"액티브X가 사라지면"...가장 각광받을 인증시스템은?

[이뉴스투데이 여용준 기자] 정부가 올해 초 30여개 공공기관 웹사이트에서 ‘액티브X’ 등 플러그인을 퇴출시키기로 하면서 새로운 인증 플랫폼에 대한 관심이 커지고 있다. 

행정안전부는 올해 초 ‘연말정산 간소화 서비스’와 ‘정부24’에 플러그인을 제거한데 이어 2020년까지 모든 공공 웹사이트의 플러그인을 제거한다는 계획을 세웠다. 

이에 따라 기존 플러그인을 대체한 전자서명 프로그램 개발이 확대되고 있다. 이들 서비스는 지문이나 음성 등 바이오정보를 통한 인증이나 핀번호, 패턴, 클라우드 등 방식도 다양하다.

먼저 플러그인을 대체할 방식으로 가장 주목받는 것이 지문이나 음성, 안면 등 생체 정보를 통한 인증방식이다. 

한국전자인증은 이같은 생체정보로 간단하게 인증하고 이를 통해 발급받은 전자서명을 바이오 인증 국제 표준 규격(FIDO)에 따라 클라우드 서버에 저장하고 있다. 이 인증방식을 활용하면 전자서명이 디바이스가 아닌 안전한 클라우드 서버에 저장되며 인증된 디바이스를 통해서만 접속할 수 있다. 

이니텍에서 내놓은 이니패스는 FIDO와 함께 패턴이나 핀번호 등 이용자의 편의에 따라 인증방식을 선택할 수 있다. 

시큐센은 바이오 정보로 생성된 전자서명을 분산 저장하는 방식으로 보안을 강화했다. 시큐센 관계자는 “지문인식 등으로 생성된 전자서명을 서비스 제공기관과 또 다른 기관에 나눠서 보관해 보안을 강화했다”며 “만약 해킹을 하려면 양쪽 기관 모두를 해킹해야 정보를 얻을 수 있다”고 말했다. 

이밖에 코스콤과 한국전자인증 역시 인증 방식에 바이오 인증을 포함하고 있다. 이같은 인증 방식은 다양한 특징만큼 정확한 인증이 보장되고 해킹의 위험이 적다는 장점이 있으나 또 다른 범죄에 노출될 가능성도 제기되고 있다. 

시장조사기관인 엠브레인 트렌드모니터가 전국에 스마트폰을 보유한 19~59세 1000명을 대상으로 조사한 결과 46.4%가 생체인증 방식도 위조나 유출될 가능성이 있다고 답했다. 특히 응답자의 절반 이상이 생체정보를 노린 범죄나 상해 위협, 혹은 사고로 신체가 훼손돼 생체정보를 이용할 수 없을 것을 우려했다. 

이에 대해 업계 관계자는 “생체정보를 있는 그대로 저장하는 방식이 아니라 이를 전자서명화 해 디바이스와 서버에 저장하는 방식으로 최초 인증 후 생체정보가 손상되더라도 인증에 무리가 가진 않는다”고 밝혔다. 

생체정보를 통한 인증 외에도 독자적인 인증방식을 선보인 기업들이 있다. SK텔레콤이 선보인 ‘패스 2.0’ 앱은 공개키기반구조(PKI) 방식의 인증서를 발급하고 앱에서 동의만 하면 내려받을 수 있다. 

카카오페이 역시 카카오톡 기반의 사설 인증 API를 마련했다. PKI 기반 인증서를 발급받으면 비밀번호나 생체정보로 전자서명을 한 뒤 사용할 수 있다. 

위즈베라는 핀번호를 기반으로 플러그인 설치 없이 간편하게 인증할 수 있으며 생성된 인증서는 클라우드 서버에 분산 저장해 보안성을 높였다. 애니핀 역시 발급받은 핀번호와 지정된 디바이스를 통해서만 인증할 수 있는 서비스를 개발했다. 

이밖에 KCB는 5월 7개 카드사와 제휴해 신용카드를 기반으로 한 본인인증 서비스를 출시하기도 했다. 다만 이 서비스는 관련 특허를 보유한 핀테크업체인 한국NFC와 특허 침해 및 갑질 여부를 놓고 공방전이 벌어지기도 했다. 

한편 한국정보보호산업협회(KISIA)가 조사한 ‘국내 정보보호산업 실태조사 보고서’에 따르면 암호·인증 분야는 2015년 910억원에서 지난해 1205억원으로 14.6%의 높은 증가율을 보였다. 이는 정보보호 제품 전체 분야 중 가장 높은 증가율이며 전체 평균 8.8%를 훨씬 웃도는 수준이다.