그동안 스마트폰 전자결제를 위한 공인인증서 사용의무화는 모바일시대에 역행한다는 지적을 받아왔다. 하지만, 행안부는 보안 등 현실을 고려할 때 공인인증서 사용이 최선의 선택이라는 입장이다. 공인인증서 기반 스마트폰 뱅킹에 대한 궁금증을 질의응답(Q&A) 형식으로 정리해본다.
-공인인증서가 액티브X에서만 동작, 스마트폰 뱅킹이 불가능하지 않은가
▶스마트폰 등 무선통신 단말기에서는 공인인증서를 이용하는데 전혀 문제가 없다. 현재 PC에서도 공인인증서는 액티브X가 아니더라도 이용할 수 있는 기술이 개발돼있다. 농협인터넷뱅킹, 대법원 인터넷등기소, 연말정산업무 등이 그 예다.
▶국내 인터넷뱅킹에서 사용하는 암호화 방식(128bit SEED)은 SSL과 거의 동일한 방식으로 암호화를 수행한다. 암호키는 128비트에서 256비트로 늘리는 작업을 진행중이다. 스마트폰의 경우 SSL을 이용하더라도 통신 내용이 유출되고, 원타임패스워드(OTP) 등 모든 비밀정보가 공격자에게 유출될 수 도 있다.
-외국에서 주로 이용하는 ‘OTP+SSL’방식이 공인인증서를 대체할 수 없는 이유는
▶OTP는 사용자 인증에 사용되는 단순한 패스워드이고, SSL은 암호화 통신기능을 제공하는 것이다. 따라서 공인인증서의 중요한 기능인 부인방지 기능이 없어 공인인증서 기능을 대체할 수 없다.
▶외국은 공인인증서 인프라가 구축돼 있지 않아 인터넷뱅킹 보안대책으로 공인인증서 대신 ‘OTP’와 ‘SSL’을 사용하나, 이는 상대적으로 제한된 인터넷뱅킹 서비스만을 제공한다. 미국의 경우 대부분의 은행에서 인터넷뱅킹 실시간 이체는 자행 계좌로만 가능하고, 타행 계좌로의 이체는 2∼3일 소요되며, 이체 금액 또한 한달에 6000∼1만달러로 제한된다. 외국은 공인인증서(전자서명)를 사용하지 않고 상대적으로 보안이 취약한 OTP방식 등을 사용하고 있어 실제 사고가 많이 발생하고 있다.
-공인인증서 의무 사용으로 인해 해외 사용자의 참여를 제한해 글로벌화를 저해하는 것 아닌가
▶국내 공인인증체계는 국제표준(IETF)을 준용하고 있어, 국가간 공인인증체계 상호인정 및 상호인증을 통해 공인인증체계 연동이 가능하다. 해외에서도 국내 인터넷뱅킹에 접속해 이용이 가능하며 재외국민의 공인인증서 발급 편의를 위한 방안도 추진중이다. 다만 SSL과 OTP만으로 국내인터넷 뱅킹은 불가능하다.
-공인인증서 이용시 어떤 보안상의 이점이 있는가
▶공인인증서는 공인인증체계를 기반으로 해 전자서명을 생성하고 검증함으로써 무결성, 부인방지, 사용자 인증 등 종합적인 보안기능을 제공하고 있는 인터넷의 핵심적인 종합 보안대책이다. 전자서명만이 ‘사용자의 거래내역이 변경되지 않았음을 증명’할 수 있는 부인방지 기능을 제공하며, 이는 전자금융사고 등 사용자와의 분쟁 발생시 해당 사용자의 책임을 입증하는 용도로 활용된다.
이 시각 인기 뉴스
-공인인증서 해킹사고 현황은
▶공인인증서의 유출로 인한 해킹사례가 발생하고 있지만 연 1~2건 정도로 미미하다. 앞으로 PC보다 안전한 스마트카드, 보안토큰 등에 보관하도록 권장할 계획이다.
