5월 20일 전자서명법 전부개정법률안이 국회를 통과했다. ‘공인인증서 폐지법’으로 익숙한 법이다. 공인인증서 및 공인증서에 기초한 공인전자서명 개념이 삭제된다. ‘전자서명 춘추전국의 시대’가 막을 올랐다. 이에 공인인증서의 탄생과 배경, 이후 대두될 전자서명을 살펴보고자 한다.
[디지털데일리 이종현기자] 공인인증서가 가지고 있던 법적 지위를 없애는 내용을 골자로 한 전자서명법 개정안이 20일 국회를 통과함에 따라 새로운 전자서명에 대한 수요와 기대가 높은 상황이다. 특히 주목받는 것은 생체인증과 블록체인이다.
◆주류 등극 기대되는 생체인증=생체인증은 이미 대중에게 익숙해진 전자서명이다. 요즘의 스마트폰이나 은행 애플리케이션(앱) 대부분은 지문이나 홍채 등의 생체정보를 전자서명으로 사용하는 추세다. 이 밖에 정맥 패턴을 이용하거나 얼굴을 인식하는 등 점차 활용성이 높아지고 있다.
생체인증이 크게 주목받는 이유는 뛰어난 본인 확인 능력과 편의성, 분실 우려가 없다는 점 등이다. 특히 분실 위험이 있는 아이디와 패스워드와 달리 분실 정보가 낮다는 점도 매력이다.
다만 초기에는 해킹될 경우 민감한 생체정보가 노출될 수 있다는 위험성, 지나치게 높거나 낮은 인식률 등으로 널리 사용되진 못했다. 공인인증서가 독과점하다시피 해 주요 기관에의 도입이 해외에 비해 늦은 편이기도 하다.
하지만 인증 프로토콜과 인증수단을 분리함으로써 보안 문제를 개선한 국제 인증 기술 표준인 파이도(FIDO, Fast Identity Online)의 등장으로 다소 양상이 바뀌었다. 이종 서비스 연결이 쉽고 편의성이 높다는 점을 주목해 금융기관 등은 앞다퉈 FIDO를 적용한 인증 솔루션을 도입하고 있다.
생체인증 수단도 다양해지고 있다. 기존 지문을 중심으로 확산됐던 생체인증 수단은 최근 홍채나 정맥 등 다양한 생체정보를 활용하기 시작했다.
특히 주목받는 것은 안면인식 기술을 이용한 얼굴인증이다. 코로나19로 언택트(비대면)에 대한 수요가 높아졌다. 최근에는 신분증과 얼굴을 대조하는 것으로 비대면 신원확인을 하는 서비스 출시를 예고한 바 있다.
이런 변화는 보조 인증 수단으로 활용되던 생체인증의 확산과, 보조에 그쳤던 생체인증이 주 인증 수단으로 바뀔 수 있음을 시사한다.
생체 보안 기술을 연구하는 업계 관계자는 “지문인증 등 생체인증이 활용된 것은 꽤 됐지만 공인인증서로 인해 보조적인 역할에 그쳤던 것이 사실”이라며 “전자서명법 개정을 계기로 다채로운 생체인증 기술이 등장할 것으로 기대된다. 기존 공인인증서의 대체 인증 수단으로 활용될 수도 있을 것”이라고 말했다.
◆보안성·편의성 장점으로 내세운 블록체인=차세대 인증 기술로 크게 각광받고 있는 것은 블록체인이다. 카카오페이 인증과 은행연합회 회원사들이 개발한 ‘뱅크사인’ 등이 블록체인을 이용했다.
특히 주목받고 있는 것은 블록체인 기술을 기반으로 한 분산ID(DID)다. DID는 기존 개인정보를 중앙기관에서 관리하던 기존 방식과 달리 이용자 개개인이 개인정보를 관리하는 전자서명 기술이라는 것이 차별점이다.
DID는 최초 발급을 위해 한 번의 개인정보만 제공하면 된다. 발급기관은 이용자의 정보를 블록체인에 분산 저장한다. 가령 특정 기관에서 이용자의 신원확인·자격증명을 요구할 경우 이용자는 기관에 DID를 제출하고, 해당 기관은 제출받은 DID를 블록체인 상에 분산 저장된 정보로 검증해 신원을 증명한다.
이용자는 필요 최소한의 정보만 기관에 제출하기 때문에 불필요한 정보가 노출되는 것을 막을 수 있다. 또 신원증명을 한 기업·기관의 서버가 해킹당해 정보가 유출되더라도 이용자의 정보는 유출되지 않는다.
유망한 기술인 만큼 DID 시장 주도권을 위한 경쟁도 치열하다. DID 시장주도권을 위해 ‘DID 얼라이언스’, ‘마이아이디 얼라이언스’, ‘이니셜 DID’ 등 3개 DID 연합체가 삼파전 양상을 띠고 있었다. 여기에 LG CNS가 뛰어들었다. LG CNS는 26일 캐나다 DID 기술서비스 전문기업 에버님과 DID 글로벌 표준 구축을 위한 업무협약을 체결했다.
업계 관계자는 “순수한 경쟁은 기술 발전을 위해 긍정적이다. 하지만 지나칠 경우 역효과를 볼 수 있다”며 과열경쟁을 우려했다.
DID의 핵심은 신원확인이다. 해당 기술이 널리 사용되려면 플랫폼의 활용 범위가 넓어야 한다. 가령 극소수의 기관에서만 사용할 수 있는 기술이라면 효용성은 크게 떨어진다. 궁극적으로 하나의 DID를 통해 복수의 기관이나 기업에서 신원확인을 할 수 있어야 한다. 이를 위해서는 DID 연합체 내 기업·기관뿐만 아니라 각 연합체끼리의 DID 공통 표준이 필요하다는 것이 그의 의견이다. <이종현 기자>bell@ddaily.co.kr