[디지털데일리 이상일기자] 정부와 금융당국이 카드결제시 전자상거래에서 공인인증서 의무사용을 폐지, 자율에 맡기기로 하면서 새로운 인증수단에 관심이 높아지고 있다.

이번 조치로 그동안 금융권에서 공인인증서 이외에 다른 인증수단을 도입할 수 있도록 금융감독원이 시행해온 ‘인증방법평가’가 무의미해졌다는 진단이 나오고 있다.

인증방법평가는 공인인증서와 동등한 수준을 갖는 인증방법에 대한 안정성 평가 제도로, 보안기술 등급은 ‘보안 가/나군’으로 분류된다.

‘보안 가군’은 30만원 이상 전자금융거래에 필요한 보안등급으로, 공인인증서와 동급의 안정성을 갖춘 것으로 평가된다. ‘보안 나군’은 30만원 미만 전자금융거래가 가능한 보안등급이다.

하지만 인증방법평가를 통해 30만원 미만의 결제가 가능한 ‘보안 나군’ 방식에 대한 승인이 된 적은 있지만 30만원 이상 결제시 요구되는 ‘보안 가군’에 대한 인증은 내 준적이 없다.

현재 보안 나군 인증을 받은 기술로는 LG CNS의 일회성 인증 방식을 이용한 스마트폰 간편 결제와 페이게이트의 ‘Amount Authentication 1.0’ 2가지다. 이들 업체들은 30만원 이상 결제에도 자신들의 방식을 사용할 수 있도록 금감원에 보안 가군 승인을 요청했으나 그동안 지지부진한 상태였다.

하지만 금융당국의 이번 조치로 보안 가군과 나군의 분류가 사실상 무의미해졌다. 금융감독원 김윤진 부국장은 “전자상거래 인증방식에서 보안 가군, 나군 획득의 의미 자체는 없어졌다”며 “하지만 보안 분류 제도 자체의 폐지 등은 아직까지 결정된 바 없다”고 밝혔다.

이번 조치의 핵심은 규정상 공인인증서 사용 의무를 면제해주는 것으로 앞으로는 카드사와 전자지급결제대행업자(PG)들이 공인인증서 사용 여부를 자율적으로 결정하게 된다. 이에 따라 인증방법에 대한 공은 업체들에게 넘어간 것.

김 부국장에 따르면 카드사들이 보안 가군에 있는 기술을 사용하든지, 보안 나군에 있는 기술을 사용하든지 카드사 재량에 따른 것이란 설명이다. 이론적으론 카드사들이 페이게이트와 LG CNS의 기술을 사용하더라도 문제가 없는 것으로 해석된다.

하지만 가군과 나군의 기술 수준이 다른 만큼 카드사들이 당장 보안 나군의 기술을 적용하기에는 부담이 따를 것으로 보인다. 인증방법에 대해 카드사 자율에 맡긴 만큼 책임도 늘어날 수 밖에 없기 때문이다.

그러나 인증방식에 대한 자율성이 부여됨으로서 공인인증서를 대체할 수 있는 기술 개발은 속도를 낼 것으로 보인다.

해외의 경우 암호화인증통신(SSL)과 문자메시지(SMS), 스마트폰 보안 응용프로그램 방식의 인증을 사용하고 있어 이러한 대체기술 적용이 국내에서도 본격화될 전망이다.

<이상일 기자>2401@ddaily.co.kr