104화 인증? 어 인증!

팟빵에서 듣기     |     아이튠즈에서 듣기


공인인증서의 역사

공인인증서에 대한 이야기를 하려면 1999년으로 거슬러 올라갑니다. 이때 벌써 IT기술의 태동이 있었던 우리나라는 전자서명법을 발효하면서 한국의 일찌감치 전자정보통신기술을 이용한 상거래/은행업무/전자정부에 대비하게됩니다. 특히 전자정부를 구현해내는 기술을 연구하기위해 11명의 암호학교수들이 모여서 연구를 시작했다고 합니다.

이 연구도중 두갈래로 파벌이 나뉘게되는데요. 전자정부를 중심으로하는 상공회의소와 행정부를 중심으로한 축과 금융결제원(이하 범용인증서) 은행 등 금융업계를 중심으로하는 축(이하 일반인증서)으로 나뉘게됩니다. 두가지형태의 공인인증서. 감이 오시죠? 일반 인증서와 범용 공인인증서. 이 두개로 공인인증서가 갈래로 나뉘게된 이유입니다.

앞서 말한대로 일반인증서는 정부가 국민 개개인을 인증하기위해 행정부이 인증서의 효력을 보증하고, 법에따라 인증서를 발급하는 사업자를 입찰하게되는데 한국정보인증(KICA)가 발급업무를 담당하게됩니다. 반면, 범용인증서라 불리는녀석은 금융결제원(yessign)이 발급자가 되고, 은행, 보험회사들이 이 인증서의 효력을 보증하게됩니다. 그러니까, 하나는 공적주체인 행정부가. 하나는 사적주체인 금융회사가 보증을하게되고, 후자의경우 금융결제원에 거래기록이 있는 사람만 보증을 할 수있다라는 맹점을 가지게됩니다.

이렇게되면서 범용인증서는 학교나 전자정부 인증서를 중심으로 사용하게되지만 금융결제원에 거래기록이 있는 사람들만 사용이가능하고 또 사적주체가 공인인증서의 효력을 보증하기에 은행간에 연동이 되지않는등 일반 인증서로는 할수있는 업무가 매우 제한되게 되었습니다. 이 문제는 은행간의 타행인증서를 등록하여 각 은행이 서로 연대보증을 하는 형태로 해결이 되어 현재는 자유롭게 쓸 수 있죠. 2001년. 전자정부법이 생기고 인터넷이 급격히 발달하면서 인터넷으로 금융업무를 보고자하는사람이 많아지면서 전자서명법이 개정됩니다. 앞서 생겼던 파벌을 조금 정리한셈이죠. 정부와 금융업계(금융결제원)가 각각 보증을 서던 인증서의 효력을 정부만 보증을 설 수 있도록 교통정리를 하게됩니다. 다만 이 보증(사인)된 인증서의 발급을 대신하는 곳을 여러회사로 둘 수 있게하여 지금의 형태로 자리를 잡게됩니다.

이렇게 개인용으로는 범용인증서와, 금융거래용 인증서로 나뉘어 받을 수 있고 개인용 인감의 형태를 띄는 범용인증서는 유료로, 금융거래로 용도가 제한되는 금융거래용 인증서는 무료로 발급이 가능합니다.

시간이가면서 일반적인 용도로는 무료로 발급이 간으한 금융거래용 인증서로도 대다수의 업무가 가능하지만, 정부사이트접속이나 자격증 시험응시, 병무청접속, 고액이체, 전자정부 시스템에서 공무원들의 서명날인 등의 특수한 업무가 필요할때에는 범용인증서를 사용하도록 되어있습니다. 범용인증서가 사이버인감의 역할을 대신하도록 되어있기때문입니다. 금융거래용 인증서와 범용인증서는 같은 고수준의 보안으로만들어져있고, 범용공인인증서안에는 본인임을 증명할 수 있는 보다 다양한 정보가 들어있기때문입니다.

