간편인증 패러다임의 전환 과정을 살펴보면, 인증 기술은 정보보호와 신원확인을 위한 필수적인 수단으로 디지털 기술의 발전과 함께 꾸준히 진화해왔다. 1990년대 후반 (구)공인인증서의 도입은 인터넷 금융과 전자상거래 등에 필수적인 인증과 전자서명을 가능하게 하여 관련 산업 발전의 밑거름이 되었다. 그러나 시간이 지날수록 각종 보안 문제가 대두되고 사용자 편의성을 저해하는 등 공인인증서의 여러 가지 부정적인 요소가 부각되었다. 이에 따라 2020년 전자서명법 개정을 통해 (구)공인인증서의 독점이 폐지되면서 민간 간편인증서비스가 본격적으로 확산되기 시작했다.
본 칼럼은 간편인증 서비스의 확산 배경, 현황, 장점과 한계, 그리고 개선 방향을 다양한 관점에서 분석하여 간편인증과 전자서명 기술의 동향과 전망을 제시한다.
1. (구)공인인증서의 한계와 간편인증의 등장
초기 디지털 인증 방식에는 주로 아이디/패스워드 형태의 지식 소유기반 인증을 이용하였다. 이러한 방식은 사용자와 서비스 제공자 간 전송되는 데이터의 무결성 보장이나 온라인에서 사용자 행위에 대한 부인방지 기술을 제공할 수 없었으며, 관련 정책 또한 부재하였다.
1999년 「전자서명법」이 제정되면서 사용자 인증, 무결성, 부인방지에 대한 정책적인 토대가 마련되었고, 이를 기반으로 (구)공인인증서 서비스가 출현하면서 온라인 금융거래, 전자상거래, 공공서비스 등에 필수적인 인증 및 전자서명 수단으로 자리매김하게 되었다. 하지만 2000년대 초반 (구)공인인증서를 발급하는 (구)공인인증기관이 전자서명인증시장을 독점하는 문제점이 대두되었고, ActiveX 등 비표준 기술을 사용함에 따라 일부 OS/브라우저 환경에서만 인증서비스 이용이 가능하여 접근성 제한 및 각종 보안 문제가 발생하였다. 또한 사용자가 인증서를 갱신하려면 인증서비스를 이용하는 기관 또는 사업자(이하 이용기관)에 인증서를 등록하여야 하는 등 인증 서비스의 편의성을 저해하는 문제가 지속적으로 발생했다. 이를 해결하기 위해 금융권을 중심으로 블록체인 기반 인증서비스인 ‘뱅크사인’(이후 뱅크아이디로 변경)을 출시하였으나, PC에서 단독적인 사용이 어렵고 느린 속도 등 사용자 편의성 문제가 대두되면서 2024년 현재 대부분의 금융사들은 해당 서비스를 종료하는 추세이다.
이에 2020년 전자서명법 전부 개정을 통해 (구)공인인증서의 독점적 지위가 폐지되었고, 다양한 보안 기술이 적용된 전자서명인증서비스의 차별 없는 경쟁이 가능한 시대가 열렸다.
(표) 전자서명인증서비스 현황 (출처: 한국인터넷진흥원 홈페이지)
2. 간편인증의 구조와 특징
간편인증서비스는 이용기관에 가입자의 개인정보를 전송하여 가입자를 식별하거나, 사용자가 이용기관에 제공하는 전자문서에 대한 전자서명 기능을 지원한다.
(그림 1) 간편인증 및 전자서명 흐름
① 사용자는 웹브라우저 또는 APP 등을 통해 이용기관에 개인정보와 전자문서 관련 내용을 입력하고 사용자 인증 또는 전자서명을 요청한다.
② 이용기관은 ①에서 수집한 사용자의 개인정보를 간편인증사업자에게 전달해 사용자 식별을 위한 개인정보 또는 전자서명을 요청한다.
③ 간편인증사업자는 각 사업자가 제공하는 인증 방식을 통해 전자서명생성정보를 보유한 해당 사용자(가입자)가 가입자임을 확인하고, 전자문서에 대한 전자서명정보를 생성한다.
④ 간편인증사업자는 ③에서 획득한 전자서명정보와 가입자의 인증서 발급 시 사업자가 수집하는 CI(연계정보)를 포함한 개인정보를 이용기관에 전달한다.
