4차 산업혁명을 위한 새로운 전자서명 기술
상태바
4차 산업혁명을 위한 새로운 전자서명 기술
  • 최형주 기자
  • 승인 2020.09.08 14:00
  • 댓글 0
이 기사를 공유합니다

PKI와 FIDO, DID까지 ‘전자서명’을 위한 인증 기술

최근 법적으로 강요되던 공인인증서 의무 사용 법조항이 사라지며 새로운 인증 기술들이 각광받고 있다. 2000년대 초반부터 우리의 보안 인증을 책임져온 공인인증서의 기반 기술 PKI(Public Key Infrastructure, 이하 PKI)부터, 인증 시장의 새로운 트렌드로 떠오르고 있는 FIDO(Fast IDentity Online)와 DID(Decentralized ID) 등의 인증 기술에 대해 조명해본다.

 

전통의 강자, PKI

PKI는 공개키(public key)에 대한 인증서(certificate) 발급 및 관리 체계인 PKI(Public Key Infrastructure) 기반의 인증으로, 인터넷 뱅킹, 쇼핑몰 결제, 온라인 증권 거래, 공공 민원 서비스 등 많은 분야의 인터넷 서비스에서 활발하게 사용돼 왔다.

PKI의 기반이 되는 공개키 알고리즘(혹은 비대칭키 알고리즘)은 공개키와 비밀키라는 서로 다른 두 개의 키를 제대로 활용할 경우, 어떤 해킹에도 안전한 견고한 보안 체계를 구축할 수 있게 된다.

우선 공개키는 아주 어려운 수학 문제라고 생각하면 된다. 예를 들어 A+B=3 이라는 문제가 있다고 가정하자. 여기서 우리는 A=3-B라는 수식으로 A와 B가 어떤 수인지 유추할 수 있지만, 정확한 답은 또 하나의 힌트가 주어지기 전엔 알 수 없다.

이때 여기에 대한 힌트가 바로 비밀키다. 만약 힌트로 B의 값을 1이라고 가정하면 A는 2로 답이 명확해진다. 여기선 단순한 수식으로 설명했지만, 이 수학 문제를 힌트 없이는 결코 유추도 할 수 없을 만큼 복잡하게 만든 것이 바로 PKI다.

특히 우리나라는 2000년대 초반부터 국가 차원에서 PKI 인증 체계를 구축해 왔다. 인터넷 사용 주체별 공개키를 신뢰할 수 있는 기관인 CA(Certification Authority)가 인증서 발급을 통해 보증하도록 해 강력한 보안성을 유지해왔으나, 이를 활용하기 위한 액티브X 추가 설치, 인증서 발급 및 유지와 비밀번호 관리에 대한 불편함, 인증 시장의 발전을 저해하는 제도적 한계 등의 문제가 지속적으로 지적돼 왔다.

현재도 사용되고 있는 공인인증서(자료: 정부24 캡처)
현재도 사용되고 있는 공인인증서(자료: 정부24 캡처)

그럼에도 PKI는 현재도 가장 많이 사용되는 인증 기술 중 하나다. 국내에서 탄탄한 입지를 기반으로 여전히 활약 중인 공인인증서는 물론, 최근엔 사물인터넷(IoT) 기술이 빠르게 발전하며 이를 위한 보안 기술로서 사용되고 있는 상황이다. 특히 글로벌 보안 기업 엔사이퍼 시큐리티와 보안 연구 기관 포네몬 연구소는 지난 5년간 PKI 애플리케이션 배포가 20% 증가했으며, 그 중심엔 IoT가 위치해 있다고 밝혔다.

 

생체인증을 위한 FIDO

스마트폰에 지문인증이 본격적으로 탑재되기 시작하며 주목받은 FIDO는 생체인증의 강력한 보안성에 빠른 인증 속도를 구현하기 위해 개발된 인증 프로토콜이다. 여기에 공인인증서의 문제점으로 지적돼 온 액티브X 등의 추가 설치가 없는 간편함까지 더해져 현재 차세대 인증 기술로 각광받고 있다.

