공인인증제도는 1999년 시행된 이후 2020년 5월 국회에서 전자서명법 개정안이 통과되면서 같은 해 12월 폐지되었다. 안전한 인증방식을 제공하기 위해 설치되었던 ActiveX(액티브엑스), 플러그인 및 키보드보안과 같은 보안 소프트웨어가 역설적으로 사용자에게 불편함을 유발하며 보안성을 위협하는 결과를 가져왔기 때문이다.

본 칼럼에서는 웹 환경에서 사용자 인증 및 전자서명을 안전하게 수행하기 위한 방안에 대해 알아본다.

(출처: 한겨레신문, 조선비즈, 비즈한국, 동아일보)

전자서명 인증사업자의 출현

공인인증서 폐지는 국가의 주도하에 운영하던 전자서명 인증제도를 민간 주도의 전자서명 인증체계로 전환하는 발판이 되었다. 2025년 현재 한국정보인증과 한국전자인증 등 구 공인인증기관, 카카오와 네이버 등 포털 사업자, 토스, 뱅크샐러드, 국민은행 등 금융사업자, 드림시큐리티와 같은 민간사업자를 포함하여 전자서명 인증사업자 21개 업체가 전자서명 인증체계를 운영하고 있다.

전자서명의 원리

그렇다면 전자서명이 무엇이길래 이토록 많은 전자서명 인증사업자가 출현하게 되었는지 알아보자. 전자서명은 일반적으로 PKI(Public Key Infrastructure) 기술을 활용하고 있으며, 한글로는 ‘공개키 기반구조’라 표현한다. 공개키 기반구조는 소유자 본인이 보유한 개인키와 인터넷상에 공개되는 인증서(또는 공개키)가 주요 구성요소다. 개인의 인증서는 수신하는 모든 사람이 공개적으로 검증 가능한 기반으로 구성되며, 이 같은 특징을 강조하기 위해 공개키 기반구조라는 명칭으로 불린다.

이러한 원리를 바탕으로 개인이 소유한 전자서명 생성정보인 개인키를 이용하여 특정 문서 또는 데이터에 전자서명을 생성하면, 마치 일반 문서에 도장을 찍는 것처럼 소유자 본인만 생성할 수 있는 데이터가 만들어진다. 이 과정을 일반적으로 전자서명이라 한다.

기존 공인인증서를 통한 전자서명제도가 폐지되며 민간시장이 생겨났다. 이로 인해 새로운 전자서명 인증체계 시장의 주도권을 확보하려는 여러 전자서명 인증사업자가 등장하게 되었다.

전자서명인증체계의 필요성

문서 또는 데이터의 전자서명을 검증하기 위해서는 전자서명을 생성한 사람의 공개키가 필요하다. 하지만 공개키 자체에는 암호학적인 알고리즘 기반의 키 값만 포함되어 있을 뿐, 전자서명을 생성한 이와 연관성이 있는 어떤 데이터도 존재하지 않는다. 따라서 전자서명을 수행한 사람을 정확하게 확인하기 위해서는 공개키와 전자서명을 수행하는 이를 연결해주는 과정이 필요하다. 

전자서명을 수행하기 위한 개인키, 전자서명을 검증하기 위한 공개키, 그리고 이를 사용하는 사람에 대한 신원을 확인하여 공개키에 대한 인증서를 발급하는 기관이 인증기관이다. 이러한 과정을 통해 전자서명 데이터의 신뢰성을 확보할 수 있다. 또한 다양한 분야에서 전자서명을 활용하기 위해 다수의 인증기관과 이를 총괄하는 최상위 인증기관인 전자서명인증체계가 구성된다.

국내에는 한국인터넷진흥원의 전자서명인증체계(NPKI), 행정안전부를 중심으로 하는 행정전자서명인증체계(GPKI), 국방부의 국방인증체계(MPKI)와 각 기업에서 주도하는 기업용 전자서명인증체계가 운영되고 있다.

사람이 아닌 다양한 사물이나 기기를 위한 전자서명인증체계도 존재한다. 예를 들어 스마트카, 자율주행자동차를 위한 VPKI와 스마트스피커, 스마트전구 등 사물인터넷을 위한 Matter 등이 운영 중이다. 특히 Matter인증을 받은 기기는 삼성 스마트싱스(SmartThings), LG 씽큐(ThinQ)에서 연동이 가능하기 때문에 일반인들도 널리 활용하고 있다.

일상 속의 전자서명

전자서명은 예전부터 이른바 ‘인감도장’으로 인식되어 왔기 때문에 어렵고 오래된 느낌이 들기도 한다. 하지만 실제로 전자서명은 우리 삶 속에서 일상적으로 사용되고 있다. 예를 들어 공인인증서 사용 시 설치하던 여러 보안 프로그램의 도움 없이도 평소에 사용하는 카카오톡, 네이버 앱 등을 통해 쉽게 이용할 수 있다. 뿐만 아니라 우리가 익숙하게 접하는 인터넷 브라우저를 살펴보면 특정 서비스의 주소 표시창이 ‘HTTPS’로 시작하는 것을 확인할 수 있다. HTTPS는 브라우저와 웹서버 간의 보안 프로토콜을 의미하며, 프로토콜 내부에서는 전자서명을 사용한다. 이처럼 우리는 의식하지 않는 일상 속에서도 자연스럽게 전자서명을 이용하고 있다.

