뉴스
2015년 12월 10일 12시 15분 KST | 업데이트됨 2015년 12월 10일 12시 27분 KST

공인인증서는 사라지지 않는다. 다만 지문을 요구할 뿐이다...??

Gettyimagesbank

내년 1월부터 공인인증서의 비밀번호가 '지문인식'으로 대체된다는 소식이다. 길고 복잡한 비밀번호 대신, 스마트폰의 지문인식 기능을 활용해 본인 인증이 이뤄지도록 한다는 것.

이게 대체 무슨 창조경제 같은 이야기일까?

한국인터넷진흥원(KISA)은 내년 1월부터 공인인증서 본인 인증 방식을 비밀번호 입력에서 스마트폰을 이용한 지문 인식으로 바꾼다고 10일 밝혔다.

KISA가 개발한 기술을 바탕으로 지문 인식 센서가 있는 스마트폰에 지문을 저장하고 나서 PC와 스마트폰을 연계해 인증하는 방식이다.

이 방법을 이용하면 기존과 달리 액티브X 보안 프로그램을 설치하지 않아도 된다.

KISA는 내년 1월부터 대형 인터넷 쇼핑몰부터 비밀번호 없는 공인인증서를 사용할 수 있도록 결제업체 KG모빌리언스를 통해 시범 서비스를 시작할 예정이다.

지문 인식을 확산하고자 유통, 결제, 금융회사 등에 관련 기술을 전수할 계획이다. (연합뉴스 12월10일)


보도된 내용에 따르면, KISA가 개발했다는 이 기술은 사실 따지고 보면 넌센스에 가깝다. 왜 그럴까?

애초 공인인증서는 (공인인증서의 효용성을 주장하는 이들에 따르면) '이 거래를 인증서의 주인이 직접 한 게 맞다'는 걸 증명하는 용도로 쓰이는 인증수단이다. '부인방지(non-repudiation)' 기능이다. 오픈웹의 설명을 빌리면 이렇다.

부인 방지(non-repudiation)는 어떤 거래를 자기가 수행했다는 사실을 부인할 수 없게 만든다는 뜻입니다. 즉, 너의 인증서는 너만 가지고 있고(관리하고 있고), 이 거래에는 전자서명이 되어 있는데, 그 전자서명은 너가 관리하는 인증서 없이는 만들 수 없으니, 이 거래는 너가 한것이 맞다라는 논리적 구조를 취합니다. (오픈웹, 2009년 12월25일)

default

공인인증서......

그러나 "문제는 너의 공인인증서를 '너만 가지고 있다'는 전제가 너무 쉽게 무너진다는 것"이다. 부인방지 기능 같은 건 없다는 뜻이다.

모두가 알고 있는 것처럼, 그동안 공인인증서는 너무나도 쉽게, 정말 많이도 유출되어왔다.

비밀번호를 지문으로 대체한다는 건, '공인인증서만으로는 당신이 이 인증서의 주인인지 알 수 없으니 지문을 내놓으라'는 것으로도 해석할 수 있다. 한 번만 확인하면 될 걸 굳이 두 번 확인하겠다는 얘기다. 거의 아무 것도 '인증'하지 못하는 공인인증서 때문에.

finger print


게다가 이 '지문인식 공인인증서'는 (당연하게도) 지문인식 센서가 부착된 스마트폰에서만 이용할 수 있다.

사실 인터넷뱅킹과 인터넷 쇼핑에서 공인인증서를 필수적으로 쓰도록 하는 규정은 이미 올해 초에 폐지됐다. 그러나 대다수의 금융회사와 인터넷쇼핑몰, 정부부처 관련 사이트 등에서는 여전히 공인인증서를 요구하고 있는 게 현실이다.

한편 트위터에는 이 소식을 접한 이용자들의 분노가 쏟아지고 있다.


공인인증서라는 코미디, 김기창