[보안 따라잡기]쏟아지는 민간 인증…서비스별 보안 특징은

(그래픽=이데일리 김정훈 기자)

[이데일리 이후섭 기자] 이달 연말정산을 할 때 공인인증서 대신 카카오, 패스(PASS), 페이코 인증을 이용할 수 있게 되면서 민간 인증서비스에 대한 관심이 높아지고 있다. 본인 인증의 핵심은 보안인 만큼 각 업체들은 자사의 서비스가 수준 높은 보안을 자랑한다며 치열한 마케팅을 펼치고 있다. 서비스별로 보안성 강화를 위해 어떤 장치를 마련했을까.

2일 관련 업계에 따르면 대부분의 민간 인증서비스는 기존 공인인증서와 동일한 공개키(PKI) 기반으로 이뤄졌다. 이동통신 3사와 보안기업 아톤(158430)이 함께 제공하는 패스(PASS) 인증은 이에 더해 화이트박스 암호 솔루션을 적용해 개인키를 스마트폰 내 SE에 보관함으로써 해킹을 원천 차단하고 있다.

또 실시간 유심(USIM) 검증을 통해 스마트폰 소유자와 행위자 일치 여부를 실시간으로 확인할 수 있다. 다른 사람 소유의 스마트폰 유심(USIM)을 가져와 내 스마트폰에 꽂아서 패스 인증을 실시하는 것 자체가 불가능하기에 스마트폰을 분실하더라도 인증서비스가 뚫릴 우려를 덜어줄 수 있다.

연말정산 시범사업에 선정된 카카오와 누적 발급 2000만건을 넘긴 카카오페이는 PKI 기반에 위·변조 및 부인방지를 위해 발급 정보를 블록체인에 기록함으로써 보안성을 높였다. 이를 통해 분실이나 훼손 우려 없이 안전하고 편리하게 인증서비스를 사용할 수 있다는 설명이다.

카카오는 최근 신분증, 자격증, 증명서 등을 카카오톡에서 보관·관리할 수 있는 카카오톡 지갑을 출시하면서 자체 인증 기능을 개발했고, 이를 연말정산과 정부 민원 등에도 활용할 수 있게 됐다. 카카오는 지난 2017년부터 인증서비스를 출시해 민간 인증시장을 주도하고 있는 카카오페이와는 별개로 일단 이번 시범사업을 진행하고 있지만, 향후 카카오페이 인증과의 시너지를 모색할 방침이다. 카카오페이 인증서비스는 현재 200개 이상의 기관에서 이용되고 있다.

NHN페이코의 인증서는 국제표준 암호화기술 기반으로 RSA전자서명방식을 사용하고 있으며, 인증서 발급 및 저장도 공인인증서와 동일한 규격을 사용하고 있다. `PAYCO 인증센터`를 별도로 구축해 하드웨어보안모듈(HSM) 안에 인증기관의 키를 관리함으로써 안전성을 높였고, 인증기록을 클라우드 블록체인에 저장해 데이터 투명성을 확보했다. 삼성SDS와 블록체인 기술 협력을 통해 만든 NHN클라우드 블록체인으로 인증기록을 관리하고, 사용자는 언제든 블록체인에서 인증기록을 조회할 수 있도록 했다.

이번 연말정산 등 시범사업에 포함되지는 않았지만 토스와 네이버의 인증서 서비스도 공공·금융 등의 영역으로 빠르게 확장하고 있다. 누적 발급 2300만건을 넘긴 토스는 기존 공인인증서 발급 기관이었던 한국전자인증을 외부 인증기관(CA)으로 두고, 공인인증서에 준하는 표준과 기술을 활용해 보안성을 강화했다. 또 PCI-DSS, ISO 27001 등 글로벌 수준의 보안 인증을 취득한 토스의 보안 체계를 기반으로, 본인 확인에 공인인증서와 동일한 가상식별방식(Virtual ID)을 사용하고 있다.

네이버는 지난해 3월부터 본격적으로 인증 사업을 시작해 9개월여 만에 57곳 제휴처로 확대하고 250만건의 발급 실적을 올렸다. 네이버는 인증서를 발급할 때 공인 기관을 통해 실명정보를 확인하며, PKI 기반에 더해 파이도(FIDO), 블록체인 등의 보안 기술을 적용했다. 또 네이버는 개인정보보호 관련, 내부통제의 보안성, 기밀성, 처리무결성, 가용성 등을 포괄적으로 검사하는 SOC인증 제도에서도 국내 최초로 SOC3인증을 취득했을 뿐만 아니라 세계 최초 SOC2, SOC3 인증을 동시에 보유하고 있다. 네이버는 지난해 9월 한컴위드와 업무협약을 체결하고, 인증기술 고도화 및 서비스 개발을 함께 진행하고 있다.