⑤ 이용기관은 간편인증사업자로부터 수신한 가입자의 개인정보를 이용기관이 보유한 사용자의 개인정보와 비교하여 일치여부를 확인함으로써 사용자의 신원을 확인하고, 전자문서에 대한 전자서명정보를 검증한다.
현재 간편인증서비스는 국세청, 정부24와 같은 공공서비스 및 금융, 전자상거래 등 다양한 산업군에서 사용되고 있으며, 기존 (구)공인인증서 대비 사용자와 이용기관에 높은 보안성과 편의성을 제공한다.
① 보안 표준 준수: PC에서 이용 시 W3C 웹표준 등 각종 글로벌 표준을 준수하므로 ActiveX, exe와 같은 추가 프로그램 설치가 불필요하고, 사용자가 인증서비스를 이용하기 위한 시간 또는 공간적인 제약사항이 없다.
② 안전한 인증서 저장환경: 전자서명을 위해 필요한 전자서명생성정보를 스마트폰의 안전한 저장소(KeyStore/KeyChain)에 저장함으로써, 하드디스크와 같은 매체에 정보를 저장하는 (구)공인인증서 대비 강력한 보안성을 제공한다.
③ 편리한 인증수단: 사용자는 전자서명을 위한 인증 시 생체인증을 사용함으로써 비밀번호를 기억하거나 입력해야 하는 불편함을 없애고, 비밀번호가 유출될 위험성을 낮출 수 있다.
(그림 2) 간편인증을 이용한 로그인 및 전자서명 화면 (국세청 홈택스)
3. 간편인증서비스 도입 시 고려사항 및 개선방안
이용기관에서는 최근 다양한 간편인증서비스의 출현에 따라 이를 적용하는 과정에서 상당 수준의 어려움을 토로하고 있는 실정이다.
이용기관 담당자들은 이용기관 서비스 내 간편인증서비스를 각각 다른 방식으로 적용하기 위해 많은 개발 인력과 비용이 필요한 점을 지적한다. 또한 간편인증서비스마다 각자 계약을 체결해야 하고, 이용 대금을 정산하는 과정 또한 각 간편인증사업자(전자서명인증사업자) 별로 진행해야 하는 등 운영 관점에서 고려해야 할 부분이 많은 것에 대한 부담을 가지고 있다.
이에 드림시큐리티, 행정안전부, 한국인터넷진흥원(KISA) 등 다양한 공공기관 및 민간사업자들은 다양한 간편인증서비스를 하나로 통합한 간편인증 중계 솔루션 또는 서비스를 이용기관에 제공하고 있다. 이를 통해 이용기관은 간편인증서비스를 도입하는 데 필요한 개발 부담을 현저히 줄일 수 있게 되었으며, 중계사업자 중 일부는 이용기관에 한 번의 계약으로 모든 간편인증사업자와의 계약을 체결하고 정산을 대행해주는 서비스를 제공하기도 한다.
(그림 3) 간편인증 중계서비스 개념
최근 다양한 간편인증 중계사업자가 등장하며 이용기관에서 간편인증 도입 및 운영이 용이해짐에 따라, 간편인증서비스의 이용률이 증가하는 추세이다. 반면, 관련 보안사고 발생률도 조금씩 높아지고 있다.
간편인증중계사업자가 제공하는 중계서비스는 기본적으로 사용자의 개인정보와 같은 중요 정보를 전송하므로 「개인정보보호법」 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」과 같은 관련 법령을 준수해야 하고, 높은 수준의 물리적·기술적·관리적 보안을 고려해야 한다.
일반적으로 이용기관에서 사용자를 대상으로 하는 서비스는 웹 기반으로 제공하는 추세이다. 이로 인해 이용기관과 다른 도메인 환경에서 공급받은 간편인증(중계)서비스 또한 웹 기반 환경에서 동작하게 된다. 간편인증(중계)사업자가 이용기관에 개인정보를 전달하기 위해 웹 브라우저를 경유하는 경우 해커 등 제3자가 사용자의 개인정보를 탈취할 수 있게 되고, 개인정보 유출 및 개인정보 위·변조를 통한 인증 우회와 같은 치명적인 보안 사고가 발생할 수 있다. 전송되는 개인정보가 암호화되어 있다고 하더라도, 제3자가 복호화 키를 획득하거나 사용자를 유도하여 개인정보 원문을 취득할 가능성을 고려해야 한다.
