공동인증서(공인인증서) : 전자서명, PKI, 카카오인증, 공인인증서 폐지 이슈

현재는 공동인증서라고 불리는 공인인증서는 대한민국에서 인터넷으로 금전거래를 할 때 인증을 위해 필요한 전자서명 중 하나이다.

원래는 이 공인인증서가 대한민국 인터넷에서는 지배적인 전자서명 방법이었지만, 공인인증서가 폐지되면서 다른 인증서들이 개발되기 시작했다.

공동인증서가 대한민국 인증시장에서 입지가 줄어들었지만, 대한민국 인증서의 기틀은 공인인증서에서 시작되었기 때문에, 공인인증서를 자세히 알아보려 한다.

 

---

공인인증서

 

비대면으로 인증을 하기 위해서 필요한 5가지 기능이 있다.

 

1. 인증 : 서비스에 접근하려는 사람의 신원을 확인해야 한다.

2. 인가 : 서비스에 접근하려는 사람이 권한 있는 사람인지를 확인해야 한다.

3. 기밀성 : 암호화를 통해 외부에서 정보를 읽을 수 없도록 해야 한다.

4. 무결성 : 전송되는 데이터가 외부에 의해 변조되지 않도록 해야 한다.

5. 부인방지 : 송신자가 데이터를 송신한 사실을 부인하지 못하도록 한다.

 

이 다섯가지 기능을 모두 가진 PKI(Public Key Infrastructure)를 기반으로 공인인증서를 만들었다.

PKI는 공개키를 신뢰성 있게 배포하기 위한 인프라로 신뢰할 수 있는 제3자의 인증기관 이 공개키에 전자서명을 한 인증서를 배포하고 관리하는 체계를 말한다.

 

PKI의 주요 구성 요소는 아래 표와 같다.

인증서	사용자의 정보와 공개키를 인증기관의 개인키로 전자서명을 하여 보증 하는 문서
인증기관(CA)	사용자 공개키에 전자서명을 하고 인증서를 발급하는 공신력 있는 기관
등록기관(RA)	사용자 신원을 확인하여 등록하고 사용자의 인증서를 CA에 발급 요청 하는 기관
저장소	인증서를 저장 및 검색할 수 있는 공개된 저장소

 

 

 

PKI 인증은 공개키 암호 프로토콜을 사용하여 개인키로 작성된 전자서명을 해당 사용자의 공개키를 사용하여 확인하는 작업이다. 따라서 PKI 인증의 핵심 문제는 사용자별 공개키가 해당 사용자의 공개키가 맞음을 증명하는 작업이다.  PKI는 신뢰할 수 있는 기관인 CA를 통해 발급함으로써 이 문제를 해결한다. 우리나라의 대표적인 CA는 금융결제원이다.

 

인증서 발급 과정을 간단하게 적어보면

1. 사용자가 등록대행기관(은행)을 통해 인증서 발급 요청

2. 등록대행기관이 이걸 CA(금결원)으로 넘김

3. CA는 공개키가 적절한 암호 프로토콜을 사용해서 생성된 키인지 검증하고 신원 정보 진위 확인

4. CA는 공개키+신원정보 인증서를 개인키로 서명하여 인증서 발급

 

우리나라의 경우에는 X.509를 공개키 인증서 표준으로 사용중이다.

 

인증서 인증 절차를 간단하게 적어보면

1. 사용자에게 인증서를 요청하여 제공받음

2. 서버가 CA의 공개키로 인증서를 검증하고 신원정보 추출

3. 서명에 사용될 챌린지를 사용자에게 제공

4. 사용자는 챌린지를 해결(비밀번호 인증 등)

5. 개인키가 해제되고 해시값을 PKI로 암호화

6. 전자서명이 생성되어 서버에 전송

7. 서버가 전자서명을 검증하고 인증결과를 사용자에 전송

 

---

공인인증서의 폐지

 