우리나라의 공인인증서가 채택하고있는 방식은 한국에서 자체 개발한 SEED 방식의 암호화로 40년이상 사용된 ’낡은방식이다’라는 인식이 많지만, 거꾸로 뒤집어서 생각해보면 40년이상 아무문제없이 신뢰성있게 사용된 방식으로 생각할 수도 있습니다. 보수적인 보안업게에서 40년이상 무리없이 사용했기때문에 계속해서 사용중인 방식인것이죠. SEED는 한국 인터넷 진흥원(KISA)에서 1999년 개발한 대칭키 기반의 암호화 알고리즘입니다. 그래서 꽤나 튼튼한 방식으로 공인인증서는 만들어져 있다고 볼 수 있습니다.

하지만 여기서 우리가 공인인증서를 싫어하는 이유가 발생하게됩니다. 공인인증서가 만들어지던 1999년만해도 미국이 자국기술을 보호하기위해서 40비트이상의 암호화기술을 수출하는것을 금지했습니다. 40비트는 1997년컴퓨터기술로 3.5시간만 투자하면 무작위로 대입하는 (브루트포스)방식으로 쉽게 뚫을 수 있는 방식이었는데요.

금융거래에 사용하기에는 너무위험한 기술이었고 당시 개발자들은 이런 문제점을 해결하기위해 128비트 암호화를 지원하는 SEED를 사용할 수 있도록 자체적으로 플러그인을 만들기시작합니다.

이때 선택한게 다들 할 줄 알고 쉽게 개발할 수있으며 또 쉽게 설치가되는 Active X를 선택하게됩니다. 이후 미국의 자국 암호화 수출제한은 풀렸으나 이미 ActiveX와 SEED를 사용하는 시스템이 너무많아버려졌고, 다른 브라우저에서는 인터넷뱅킹이 안된다는 이유로 오히려 IE에 종속화되어가는 인터넷 환경이 만들어지면서 ‘잘되는데 왜바꿔?’라는 인식이 팽배하게되면서 ActiveX에 더욱더 종속되게됩니다.

ActiveX를 설치 하지않으면 아예 진행이 되지 않기때문에 여기에 익숙한 사용자들은 ActiveX를 설치하는것에 익숙해지고 점점 더 컴퓨터관리는 불가능한 상태로 빠지게되는것이죠(..)

무엇보다 공인인증서의 가장 큰 위험요소중하나는 드라이브의 일반폴더인 NPKI폴더만 복사해가면 공인인증서를 탈취할수있다는것입니다. 이처럼 공인인증서를 탈취한뒤에는 파일에 직접 무작위 대입이 가능한 구조를 취하고 있기떄문에 시간과 노력만 들인다면 공인인증서의 비밀번호를 찾기는 쉬운구조입니다.

아직까지 공인인증서를 탈취해 피해가 발생한 사례는 없지만, 2014년 5월 공인인증서 7천건이 해외로 탈취되는 사건이 발생하기도 했었죠. 한국인터넷진흥원이 우선적으로 해커를 찾아내 탈취된 공인인증서를 폐기했다고 밝히기도 했습니다.

이처럼 공인인증서자체는 나쁘지않은 시스템이지만 그를 지탱하고있는 서비스시스템들이 너무나 부실하고, 허술한 시스템인 Active X를 기반으로하고있기 때문에 해외에서는 하나둘 Active X를 버리는 추세이고 그 중간에 우리나라가 서있었습니다.

2014년 박근혜정권에서 “별그대에서 나온 천송이코트”를 중국인들이 공인인증서때문에 구매하지 못한다라고 말하고있으며 공인인증서가 개편될 필요성이 있다고 지적하였고 이런 여파들이 몰리자, 2014년 10월 1일 전자금융거래법이 개정돼 금융사가 공인인증서를 의무적으로 사용해야하는 조항이 사라지게됩니다. 따라서, 금융사는 고객을 식별하는 키를 꼭 공인인증서를 쓰지 않아도 되게 되었습니다. 하지만 이는 의무로 사용할 필요가 없어진것이지 꼭 없애야 한다는것은 아니기때문에 이미 만들어진 시스템을 쉽게 무너뜨릴리 없는 보수적인 기업은 공인인증서를 계속 쓰게 됩니다. 하지만 모바일 시대가 잦아지고 크롬, 파이어폭스등 Active X를 지원하지 않는 브라우저가 어마어마한 성능으로 IE를 누르고 올라오게되면서 Active X퇴출에대한 유저들의 압력이 많아지고있기때문에 공인인증서를 Active X를 통해 로드하는 방식은 서서히 사라지고 있습니다.

