의견.png

공인인증서

위키원
admin123431 (토론 | 기여)님의 2020년 6월 2일 (화) 14:00 판
이동: 둘러보기, 검색

공인인증서(公認認證書, certificate)란 전자 서명의 검증에 필요한 공개키(전자서명법에는 전자서명검증정보로 표기)에 소유자 정보를 추가하여 만든 일종의 전자 신분증(증명서) 및 전자 인감증명이라고 할 수 있다. 공인인증서는 공개키 증명서, 디지털 증명서, 전자 증명서 등으로도 불린다. 공인인증서는 개인키(전자서명법에는 전자서명생성정보로 표기)와 한 쌍으로 존재한다.

개요

공인인증기관이 발급하는 인증서를 말하며, 공인인증서 내에는 가입자의 전자서명 검증키, 일련번호, 소유자 이름, 유효기간 등의 정보를 포함하고 있다. 따라서, 공인인증서는 거래 당사자의 신원 확인은 물론 문서의 위ㆍ변조 방지, 거래 사실의 부인 방지 등의 기능을 가진다.[1] 'X.509 v3' 기반으로 인증서를 생성한다.

역사

1999년 전자서명법이 발효되자 전자정부의 초석을 다지기 위해 암호학 교수 11명이 모여서 연구를 시작했다. 이후 연구진은 두 축으로 나뉘었다. 이에 따라 전자는 모든 국민의 개인정보를 행정부가 보증하게 되었고, 입찰을 통해 사인 발급자로서 한국정보인증(KICA, Signgate)이 담당하게 되었다. 한국정보인증은 사인의 보증을 공적 주체가 맡게 된 것이다. 반면 후자는 금융결제원(yessign)이 발급 주체가 되었고, 은행, 보험회사들이 보증 주체가 되었다. 후자의 경우는 보증을 사적 주체가 하게 되는 셈이며, 금융 거래만 하는 사람만 금융결제원에 기록이 있어서 대상이 제한되게 되었다.

2001년 전자정부법이 발효되기 전 먼저 범용 인증서가 상공회의소, 전자정부, 학교를 중심으로 사용되게 되었지만, 일반 개인 인증서는 커버할 수 있는 부분이 매우 적어졌다. 즉, 개인이 결제하는데 인증서를 발급받고자 하면, 사인 시 사적 보증을 서주는 은행의 커버 범위로만 한정되는 데다, 은행 간 연동이 안 되었던 것이다. 이후 다른 은행 인증서를 만듦으로써 서로 연대보증 하는 개념으로 이 문제를 해결했다. 은행권에서도 금융결제원(yessign) 자체가 보증을 서는 범용 인증서를 만들었다.

2001년이 되어 전자정부법이 발효되고, 사람들이 대거 공인인증서를 쓰게 되고 여러 불만이 쌓인 후 전자서명법이 개정되었다. 주요 골자는 오직 정부만 보증 주체가 될 수 있고 보안을 강화했다는 내용이다. 다만 발급을 대행하는 곳을 한국정보인증(KICA), 한국전자인증(crosscert) 등 여러 회사로 두게 하였다. 개정된 법에 따라 금융결제원(yessign), 은행 및 보험사는 범용인증서를 신규발급할 수 없게 되었다. 이 과정에서 기존의 인증서들은 범용인증서로 이관이 되었다. 2012년 1월 이후 인증서를 발급/갱신하게 되면 기존의 인증서보다 알고리즘이 강화된 인증서로 교체된다.[2]

2013년에서 2014년 방영된 SBS 인기 드라마 <별에서 온 그대>로 인해 공인인증서 폐지가 본격적으로 도마 위에 오르게 되었다. 중국을 비롯해 전 세계 팬들이 배우 전지현이 입고 나온 일명 '천송이 코트'를 보고 국내 쇼핑몰로 몰려들었지만, 공인인증서의 벽에 막혔다. 이로 인해 공인인증서 폐지 여론이 일기 시작했고 금융당국은 첫 단계로 2015년 3월 공인인증서 '의무 사용' 규정을 폐지했다.[3]

도입 초기에는 전자상거래 활성화 등에 이바지했으나 이후 시장독점을 초래하고 전자서명 기술과 서비스 발전을 저해하고 있다는 문제점이 제기되었다. 2018년 9월 정부가 공인제도를 폐지하고 다양한 전자서명 수단을 활성화하는 내용의 「전자서명법」 개정안을 발의했다.[4]