이렇게 인증이 갖추어야 할 요건을 모두 갖춘 공인인증서는 국가가 인증의 보증주체가 되어주어 기밀성과 무결성을 확실히 갖추게 해준다는 점에서 장점이 크다. 하지만 2020년 5월 20일 국회 본회의에서 공인인증서 폐지법안이 통과되면서 공인인증서는 폐지되었다. 공인인증서의 가장 큰 문제점은 보안 프로그램 설치를 강요한다는 점이다. 누구나 공인인증서를 발급하려다가 설치하라는 보안 프로그램이 너무 많아 불편을 겪은 경험이 있을 것이다.  이에 공인인증서는 공인이라는 독점적 지위를 잃고 다른 사설인증서와 마찬가지로 똑같은 전자서명 수단 중 하나가 되었다.

 

 

 

 

 

---

카카오 인증서

카카오는 공인인증서 폐지가 발의되기 시작되기 이전부터 인증 서비스를 개시하였다.

 

카카오 페이 인증은 카카오톡에 공개키(PKI) 인증기술을 결합한 신개념 전자서명 서비스이다.

 

카카오 페이가 제공하는 서비스는 크게 전자서명, 본인인증, 전자문서로 나뉜다.

 

전자서명 서비스는 민원신청, 전자계약, 개인정보 제공 동의 등 전자서명 데이터가 필요할 때 적합한 서비스이다. 이 기능은 계좌이체, 보험청약, 전자입찰, 전자계약, 2채널 추가인증, 모바일수기 서명 대체를 할 수 있다. 다양한 분야에서 고객의 전자서명 증빙자료가 필요할 때 사용할 수 있다.

아래 사진처럼 전자서명 서비스가 가능한데, 카카오인증을 고객이 선택하면 이용기관의 서버는 카카오인증 서버로 전자서명을 요청한다. 그러면 카카오인증 서버는 요청 메시지를 보내고 고객이 전자서명을 하면 카카오인증 서버가 서명 결괏값을 이용기관 서버에게 전송한다. 그러면 인증이 완료되어 이용기관 서버는 고객에게 다음 서비스를 제공한다.

 

 

 

 

 

 

 

본인인증 서비스는 PC 및 모바일웹 로그인, 챗봇 로그인 앱2앱 로그인, 비밀번호 찾기의 기능을 제공한다. 콜센터 연결고객의 본인인증도 가능하다. 본인인증 서비스는 다음과 같은 단계를 거친다. 먼저 고객이 카카오인증을 선택하면 이용기관 서버는 카카오인증 서버에 본인인증을 요청한다. 그러면 카카오인증 서버는 고객에게 요청 메시지를 보내고 카카오인증 서버에게 고객은 전자서명을 한다. 그러면 카카오인증 서버가 이용기관 서버에게 인증 결괏값을 전송하고 인증이 올바로 됐다면 이용기관 서버는 고객의 로그인을 허용한다.

 

 

 

 

 

전자문서 서비스는 자사 시스템을 구축하고 원스톱 고지납부가 가능하는 등 다양한 방법으로 이용기관 서버가 사용할 수 있다. 전자문서 서비스는 고객의 수신함 도달 여부 확인 등 법적 증빙이 필요한 중요 우편물을 발송한다. 그리고 전자고지 및 원스톱 납부 등 모바일웹에서 실시간 업무 처리가 필요할 때 전자문서 서비스를 이용한다. 이 전자문서 서비스는 비용 절감 및 업무개선을 위해 다양한 분야에서 사용될 수 있다.

전자문서 서비스 제공 과정은 아래 사진과 같다. 먼저 담당자가 이용기관 서버에 발송 대상자를 선정한다. 그러면 이용기관 서버는 카카오인증 서버에 발송을 요청한다. 그러면 고객이 도착 메시지를 받고 전자서명을 한다. 이를 받은 카카오인증 서버는 다시 OTT를 보내고 이용기관 서버에 고객이 OTT를 제출한다. 그러면 이용기관 서버는 카카오인증 서버에 OTT 검증결과를 보낸다. 카카오인증 서버는 유통증명 블록체인에 유통정보를 보내고 이용기관 서버는 고객에게 전자문서를 보낸다.

