
티모넷 윤원석 이사는 "클라우드 보안토큰을 통해 인증서를 사용하게 되면 향후 직간접적인 이용자는 전체적으로 최소 1,700만에 이용할 것으로 생각한다. 티모넷은 지난 2012년부터 보안과 관련한 기술을 준비해왔으며, 이러한 경험을 바탕으로 보안토큰 원천기술을 확보했고, 이를 통해 클라우드 보안토큰 관련 특허도 개발했다. 티모넷은 5000만 국민이 공인인증서에 관한 불만 없이 안전하게 사용할 수 있도록 최선을 다하겠다"고 말했다.
글 / IT동아 이상우(lswoo@itdonga.com)