특징

공개키 기반

  • 공개키 기반구조(Public Key Infrastructure)
1976년 미국의 암호학자인 휫필드 디피(Whitfield Diffie)와 마틴 헬만(Martin Hellman)이 정보의 전송을 안전하게 하기 위해 개발한 일련의 프로세스 및 표준을 말한다. 공개키 기반구조는 암호화 및 암호 해독 프로세스를 근본적으로 변경하여 커다란 혁신을 가져왔다. 전자서명을 생성하고 검증하는데 사용되는 개인키와 공개키를 안전하게 나누어주는 역할을 담당하는 신뢰 된 제삼자(인증기관)의 존재를 전제로 하고 있다. 한국의 공인인증서 제도 역시 공개키 기반구조에 입각한 제도이다. 공개키 기반구조에 입각한 인증서는 서버의 신원을 확인하는데 사용되는 서버인증서와 이용자의 신원을 확인하는데 사용되는 개인인증서로 나누어 볼 수 있다. 대한민국의 공인인증서는 개인인증서로 주로 사용되고 있다.

검증과정

전자서명 생성 및 검증과정.png

공인인증서 생성 및 검증과정

포함되어야 할 내용

  • 가입자의 식별 명칭 개인이면 실명, 법인이면 법인명
  • 가입자의 전자서명검증정보
  • 가입자와 공인인증기관이 이용하는 전자서명 방식
  • 공인인증서의 일련번호
  • 공인인증서의 유효기간 시작일과 만료일
  • 공인인증기관의 식별 명칭 등 공인인증기관임을 확인할 수 있는 정보
  • 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항
  • 가입자가 제삼자를 위한 대리권 등을 갖는 경우 또는 직업상 자격 등의 표시를 요청한 경우 이에 관한 사항
  • 공인인증서임을 나타내는 표시

장점

  • 오랫동안 검증된 보안 성능
대한민국의 공인인증서가 채용하고 있는 SEED 등 암호화 알고리즘은 40년 넘게 사용된 공개키 인증 방식임은 사실이지만, 40년 동안 그 보안성을 인정받았기에 계속 사용해 온 것이다. 또한, 중간자 공격(man in the middle attack, MITM)을 비롯한 각종 멀웨어와 자동화된 해킹 위협에 상대적으로 안전하다.[2] 공개키기반구조는 미국 국가안보국(NSA)이나 미국 국립표준기술연구소(NIST)로부터 최고 수준의 보안 등급을 받은 기술이기도 하다.[5]
  • 편의성
전자서명 기능을 수행하는 공인인증서가 있으므로, 가정에서 편리하게 정부24와 같은 사이트에 접속하여 관공서의 문서를 열람할 수 있다. 유럽이나 미국, 일본 등에서 서류 몇 부를 발급받기 위해 오랜 기간 관공서를 방문하고 세무 신고를 위해 은행에서 끝없이 줄을 서 있는 점과 비교하면 대한민국의 공인인증서는 사용자를 비교적 편리하게 한다.[2]
  • 해외거주자의 본인인증수단
한국 신용카드 및 한국 핸드폰이 없는 해외 장기 거주자의 경우 본인인증 수단으로서 유효하게 쓰이고 있다.[2]

단점

  • 저장·배포 방식으로 인한 문제
공인인증서는 사용자의 저장장치에 일반 폴더로 저장된다. 웹브라우저에 저장이 되는 동시에 일반 폴더 'NPKI' 폴더에 저장하며, 이 폴더를 복사해 가면 공인인증서를 복사할 수 있는 것이다. 일단 'NPKI' 폴더 내의 파일을 입수한 후, 공격 대상자가 비밀번호를 알면 쉽게 보안이 해제된다. 또한, 공인인증서 암호 검증 과정에는 서버와의 네트워크 통신이 필요 없다.[2]
  • 보안프로그램의 강요
첫 번째 문제는 보안에 대한 전문지식이 부족한 사용자에게 보안을 일정 부분 책임질 것을 강요한다는 것이다. 사용자의 개인 컴퓨터에 보안 솔루션을 설치했다는 것으로 법적 분쟁에서 서비스 제공자의 면피성 변호가 문제 될 수 있다. 기업들은 보안에 자체적으로 투자하지 않고 단순 외주로 맡기게 된다. 두 번째 문제는 보안 솔루션(보안프로그램)을 제공하는 기업들의 신뢰성이 부족하다는 점이다. 프로그램 설정이 원하지 않게 바뀌기도 하고 키보드 입력이 제대로 되지 않으며, 운영체제에 악영향을 끼치기도 한다. 신뢰성이 높은 백신이나 방화벽이 많이 있음에도 불구하고 특정 제품군을 깔도록 강제하는 것은 좋은 상품을 선택할 권리를 막는 것이다. 또한, 단일 프로그램을 설치하게 하면 크래커 입장에서는 해당 제품 제조사만 해킹하면 되기 때문에 해킹이 쉽다는 문제가 있다.[2]
  • 기타
인터넷에 연결된 디스크에 파일로 저장되는 공인인증서보다는 하드웨어 일회용 비밀번호(OTP)나 보안 토큰이 훨씬 더 안전하다.[2]

