공인인증서를 대신할 미래 인증 방식, 대체인증 기술, 어디까지 왔나?

2019. 12. 17

CLIPBOARD
image_pdf

2015년 3월, 공인인증서 의무화 조항 폐지 후 다양한 방식의 대체인증 수단이 공인인증서를 대신하고 있다. 생체 인증을 비롯해 ARS/SMS 인증, 폰 OTP 인증, IC 태깅 인증 등 여러 방식 가운데 가장 뚜렷하게 진화해온 인증 방식은 단연 생체 인증이었다. 지문, 홍채, 얼굴에 이어 행동 인식까지 등장했다. 이같은 대체인증 기술 진화는 블록체인을 이용한 탈중앙화 신원증명, 즉 DID 탄생 배경이 됐다. 최근에는 공인인증서 제도를 폐지하는 전자서명법 전부 개정안이 발의되며, 대체인증 시장이 더욱 뜨겁게 달아오르고 있다. 대체인증, 과연 어디까지 왔을까? 대체 인증 방식 종류와 변화에 대해 살펴본다.

공인인증서 의무화 폐지, 대체인증 시대 개막

공인인증서는 온라인 거래 시, 법적으로 공인된 인증을 의미한다. 즉, 특정 문서에 가입자가 직접 서명했으며, 서명 후 위/변조되지 않았음을 증명하는 전자 정보다. 1990년대 탄생한 이래, 공인인증서는 온라인 행정‧금융‧상거래를 넘나들며 본인확인, 전자서명의 기능을 충실히 수행했다. 이후 발생한 굵직한 환경 변화를 이야기하자면 크게 두 가지다. 2006년, 공인인증서 전자서명 기능 구현에 필요한 인증서 관리, 보안문제 해결을 위해 채택한 플러그인 방식(Active-X)에 대한 보안상 문제가 대두되고, 2015년에는 결제 시 불필요한 단계 제거 차원에서 공인인증서 의무화가 폐지되며 대체인증 시대가 열렸다.

기업들은 사설인증과 공인인증 중 원하는 방식을 선택해 이용할 수 있게 됐다. 당시부터 지금까지 나온 대체인증 방식은 ARS/SMS 인증, 폰 OTP 인증, IC 태깅 인증, 생체 인증으로 나뉜다. ARS/SMS 인증 방식은 이용자에게 전달하는 인증번호를 입력하는 방식이다. 단, 통신사 부가서비스나 악성 프로그램이 착신전환을 하면 본인 단말기 외 기기에서 인증될 가능성이 있다. 만약 단말기가 악성코드에 감염되면, 원격 제어를 통해 임의로 인증하거나 SMS 탈취될 우려가 있다.

일회용 비밀번호로 보안 강화한 OTP 인증 방식

휴대폰 일회용비밀번호(OTP) 인증은 스마트폰 보안 영역에서 OTP를 생성하는 방식이다. OTP(One Time Password)는 ‘일회용 인증번호 생성기’라는 의미로, 고정 인증번호 대신 무작위로 생성되는 일회용 인증번호를 이용한다. 이는 공인인증서와 함께 활용하는 보안카드의 취약점을 보완하기 위해 도입됐다. 보안카드는 수십 개의 고정된 인증번호를 반복해 사용하기에, 외부 노출 가능성이 높다는 한계가 있었다.

반면 OTP는 스마트폰 일반 영역이 아닌, 보안영역에서 생성되고 매번 숫자가 달라져 상대적으로 보안성이 높다. 원리는 다음과 같다. OTP 단말기 내에는 고유 인증번호를 만들어 내는 생성기와 작은 시계가 있다. 사용자가 버튼을 누르면 작동한 시간에 맞춰 6자리 인증번호로 나타난다. 사용자가 스마트폰이나 PC 뱅킹 실행 후 생성된 인증번호를 입력하면, 은행 서버는 6자리 인증번호 값이 맞는지 확인해 거래 성사, 취소 여부를 결정한다.

한편 IC태깅 인증은 IC카드에 등록된 사용자 식별 정보나 인증 모듈(인증서, OTP)에서 생성한 정보를 모바일 기기에 전송한다. 이때 실물 IC카드를 추가로 소지해야 인증이 가능하다.

 

전 세계적으로 확산 중인 생체인증 기술

최근 모바일 결제가 일상화되며 가장 간편한 인증 방식인 ‘생체 인증’이 널리 활용됐다. 생체인증은 인간의 신체, 행동 등에 대한 특징적 정보를 추출해 개인의 신분을 인증하는 기술이다. 이때 생체정보는 신체적 정보와 행동적 정보로 나뉜다. 생체인증 기술은 별도 보관/암기가 필요 없고, 분실 우려가 없으며, 양도/위조가 불가능해 안전하다.