 

 

 

 

 

카카오 페이 인증은 다양한 공공기관과 사설 기관에 도입되었다. 한국예탁결제원에서는 주주총회 소집 통지문을 발행할 때의 전자문서로 사용한다. 또한, 공인인증서가 공동인증서로 개편되면서 카카오톡 인증이 홈택스에서 인증수단 중 하나로 자리 잡았다. 캡처가 불가능하여 보안이 강화되었다는 장점이 있지만, 계좌를 통한 입금자명 확인이 필요하여 번거롭다는 단점이 있다. 삼성생명에서는 본인인증 로그인, 간편 로그인부터 보험가입을 위한 전자서명까지 가능하다. 삼성화재에서는 다이렉트 보험가입, 보험 갱신계약, 보이는 ARS 본인인증도 가능하다.

 

 

 

 

 

 

---

공인인증서 폐지에 대한 우려와 나의 생각

 

하지만 인증 서비스가 공인 인증 서비스가 아님에서 올 수 있는 문제도 있다.

 

본인이 이용하는 사설 인증서가 안전성이 떨어지거나 문제가 발생했을 때 제대로 책임을 지지 않을 것 같다는 문제가 있을 수 있다. 이에 대비해서 전자서명법에서는 전자서명인증업무 평가 및 인정 제도를 도입하여 사업 자가 자율적으로 자신의 인증 서비스의 안전성 평가 신청을 할 수 있고, 국가는 이에 대해 평가를 해주면 국민들은 안심하고 인증 서비스를 고를 수 있도록 했다.

 

공인인증서의 폐지는 여러 면에서 잘 발의한 법안이라고 생각한다. 2018년 법안을 발의 한 이후 약 2-3년동안 충분한 검토를 거치고 발생할 수 있는 문제점에 대해서는 해결을 하고 통과되었다고 생각하기 때문이다. 공인인증서는 국민들에게는 불편한 것으로 치부되었을 것이다. 그런데 다른 안전성을 보장받으면서도 요즘 많이 활용되는 생체인식을 같이 활용한 인증 시스템들이 많이 도입이 되어 사람들은 지문, 얼굴 인식으로 쉽게 본인임을 인증하고 금융거래, 쇼핑 등을 할 수 있게 되었다. 그러면서도 그간 사용되었던 공인인증서가 ‘공인’의 지위만 잃는 것일 뿐 인증서의 지위는 계속 유지하기 때문에 기존 공인인증서를 편하게 이용했던 이용자는 굳이 다른 인증서를 새로 이용할 필요가 없다는 점도 좋다고 생각한다. 

 

대개 공인인증서 만을 인증수단으로 사용해왔기 때문에 다른 인증 시스템을 개발한 사기업은 자신들의 개발 시스템을 상용화하기가 어려웠을 것이다. 그런 데 공인인증서가 폐지되면서 많은 인증 시스템이 자신들의 시스템을 사용하게 하기 위해 서 서로 경쟁력 있는 시스템을 만들다 보면 우리나라 자체의 인증 시스템이 훨씬 더 안 전성 있고 편리하게 될 것이라고 생각한다. 결과적으로는 우리나라의 인증 시스템 기술 경쟁력이 다른 국가에 비해서 높아질 것이다. 위의 사진은 KT에서 조사한 PASS 인증서 발급 건수인데, 2019년 4월 100만건에 그쳤던 인증서 발급 건수는 공인인증서가 사라지 기 직전인 2020년 11월 2000만건에 도달했을 정도로 사기업의 인증서 발급 건수는 20 배 이상 증가했다. 이 수치만 보더라도 공인인증서 폐지로 인한 사기업의 수혜로 인해 앞으로도 계속해서 인증에 대한 기술적 발전도 일궈낼 것으로 보인다.