플러그인 없는 공인인증서비스

[보안뉴스 오병민] 금융업계에 따르면 공인인증서의 보안 문제를 해결하기 위해 스마트폰을 활용한 ‘플러그인 없는 공인인증서비스(가칭) ’를 올 하반기부터 도입할 전망인 것으로 전해졌다.

이 서비스가 도입되면 액티브엑스나 자바 플러그인 없이 공인인증서를 이용할 수 있어 현존하는 모든 웹브라우저와 스마트폰 및 태블릿PC에서도 인터넷뱅킹을 웹을 통해 사용할 수 있게 된다.

금융업계의 한 관계자는 “올해 상반기에 준비 기간을 거쳐 하반기 도입을 목표로 하는 ‘플러그인 없는 공인인증 서비스’를 준비하고 있다”고 밝혔다. 이에 따라 금융기관을 대상으로 이번 서비스의 개요를 밝히는 설명회가 3월 25일 개최될 계획이다.

이 서비스는 스마트폰에서 공인인증서를 직접 발급받아 스마트폰으로 인증하는 방식이다. 예를 들어 PC에서 인터넷뱅킹을 접속할 때 PC 대신 스마트폰에서 인증 하는 방식인 것. 이 방식은 스마트폰에서 공인인증서를 직접 발급받을 수 있기 때문에 PC 해킹으로 인한 공인인증서 유출을 막을 수 있다. 그동안 공인인증서는 PC의 하드디스크에 저장하는 사용자가 많아, PC 해킹으로 인해 공인인증서 유출 문제가 자주 도마에 오르곤 했다.

사실 은행권에서 이용하는 스마트폰 뱅킹 서비스가 이와 유사한 방식이라고 볼 수 있다. 그러나 스마트폰 뱅킹 서비스는 공인인증서를 PC에서 스마트폰을 업로드 해야 했고, 각 은행마다 공인인증서가 각자 저장됐기 때문에 범용성이 부족했다. 그러나 이 서비스는 모든 은행에 적용할 수 있으며 PC의 인터넷뱅킹과도 연동할 수 있어 활용의 범위가 더욱 넓을 것으로 기대되고 있다.

그동안 공인인증서 프로그램은 액티브엑스로 구현돼 있어 보안성 문제와 인터넷 익스플로러를 제외한 웹브라우저 호환성이 떨어진다는 지적이 있었다. 물론 이에 대한 대안으로, 액티브엑스 대신 자바 플러그인을 활용한 공인인증서 서비스가 제시되기도 했지만, 이 방법 역시 플러그인을 PC에 설치해야 하는 문제점을 가지고 있어 크게 활용되지 않았다.

그러나 이번에 도입되는 서비스는 액티브엑스나 자바 등 PC에 설치되는 플러그인 없이 구현할 수 있어 활용도가 높고 보안성이 강화될 수 있다는 장점을 가지고 있다. 또한 스마트폰이나 아이패드와 같은 태블릿PC와도 연동해 이용할 수 있어, 은행이 바뀔 때마다 매번 공인인증서를 설치하는 부담도 줄일 수 있게 된다.

한편 금융업계에서는 공인인증서를 보호할 수 있는 보안토큰을 소프트웨어로 구현하는 기술도 제시되고 있다. 하드웨어 형태의 보안토큰은 공인인증서의 유출을 막을 수 있는 방법으로 제시됐었으나 하드웨어 장치가 필요했기 때문에 사용자가 적었다. 그러나 소프트웨어 방식을 도입하면 이 같은 불편은 조금이나마 해소될 것으로 보인다.

금융업계의 한 관계자는 “현재 PC에 설치된 공인인증서는 PC해킹으로 유출될 경우 여러 가지 부분에서 악용될 수 있다”면서 “그러나 플러그인 없는 공인인증서비스와 소프트웨어 보안토큰 서비스를 이용하면 이런 문제에 대한 우려는 점차 해소할 수 있을 것”이라고 말했다.

[오병민 기자(boan4@boannews.com)]