list

간편인증 패러다임의 전환 과정을 살펴보면, 인증 기술은 정보보호와 신원확인을 위한 필수적인 수단으로 디지털 기술의 발전과 함께 꾸준히 진화해왔다. 1990년대 후반 (구)공인인증서의 도입은 인터넷 금융과 전자상거래 등에 필수적인 인증과 전자서명을 가능하게 하여 관련 산업 발전의 밑거름이 되었다. 그러나 시간이 지날수록 각종 보안 문제가 대두되고 사용자 편의성을 저해하는 등 공인인증서의 여러 가지 부정적인 요소가 부각되었다. 이에 따라 2020년 전자서명법 개정을 통해 (구)공인인증서의 독점이 폐지되면서 민간 간편인증서비스가 본격적으로 확산되기 시작했다.

본 칼럼은 간편인증 서비스의 확산 배경, 현황, 장점과 한계, 그리고 개선 방향을 다양한 관점에서 분석하여 간편인증과 전자서명 기술의 동향과 전망을 제시한다.

1. (구)공인인증서의 한계와 간편인증의 등장

초기 디지털 인증 방식에는 주로 아이디/패스워드 형태의 지식 소유기반 인증을 이용하였다. 이러한 방식은 사용자와 서비스 제공자 간 전송되는 데이터의 무결성 보장이나 온라인에서 사용자 행위에 대한 부인방지 기술을 제공할 수 없었으며, 관련 정책 또한 부재하였다.

1999년 「전자서명법」이 제정되면서 사용자 인증, 무결성, 부인방지에 대한 정책적인 토대가 마련되었고, 이를 기반으로 (구)공인인증서 서비스가 출현하면서 온라인 금융거래, 전자상거래, 공공서비스 등에 필수적인 인증 및 전자서명 수단으로 자리매김하게 되었다. 하지만 2000년대 초반 (구)공인인증서를 발급하는 (구)공인인증기관이 전자서명인증시장을 독점하는 문제점이 대두되었고, ActiveX 등 비표준 기술을 사용함에 따라 일부 OS/브라우저 환경에서만 인증서비스 이용이 가능하여 접근성 제한 및 각종 보안 문제가 발생하였다. 또한 사용자가 인증서를 갱신하려면 인증서비스를 이용하는 기관 또는 사업자(이하 이용기관)에 인증서를 등록하여야 하는 등 인증 서비스의 편의성을 저해하는 문제가 지속적으로 발생했다. 이를 해결하기 위해 금융권을 중심으로 블록체인 기반 인증서비스인 ‘뱅크사인’(이후 뱅크아이디로 변경)을 출시하였으나, PC에서 단독적인 사용이 어렵고 느린 속도 등 사용자 편의성 문제가 대두되면서 2024년 현재 대부분의 금융사들은 해당 서비스를 종료하는 추세이다.

이에 2020년 전자서명법 전부 개정을 통해 (구)공인인증서의 독점적 지위가 폐지되었고, 다양한 보안 기술이 적용된 전자서명인증서비스의 차별 없는 경쟁이 가능한 시대가 열렸다.

(표) 전자서명인증서비스 현황 (출처: 한국인터넷진흥원 홈페이지)


2. 간편인증의 구조와 특징

간편인증서비스는 이용기관에 가입자의 개인정보를 전송하여 가입자를 식별하거나, 사용자가 이용기관에 제공하는 전자문서에 대한 전자서명 기능을 지원한다.

(그림 1) 간편인증 및 전자서명 흐름

① 사용자는 웹브라우저 또는 APP 등을 통해 이용기관에 개인정보와 전자문서 관련 내용을 입력하고 사용자 인증 또는 전자서명을 요청한다.

② 이용기관은 ①에서 수집한 사용자의 개인정보를 간편인증사업자에게 전달해 사용자 식별을 위한 개인정보 또는 전자서명을 요청한다.

③ 간편인증사업자는 각 사업자가 제공하는 인증 방식을 통해 전자서명생성정보를 보유한 해당 사용자(가입자)가 가입자임을 확인하고, 전자문서에 대한 전자서명정보를 생성한다.

④ 간편인증사업자는 ③에서 획득한 전자서명정보와 가입자의 인증서 발급 시 사업자가 수집하는 CI(연계정보)를 포함한 개인정보를 이용기관에 전달한다.

⑤ 이용기관은 간편인증사업자로부터 수신한 가입자의 개인정보를 이용기관이 보유한 사용자의 개인정보와 비교하여 일치여부를 확인함으로써 사용자의 신원을 확인하고, 전자문서에 대한 전자서명정보를 검증한다.

현재 간편인증서비스는 국세청, 정부24와 같은 공공서비스 및 금융, 전자상거래 등 다양한 산업군에서 사용되고 있으며, 기존 (구)공인인증서 대비 사용자와 이용기관에 높은 보안성과 편의성을 제공한다.

① 보안 표준 준수: PC에서 이용 시 W3C 웹표준 등 각종 글로벌 표준을 준수하므로 ActiveX, exe와 같은 추가 프로그램 설치가 불필요하고, 사용자가 인증서비스를 이용하기 위한 시간 또는 공간적인 제약사항이 없다.

② 안전한 인증서 저장환경: 전자서명을 위해 필요한 전자서명생성정보를 스마트폰의 안전한 저장소(KeyStore/KeyChain)에 저장함으로써, 하드디스크와 같은 매체에 정보를 저장하는 (구)공인인증서 대비 강력한 보안성을 제공한다.

③ 편리한 인증수단: 사용자는 전자서명을 위한 인증 시 생체인증을 사용함으로써 비밀번호를 기억하거나 입력해야 하는 불편함을 없애고, 비밀번호가 유출될 위험성을 낮출 수 있다.

(그림 2) 간편인증을 이용한 로그인 및 전자서명 화면 (국세청 홈택스)


3. 간편인증서비스 도입 시 고려사항 및 개선방안

이용기관에서는 최근 다양한 간편인증서비스의 출현에 따라 이를 적용하는 과정에서 상당 수준의 어려움을 토로하고 있는 실정이다.

이용기관 담당자들은 이용기관 서비스 내 간편인증서비스를 각각 다른 방식으로 적용하기 위해 많은 개발 인력과 비용이 필요한 점을 지적한다. 또한 간편인증서비스마다 각자 계약을 체결해야 하고, 이용 대금을 정산하는 과정 또한 각 간편인증사업자(전자서명인증사업자) 별로 진행해야 하는 등 운영 관점에서 고려해야 할 부분이 많은 것에 대한 부담을 가지고 있다.

이에 드림시큐리티, 행정안전부, 한국인터넷진흥원(KISA) 등 다양한 공공기관 및 민간사업자들은 다양한 간편인증서비스를 하나로 통합한 간편인증 중계 솔루션 또는 서비스를 이용기관에 제공하고 있다. 이를 통해 이용기관은 간편인증서비스를 도입하는 데 필요한 개발 부담을 현저히 줄일 수 있게 되었으며, 중계사업자 중 일부는 이용기관에 한 번의 계약으로 모든 간편인증사업자와의 계약을 체결하고 정산을 대행해주는 서비스를 제공하기도 한다.