(그림 4) 주요정보 브라우저 경유 시 유출/변조 시나리오
이에 이용기관은 간편인증(중계)사업자가 제공하는 서비스를 통해 이용기관에 개인정보 등 주요 정보를 전달할 경우 Token 또는 시스템 간 직접 통신 기반의 Server to Server 방식을 사용하는지 반드시 확인해야 한다.
(그림 5) Token 기반 Server to Server 연계 방식
(그림 6) Server 직접 통신 기반 Server to Server 연계 방식
또한 최근 보안사고 사례를 분석해보면, 이용기관이 사용자의 신원확인 시 휴대폰본인확인과 간편인증서비스를 통한 교차검증 절차를 마련함으로써 겉으로 보기에는 상당 수준의 보안성을 확보한 것처럼 보인다. 하지만 정작 휴대폰본인확인 과정에서는 해커가 불법적으로 수집한 타인의 개인정보를 이용하고, 간편인증에서는 기관 측에서 개인정보의 일치 여부를 검증하지 않아 해커가 탈취한 개인정보를 이용해 회원 가입 및 로그인하는 데 성공하였다. (*)
(*) 위의 사례에 인용한 휴대폰본인확인과 간편인증서비스에 사용되는 개인정보의 출처는 정반대의 경우도 가능할 수 있음
(그림 7) 사용자 개인정보 일치 여부 미검증 사례
따라서 이용기관은 전자서명인증사업자 또는 간편인증 중계사업자가 제공하는 개인정보가 이용기관이 기 수집 또는 보유하고 있는 개인정보와 일치하는지 여부를 반드시 비교 검증하여야 한다. 이때, 개인정보의 일치 여부는 온라인 상에서의 주민등록번호 대체 수단인 CI(연계정보)를 기반으로 검증하는 것을 권장한다.
4. 신뢰 기반 인증 생태계로의 전환
간편인증(중계)서비스는 기존 (구)공인인증서 대비 높은 보안성과 사용자 편의성 측면에서 우수한 차세대 인증 및 전자서명 기술로 각광받고 있다.
하지만 좋은 약도 제대로 써야 효과가 있는 것처럼, 이용기관에서 간편인증(중계)서비스를 도입할 경우 전자서명인증사업자 또는 중계사업자가 공급하는 간편인증(중계)서비스가 Server to Server 간 개인정보 등 주요 정보를 전달하는 방식을 지원하는지 확인해야 한다. 또한 이용기관 시스템에서 보유한 사용자 개인정보와 전자서명인증사업자가 전달하는 가입자의 개인정보 일치여부를 검증함으로써 보다 안전하고 편리한 인증 서비스를 제공할 수 있다.
한편 드림시큐리티는 네이버(네이버인증서), 카카오(카카오인증서), 이동통신사(PASS), KB국민은행(KB국민인증서) 및 자사가 운영하는 서비스(드림인증) 등 총 13개의 전자서명인증사업자(2024.12 기준 – 2025.01에 2개 사업자 추가 예정)와 간편인증중계서비스 관련 계약을 체결하고, 공공·금융·전자상거래 등 다양한 산업군의 고객사를 대상으로 ‘간편인증 통합중계서비스’를 제공하고 있다.
(그림 8) 드림시큐리티 간편인증 통합중계서비스 홈페이지 (https://www.ez-iok.com)
(그림 9) 드림시큐리티 간편인증 통합중계서비스 표준창 화면
간편인증 통합중계서비스는 빠르고 용이한 적용을 위해 표준창 방식을 기본적으로 지원하며, 고객사의 UI/UX에 대한 룩앤필 변경 등 다양한 요구사항을 반영할 수 있는 API 방식도 제공하고 있다.
아울러 Server to Server 방식으로 개인정보 등 주요 정보를 전달하며, 약 25년 동안 국세청 홈택스 등 다수의 공공·민간·전자상거래 서비스를 통해 검증된 암호 기술 및 보안·서비스 노하우를 기반으로 이용기관을 위한 글로벌 수준의 보안인증서비스를 안정적으로 운영하고 있다.
앞으로 간편인증(중계)서비스의 높은 보안성과 편의성을 토대로 안전한 인증 생태계로 전환할 미래를 기대해본다.
