오는 10일 공인인증서 폐지를 앞두고 IT기업이나 이동통신사가 만든 ‘민간인증서’가 주목을 받고 있다. 이미 많은 사람들이 실생활에 이용하고 있는 토스(Toss)나 패스(PASS)를 기존의 공인인증서처럼 전자서명으로 쓸 수 있기 때문이다.
1999년 인터넷이 일상화되며 온라인 거래 보안을 이유로 도입된 공인인증서 제도가 오는 10일 폐지된다. 지금까지는 정부는 과학기술정보통신부가 지정한 공인인증기관 6곳에서 발급한 공인인증서만을 인정하고 있었지만, 앞으로는 공인인증서와 민간인증서 모두 같은 법적 효력을 가진 ‘공동인증서’가 된다. 10일 공인인증서가 폐지된다고 해도 기존에 발급받았던 공인인증서는 유효기간까지 쓸 수 있다.
공인인증서 폐지를 앞두고 공인인증서를 대체할 만한 민간인증서에 눈길이 쏠린다. 보관 방식, 1년 단위의 갱신 등의 단점이 제기된 공인인증서 이용자들이 편리한 민간인증서에 빠르게 흡수될 것이라는 전망이다. 특히 접근성이 더 뛰어난 이통3사나 네이버·카카오 등 앱 기반의 민간인증서 이용률이 높아질 것으로 보인다.
민간 업체들은 이미 민간인증서 시장에 뛰어들어 이용자 확보 경쟁을 벌이고 있다. 이통3사인SK텔레콤·KT·LG유플러스가 합작해 만든 ‘패스’는 출시한지 1년6개월여 만에 누적 발급 건수가 2000만 건을 돌파했다. IT 기업 쪽에서는 핀테크 스타트업 비바리퍼블리카가 운영하는 모바일 금융 앱 ‘토스’의 누적 발급 건수가 지난달 2300만 건을 돌파한 것으로 나타났다. 카카오의 카카오페이 인증도 이달 들어 누적 발급 2000만 건을 넘겼다. 그 외 NHN의 ‘페이코(PAYCO) 인증’, 은행엽합회와 회원사 은행들이 만든 ‘뱅크사인’, KB국민은행·IBK기업은행이 자체 개발한 모바일 인증서 등도 있다.
사용할 수 있는 인증서가 다양해지면서, 인증서의 보안성 문제도 고려해야 하는 부분이다. 발급 업체들 역시 이용자 확보를 위해 자사 인증서의 보안성을 내세우고 있다. 패스·토스·카카오·네이버 등 대부분 민간인증서는 공인인증서와 동일한 공개키 기반 구조(PKI)나 가상식별방식(Virtual ID)을 사용하고 있다.
특히 패스의 경우 개인 키(PKI)를 스마트폰 내 안전 영역에 보관해 제1금융권 수준의 보안을 하고 있다. 또 대리점에서 대면 개통을 할 수 있고, 유심(USIM)이 제거되면 인증서를 사용할 수 없는 점 등도 장점이다. 토스는 올해 국제표준화기구(ISO)가 제정한 국제 표준 정보 보호 인증을 취득했고, 유럽의 개인정보보호법(EU GDPR) 가이드라인에 부합하는 서비스임을 인증받을 만큼 보안성에 공을 들이고 있다. 카카오·네이버·NHN 등 IT기업들은 블록체인 등 최신 보안 기술을 활용하는 점을 강조한다.
민간인증서의 보안에 대한 우려에 과기부는 오히려 ‘안정성이 높다’는 입장이다. 장석영 과기부 차관은 지난 4일 CBS의 라디오 프로그램에서 민간인증서를 두고 “훨씬 더 안정성이 높아질 것”이라며 “패스워드뿐 아니라 지문이나 홍채 등의 생체정보를 쓰면 해킹이 안 되니까, 안정성이 높다. 또 인증기관들이나 금융기관들이 어떤 보안체계를 갖추고 있는지 정부가 꾸준히 검증을 할 것”이라고 전했다.