다른 브라우저에대한 요구사항이 많아지고 Active X 를 사용하는 대신 EXE파일을 사용하는 신박한 해결책을 정부가 내놓게되는데요. 이렇게되면 Active X가 활용가능한구조에서는 이 EXE를 실행할 수 있게되며, 크롬과같은 브라우저에서는 외부 프로그램을 실행할 수있도록하는 NPAPI를 사용하면 이 EXE를 실행해 브라우저와 프로그램이 통신할 수 있는 구조가 되게되어 한동안 이 방식이 각광을 받았습니다. 2015년부터는 Windows 10에서 IE를 기본 브라우저로 사용하지 않고, Active X를 지원하지않는 Edge Browser를 사용하고 있고, 크롬도 Active X와 비슷한역할을 하고있던 NPAPI에대한 지원을 “싹” 없애개 되면서, EXE를 이용한 인증방식은 반짝하고 사라지게 됩니다.

결국 브라우저에 내장된 128비트 인증방식을 이용한 방식이 점점 많아지고 있으며, 최근에는 HTML 5를 기반으로한 ‘브라우저인증서’라는 이름으로 아무런 플러그인도 설치하지않고도 인증을 할 수 있는 방식이 연구되고 있습니다.

이렇게 파일기반으로 인증하던 방식을 떠나 요즘은 스마트폰에 달린 다양한 인증도구를통해 생체 인식을 하는 방식을 많이 사용하고있는데요 이를 FIDO라고 합니다.

바이오 메트릭스

그렇다면 이렇게 파일이나 비밀번호를 이용하는 인증 방식 외에는 무엇이 있을까요? 비밀번호를 사용하는 것은 굉장히 불편한 점이 많습니다. 비밀번호를 잊어버릴수도 있고 비밀번호가 아닌 물리적인 열쇠를 사용한다면 열쇠를 잃어버릴수도 있습니다. 이러한 단점을 보완하기 위한 방식으로 바이오 메트릭스라는 방식이 나타나게 됩니다. 한국어로 번역하면 생체인증방식이라고도 불리는 이 방식은 이미 우리 삶에 많이 녹아들어있는 인증방식입니다. 고유한 생체적, 행동적 특징을 통해 본인이 맞음을 인증하는 방식으로 사람의 고유한 형질을 이용하는 것이 핵심입니다.

생체인식의 방식은 지문이나 홍채 인식을 넘어서 정맥 패턴, 음성, 귀의 모양이나 눈의 깜박이는 속도, 필적까지 포함됩니다. 지문의 경우는 이미 스마트폰에서 많이 찾아볼 수 있는 인식 방식으로 일반적으로 비밀번호보다 보안성이 더 뛰어나다는 평을 받고 있습니다. 비밀번호 입력보다 더 간편한 방식이기 때문에 귀찮아서 비밀번호조차 사용하지 않는 사람들도 사용하고 있기 때문에 더 많은 사람들이 잠금장치를 사용하게 되기 때문입니다.

iPhone X에 도입되면서 많은 관심을 받던 안면인식 기능은 과거에는 단순히 사람을 2D형태의 평면도로 인식했기 때문에 신기한 기술이였지만 보안성이 뛰어나지 않고 오차율도 높아서 기피되던 기술입니다. 하지만 지금은 얼굴의 굴곡이나 음영, 구조를 파악해 입체적으로 안면을 인식하는 시스템을 사용하고 있어서 도입에 문제가 되던 보안성을 보완하여 다시 주목받는 기술입니다.

다만 생체인식은 사람의 몸에 달려있는 비밀번호인 만큼 한번 노출되면 이를 모방할수 있고 변경이 불가능하다는 단점이 있습니다. 실제로 2005년에는 말레이시아에서 지문인식 기능이 탑재된 벤츠 자동차를 훔치기 위해 차주에 손가락을 자르는 사건도 있었습니다. 이때문에 극도의 보안을 요구하는 시스템에서는 권장하지 않거나 고전의 인증방식 (비밀번호나 열쇠 등)을 함께 사용하고 있습니다.

Comments

comments

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다