전자서명은 서명을 수행하는 사람이 누구인지를 명확히 할 수 있는 인증, 부인방지, 무결성 검증 기능이 있다. 전자서명은 인증 기능을 활용한 로그인 수단으로 이용되며, 우리는 전자서명인증 사업자가 운영하는 간편인증 인증서비스와 연동된 각종 웹서비스를 통해 이를 일상적으로 접하고 있다.

웹환경에서의 안전한 전자서명

전자서명 기술은 사용자를 인증하는 유일한 인증수단은 아니다. 아이디와 비밀번호를 이용하는 전통적인 방식 뿐만 아니라 지문, 안면 등 생체정보를 활용하는 FIDO기술, 일회성 비밀번호 생성기를 통한 OTP인증 등 다양한 기술을 웹서비스로 쉽게 이용할 수 있다. 특히 FIDO는 온라인상에서 간단하고 빠르게 본인확인을 진행하기 위한 수단으로서 주로 지문, 안면, 홍채 등 생체정보를 이용하며, 다양한 종류의 클라이언트 Authenticator가 있다.

전자서명에는 인증 기능 외에 부인방지 및 무결성 검증 기능이 포함된다. 특히 부인방지 기능은 다른 인증 수단으로는 대체하기 어렵기 때문에, 공인인증제도 폐지와 무관하게 전자서명 기술은 다양한 분야에서 활용되고 있다. 2025년 현재 공동인증서와 간편인증서 등 전자서명 인증 시장은 과거 어느 때보다 커진 상태이다. 드림시큐리티는 사용자가 웹서비스를 통해 전자서명서비스를 쉽게 이용할 수 있도록 Magic Line(매직라인) 솔루션을 제공하고 있다. 

매직라인은 공동인증서, 금융결제원의 금융인증서와 코스콤, 한국전자인증, 한국정보인증, KTNET이 공동 운영하는 클라우드 공동인증서 뿐만 아니라 카카오, 네이버 등에서 운영하는 전자서명 인증서비스인 간편인증을 통합적으로 제공한다. 또한 매직라인을 도입하는 기관이 서비스의 특성에 맞게 인증서 저장매체 및 인증서비스를 선택할 수 있다. 이를 통해 웹상에서 사용자가 필요한 인증서비스를 쉽게 이용할 수 있도록 지원한다.

과거에는 사용자 인증을 수행하기 위해 보안 소프트웨어를 다수 설치해야 했으며, 이로 인해 안전성 이슈가 발생하기도 했다. 현재 브라우저 또는 금융/클라우드 인증서는 설치 없이 사용할 수 있으며, 사용자의 PC에 보관된 인증서를 사용하는 경우에 소프트웨어를 최소한으로 설치하여 인증서비스를 안전하게 이용할 수 있다. 추가적으로 비밀번호 입력 시 가상 키패드를 지원하여 키로거를 방지할 수 있다. 

전자서명인증 서비스 안전성 강화

국내외 보안 전문가들은 현재 사용중인 전자서명 방식에 안전성을 강화한 인증서를 발급하는 기술을 적용하는 전자서명인증체계 및 인증서발급, 이용시스템의 개선을 진행하고 있으며, 2030년 발급 개시를 목표로 준비중이다.

(출처: ANSSI-PG-083 GUIDE DES MÉCANISMES CRYPTOGRAPHIQUES)

또한, 양자컴퓨터의 상용화에 대응하여 PKI분야에 양자내성암호(PQC) 기술을 도입하기 위한 다양한 연구를 진행중이다. 

(출처: 정보보호학회지 제33권 제3호, 2023.6 양자내성암호 국가공모전)

드림시큐리티 매직라인은 양자내성암호를 시범 적용하여 국내 행정안전부(GPKI) 및 한국인터넷진흥원(NPKI) 최상위인증기관 인증시스템을 구축한 경험을 바탕으로 모의 환경을 만들어 통합 테스트를 완료하였다. 나아가 국내 양자내성암호(KpqC)의 선제적인 적용을 통해 국내 표준화가 완료되는 시점에 이를 시장에서 즉시 이용할 수 있도록 준비하고 있다. 

이상으로 전자서명의 원리 및 전망에 대해 알아보았다. 향후 전자서명인증은 급속한 변화 속에 더욱 확산될 것으로 예상된다. 관련 기술의 도입을 통해 전자서명인증 환경의 변화에도 안전하고 유연하게 대응할 수 있기를 바란다.