[디지털데일리 이민형기자] 정부가 전자인증서비스 발전을 위해 공인인증기관 지정방식을 기존 허가제에서 등록제로 바꾸는 법률 개정을 추진함에 따라 다양한 인증기술이 등장할 것으로 기대된다.
오승곤 미래창조과학부 정보보호정책과장은 18일 서울 엘타워에서 열린 ‘전자인증서비스 발전을 위한 컨퍼런스’ 기조연설을 통해 “보다 안전하고 편리한 공인인증서비스 발전을 위해 공인인증발급기관 진입을 허가제에서 등록제 형태로 전환을 추진할 것”이라며 “액티브엑스(ActiveX) 기반이 아닌 새로운 인증서비스가 나올 수 있도록 환경을 조성하겠다”고 말했다.
이어 “현재 사용하고 있는 인증서비스는 PC를 사용하던 시기의 인증방법 중 하나”라며 “모바일 등 새로운 환경에 적합한 인증방법과 기술은 무엇인지 고민해볼 필요가 있다”고 강조했다.
이날 열린 패널토의에서는 PC, 이동식디스크를 대체할 수 있는 공인인증서 보관장소와 액티브엑스를 사용하지 않고 공인인증서를 쓸 수 있는 방법에 대한 논의가 진행됐다.
이정아 라온시큐어 부사장은 “공인인증제의 문제점 중 하나는 공인인증서가 외부로 유출될 수 있다는 것”이라며 “마이크로SD카드에 공인인증서를 넣고 이를 빼낼 수 없도록 만든 제품이 있다. 스마트폰에 탑재해 다닐 수 있기 때문에 사용자 편의성과 안전성을 모두 해결할 수 있다”고 설명했다.
이어 “공인인증서 유출 방지를 위한 핵심요소는 ‘한번 넣으면 나올 수 없는 구조’를 만들어야 한다는 것”이라며 “휴대전화에 삽입되는 유심카드에 공인인증서를 넣어 인증하는 기술도 나온 상황”이라고 전했다.
공인인증서 보관장소로 보안토큰도 거론됐다. 심원태 한국인터넷진흥원 공공정보보호단장은 “공인인증서가 보안에 취약한 인증서로 각인되고 있는데, 이는 사실 액티브엑스로 인한 것”이라며 “공인인증서 유출을 예방하기 위해 보안토큰 등의 매체를 사용하는 것도 대책이 될 것”이라고 말했다.
보안토큰은 전자 서명 생성 키 등 비밀 정보를 안전하게 저장 및 보관할 수 있도록 설계됐다. 기기 내부에 저장된 전자 서명 생성 키 등 비밀 정보는 장치 외부로 복사 또는 재생성되지 않기 때문에 인증서 등을 보관하면 비밀번호를 분실하지 않는 한 유출의 위험은 없다.
HTML5를 활용한 인증기술도 조만간 등장할 것으로 보인다. 이 기술이 등장할 경우 HTML5를 지원하는 웹브라우저에서 별도의 플러그인 없이 공인인증서를 사용 할 수 있게 된다. 현재 한국전자통신연구원에서는 모질라재단과 함께 액티브엑스를 사용하지 않고 브라우저 자체에서 공인인증서를 사용할 수 있는 기술을 개발하고 있다.
진승헌 한국전자통신연구원 실장은 “모질라재단과 함께 웹크립토그래피 워킹그룹(WG)을 꾸려서 운영하고 있다. 웹크립토는 웹브라우저 자체에서 전자서명이 가능한 API로 개발되고 있다”며 “현재까지는 기술초안(에디터드래프트)만 나온 상황이지만 조만간 좋은 소식이 있을 것”이라고 설명했다.
한편 다양한 인증수단의 등장도 중요하지만, 이를 검증할 수 있는 방법도 마련해야한다는 주장도 제기됐다.
이날 패널토의 좌장을 맡은 이정현 숭실대 교수는 “정부에서 공인인증기관을 등록제로 운영할 경우 이들이 가진 공인인증기술에 대한 보안성 검증이 필요할 것 같다. 이러한 부분을 한국인터넷진흥원이 해줘야 하는 것이 아닌가”라고 지적했다.
이에 대해 심 단장은 “앞으로 공인인증서비스에 필요한 다양한 인증수단이 등장할 것으로 예상된다”며 “인증수단에 대한 보안위협을 평가할 수 있는 기준을 만들어야 하는 것에 동의한다”고 말했다.