[톺아보기]사설인증서 전성시대, 금융도 적극적으로 활용해야

조규민 금융보안원 자율지원부장

‘네이버, 카카오, PASS, 신한Sign, KB모바일 인증서...’ 모두 올해 국세청 연말정산 간편인증에 사용되었던 사설인증서 서비스들이다. 빅테크나 통신사와 같은 ICT 기업뿐만 아니라 전통의 금융회사까지 사설인증서 시장에 뛰어들어 경쟁하는 형국으로 각 사업자는 편리성, 보안성 등 자신만의 장점을 내세우며 가입자 유치에 열을 올리고 있다. 전체 사설인증서 가입자 수가 이미 수천만 명에 이른다고 하니 사설인증서 전성시대가 도래했다고 해도 과언은 아니다.

이처럼 국내 유수의 기업들이 사설인증서 개발 및 추진에 적극적인 것은 사설인증서가 디지털·플랫폼 시대에 ‘관문(Gateway)’ 역할을 수행할 것이라는 인식 때문이다. 비대면 온라인 서비스를 이용하기 위해서는 누구나 첫 단계로 인증(로그인)을 거쳐야 하므로, 디지털 관문에 해당되는 사설인증서 시장을 선점할 경우 자사 고객을 묶어두는 락인(Lock-in) 효과는 물론 신규 고객 확보에도 유리할 수 있다고 전략적 판단을 한 것으로 해석된다.

이에 더해 올해 본격 시행된 금융분야 마이데이터 사업에서 사설인증서를 최소 1개 이상 의무 적용하도록 하면서 사설인증서의 활용도나 영향력은 데이터 분야까지 확대될 것으로 보인다. 이에 사설인증서 시장의 주도권 확보를 위한 사업자 간 경쟁은 더욱 뜨거워질 것으로 전망된다.

과학기술정보통신부는 사설인증서의 신뢰성을 높이고 가입자와 이용자가 합리적으로 사설인증서를 선택할 수 있도록 ‘전자서명인증사업자 평가·인정제도’를 운영하고 있다. 전자서명인증사업자로 인정받고자 하는 사업자는 사설인증서의 기술 요건, 시설 및 자료 보호조치, 개인정보보호 대책에 대해 금융보안원 등 지정된 평가기관으로부터 평가를 받아야 하며, 인정기관인 한국인터넷진흥원이 인정 여부를 결정한다. 2010년 10월 평가·인정제도가 시작된 이후 현재까지 총 16개 사업자가 전자서명인증사업자 자격을 취득하였다.

금융권은 디지털 혁신에 주력하여야 하는 상황이지만 보안성 등의 우려로 외부 서비스 도입을 꺼리는 보수적 성향도 있어 사설인증서 도입에는 다소 신중한 모습이다. 은행은 외부보다는 자체 사설인증서 사업 추진 및 저변 확대에 주력하고 있으며, 보험사 등 타 업권은 고객 편의성 측면에서 빅테크 등의 사설인증서를 적용하고 있으나 그 속도는 더딘 편이다. 1999년에 도입된 구(舊) 공인인증서도 20년이 지난 현재까지 여전히 활발하게 사용되고 있다.

디지털 전환은 그 누구도 피해갈 수 없는 하나의 흐름이자 트렌드로 금융권도 사설인증서 도입에 보다 적극적일 필요가 있다. 사설인증서 시장은 이미 초기 단계를 넘어 보급 및 제휴처가 빠르게 확대되는 본격 성장단계에 접어들고 있으므로, 금융권도 이러한 인증 환경의 변화를 수용하고 자사의 디지털 전략에 맞추어 민첩하게 대응하여야 한다.

또한 자금 이체나 주식 거래의 지시, 마이데이터 통합인증 등 개인의 재산과 밀접한 분야에 사용되므로 보안성을 최우선으로 고려하여야 한다. 타인에 의해 사설인증서가 무단 발급되거나 해킹될 경우 전자금융사고로 직결될 수 있기 때문이다. 사설인증서 도입 시 ‘전자서명인증사업자’ 자격 취득을 필수 요건으로 하되, 신원확인 수준이나 보안 취약점 등 사설인증서의 보안 수준과 적용에 필요한 추가절차에 대해 철저히 검토하여야 한다. 공격자는 항상 보안 사슬의 가장 ‘약한 고리’를 집중적으로 노린다.

조규민 금융보안원 자율지원부장