관계 법령

  • 전자서명법
대한민국에서는 1999년 전자서명법을 제정하고 공인인증서의 발급 및 관리의 체계를 마련하였다. 행정안전부 장관이 지정한 공인인증기관에서 발급한 인증서를 공인인증서라 하며 기타 인증기관에서 발급한 인증서를 사설인증서라 한다. 공인인증서가 사용되는 분야는 온라인 뱅킹·증권거래·인터넷을 통한 카드 결제·보험 등의 금융업무와 전자 세금계산서·전자입찰·전자 계약 등의 기업 조달업무, 정부에서 제공하는 전자 민원·전자정부 업무 등이 있다. 공인인증서 발급에 필요한 서류는 다음과 같다.
개인 : 신청서 1부, 신분증 사본 1부
법인, 개인사업자, 단체 : 신청서 1부, 사업자등록증 사본 1부, 인감증명서 또는 대표자 개인인감증명 원본 1부, 신청서상에 기재된 대리인의 신분증 사본 1부
  • 전자정부법
전자정부법에 의해 정부인증기관에서 발급하는 행정 전자서명 인증서로 생성된 전자서명을 행정 전자서명이라 한다. 이를 전자관인 이라 부르기도 한다.

의무제도 폐지

  • 의무사용폐지
2015년 3월 공인인증서의 '의무사용'을 폐지했다. 기존 전자금융감독규정 '제37조'에는 "모든 전자금융거래에 있어 '전자서명법'에 의한 공인인증서 또는 이와 동등한 수준의 안전성이 인정되는 인증 방법(이하 '공인인증서 등'이라 한다)을 사용하여야 한다"라고 규정했는데 이를 "금융회사 또는 전자 금융업자는 전자금융거래의 종류, 성격, 위험 수준 등을 고려하여 안전한 인증 방법을 사용하여야 한다"로 바꾸었다. 이후로 사설 인증서가 등장하게 되었다.[6]
  • 공인자격폐지
2020년 5월 20일 20대 국회 마지막 본회의 결과 전자서명법 개정안이 통과되었다. 금융결제원, 코스콤, 한국정보인증, 한국전자인증, 한국무역정보통신, 이니텍 등 6곳의 공인된 기관에서 발행하는 인증서만 '공인' 자격을 가지고 있었다. 나머지 인증서는 모두 '사설' 인증서이다. 하지만 '공인' 자격이 폐지되면서 앞의 6개 공인인증서를 포함해 모든 인증서가 이제 '사설'이 되게 되었다. 이날 국회 본회의 관련법 통과로 공인인증서 폐지된다는 것은 인증서 자체가 없어진다는 의미가 아니라 많은 인증서 가운데 '공인'이 없어진다는 의미이다.[6]
  • 후속조치
2020년 11월부터 공인인증서 유효기간이 현재 1년에서 3년으로 늘어나고, 특수문자를 포함해 열 자리 이상으로 복잡한 비밀번호 인증 방식이 간소화된다. 공인인증서 발급 기관인 금융결제원은 2020년 5월 21일 이 같은 내용의 공인인증서 개선 방안을 발표했다. 공인인증서 의무 사용을 폐지하는 전자서명법 개정안이 전날 국회 본회의를 통과한 후 나온 후속 대책이다. 이번 법 개정으로 다양한 민간인증서들과 경쟁해야 하는 처지이다. 이번 개선 방안은 그동안 이용자들이 갖고 있던 여러 불만을 해소하는 데 초점이 맞춰졌다. 먼저 인증서 유효기간도 길어진다. 앞으로는 3년으로 늘리고, 인증서 자동 갱신도 도입하겠다는 계획이다. 사용자도 기억하기 어려울 정도로 복잡했던 비밀번호도 단순화된다. 결제원은 여섯 자리 숫자로만 구성된 핀(PIN) 방식, 휴대전화 잠금 해제에 주로 쓰이는 패턴 방식, 지문·안면·홍채 인식 등 다양한 인증 방식을 도입할 것이다. 인증서 보관 방식도 바뀐다. 인증서를 결제원 클라우드에 보관해 이런 불편을 없애기로 했다.[7][8]

각주

참고 자료

같이 보기


  의견.png 이 공인인증서 문서는 금융에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.