생채인식은 크게 지문, 목소리, 홍채, 얼굴, 걸음걸이 인식으로 나뉜다. 지문인식의 경우 카카오페이, 삼성페이, 금융기관 모바일뱅킹 앱 등의 송금/결제에 활용되고 있다. 목소리 인증은 목소리 주파수나 간격 등을 인식하는 기술로 대표적인 사례로는 페이팔, KT의 음성 인증을 꼽을 수 있다. 적외선 카메라로 눈 속 홍채 주름을 읽는 홍채 인식도 있다. 이는 삼성패스, 기업은행/카타르은행 거래와 ATM 거래에 활용하고 있으며, 사람 얼굴 모양, 윤곽, 온도 등을 통해 인증하는 얼굴 인증은 마리크로소프트(MS)사의 윈도10 로그인 화면에 활용된다. 스마트밴드에서도 생체인증 기술을 찾아볼 수 있다. 바로 동작 인식 센서로 사람의 걷는 동작을 인식하는 걸음걸이 인식이다. 걸음걸이를 인식해 올바른 자세로 교정해주는 제품들이 시중에 판매되고 있다.

해외 금융기관에서는 정맥을 인증에 활용하기도 한다. 일본 미쓰비시도쿄UFJ은행은 전국 ATM에 ‘손바닥 정맥’ 활용 본인인증을 확산했다. 영국 바클레이즈 은행은 ‘손가락 정맥’을 인증수단으로 상용화했다. 미국 US 뱅크, 호주 BNZ 은행도 모바일뱅킹 애플리케이션에 고객 본인 음성 인증을 채택했다. 머지않아 금융 서비스 계좌 개설, 송금, 출금 다양한 거래에 이 같은 방식이 도입될 전망이다.

이처럼 진화를 거듭해온 생체인증 시장에 또다시 새로운 방식의 인증이 등장했다. 바로 행동 데이터에서 본인 식별 가능한 정보를 추출하는 모션 인증, 즉 행동 기반 인증이다. 이 정보는 사람의 사소한 버릇으로 신분을 증명한다. 스마트폰을 얼마나 기울여 화면을 응시하는지, 어떻게 키패드를 치는지 등이 이를 증명한다. 이미 IBM, 마스터카드 등 글로벌 대기업들이 해외에서 상용화 서비스를 선보인 바 있다. 또한 바이오캐치 등 행동 기반 생체인식 서비스를 제공하는 기업도 나타나고 있다.

 

DID, 대체인증 시장 격랑의 최전선에 서다

가장 최근 글로벌 트렌드로 급부상한 기술도 있다. 바로 DID(분산 ID) 기술이다. 지온마켓리서치는 글로벌 블록체인 신원증명 시장 성장률은 연평균 80%씩 성장해 2024년 총 34억달러(약 4조 460억원)에 육박할 것으로 분석했다. 마이크로소프트와 IBM 같은 빅테크기업도 발빠르게 DID 서비스 개발에 뛰어들고 있다. 국내에서도 3개 연합체가 자체적으로 DID 서비스를 개발 중이다. DID 기술의 원리는 블록체인을 이용해 검증된 데이터를 분산 관리하는 지점에서부터 출발한다. 이는 신원, 자격 정보 위·변조를 방지하고 정확성을 보증하기 위함이다. 모바일로 DID 서비스를 실행하면, 고객은 실명 확인 후 블록체인에 고객별 고유정보(ID)를 등록하게 된다. 이 정보는 블록체인 서버를 운영하는 주체에게 일괄 전달된다. 따라서 외부 공격에 의한 고유정보 위·변조를 차단할 수 있다. 또한 고유정보가 생성되면, 고객은 입력한 성명, 주소, 주민등록번호, 휴대전화번호 등 개인정보를 활용해 암호화된 디지털ID를 생성한다. 이때 원본 정보는 개인 스마트폰 내 정보지갑에 저장되며, 그때그때 필요한 정보만을 꺼내 제출할 수 있다. 한편, 고객이 제출한 정보를 받은 이용 기관은 모바일신분증 암호화 해제 후, 개인정보를 거쳐 기관 계정 내 정보와 대조한다.

DID 등장을 우리는 어떻게 읽어야 할까? 이제 전자상거래나 금융거래의 주축은 스마트폰으로 옮겨왔다. 신원 인증을 스마트폰 내 디지털 ID로 하는 DID 방식의 미래 성장 가능성은 무궁무진하다. 수많은 기업들이 시장 선점을 위해 DID 기술 접목에 주목하는 이유도 여기에 있다.

 

* 저작권법에 의하여 해당 콘텐츠는 코스콤에 저작권이 있습니다.
* 따라서, 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금합니다.