FIDO의 핵심은 ‘인증의 분리’다. 공개키 방식과 마찬가지로 FIDO는 두 개의 인증키를 사용하는데, 인증키A는 개인 디바이스에, 인증키B는 서버에 저장한다. 사용자가 인증을 요청하면 서버는 인증키B에 입력된 정보를 토대로 ‘인증에 필요한 정보’와 ‘사용 가능한 인증 방법’을 인증키A가 있는 개인 디바이스에 보낸다.

이후 인증키A는 사용자가 단말에 입력한 개인정보를 판단하고, 인증키B가 요청해 온 난수 정보를 해석한다. 해석이 끝나면 이 두 가지 정보를 토대로 전자서명을 생성해 서버(인증키B)로 보낸다.

조금 더 쉽게 설명하면, 인증키A는 ‘사용자가 입력한 개인정보가 일치한다는 정보’만을 인증키B가 있는 서버로 전송하고, 인증키B가 있는 서버는 ‘개인정보가 일치하는지’만을 확인하며, 사용자의 개인정보를 저장하거나 판단하지 않는다.

FIDO 인증을 해킹으로 무력화하는 것도 불가능에 가깝다. 우선 인증키A가 확인하는 개인정보는 USIM 등과 같이 ‘사용자 디바이스 내에 해킹이 거의 불가능한 영역’에만 저장한다. 또한 해커가 개인 디바이스에 침투해 인증 정보를 훔쳐낸다고 해도, 인증키B가 위치한 기업 서버를 해킹해 지문(그림)을 데이터(숫자)로 만드는 알고리즘을 파악하기 전엔 무의미한 데이터 조각일 뿐이다.

만약 해커가 서버를 해킹해 해당 알고리즘을 파악해도 숫자를 다시 지문으로 만들어야 하는데, 업계는 이를 비가역적 영역으로 판단하고 있어, 사실 해킹 가능성이 없다고 봐도 무방한 수준이다. FIDO는 PKI처럼 두 개의 키를 사용하지만 비밀번호 대신 암호화된 개인정보를 활용하고, 이조차 서버에 저장하지 않는다.

이처럼 강력한 보안성으로 무장한 FIDO 프로토콜을 활용하기 위한 글로벌 기업들의 노력도 활발하다. FIDO 프로토콜을 구축한 FIDO Alliance에는 삼성전자, 블랙베리, 구글, 레노버, 마스터 카드, 마이크로소프트, 페이팔, LG전자, BC카드 등 약 250여 개 기업이 참여 중이며, 국내에서도 한국인터넷진흥원(KISA)를 중심으로 FIDO를 PKI와 결합한 K-FIDO 가이드라인을 배포하고 있어 앞으로가 기대되는 인증 기술이다.

 

블록체인의 미래, DID

DID는 블록체인 기술을 기반으로 하는 인증 방식이다. 탈중앙화 신원증명, 분산아이디라고도 불리는 이 기술은, 개인정보의주인인 자신이 ‘인증 정보에 대한 통제권’을 가질 수 있도록 개발되고 있는 기술이다.

예를 들어 개인이 특정 사이트에 회원가입을 할 때, 기존엔 아이디와 비밀번호 등을 해당 사이트 운영 기업이 보관하고 관리했다. 하지만 DID는 내 정보를 기업에 주지 않고 개인을 증명할 수 있는 일종의 개인 인증 키를 생성해 이용자 본인임을 증명할 수 있다.

이 같은 인증 방식을 활용하게 되면, 기업 내 정보 유출 혹은 해커에 의한 정보 탈취 등으로부터 개인정보를 안전하게 지킬 수 있다. 또한 이용자의 동의가 없는 개인정보 활용이 원천 차단돼, 신원정보 관리의 투명성을 향상시킬 수 있다.

금융보안원이 지난 2019년 발행한 ‘전자금융과 금융보안’에 따르면, DID는 분산원장의 암호학적 특성을 기반으로 한 ‘신뢰된 ID저장소’를 이용한다. 또한 제3기관의 통제 없이 분산원장에 참여 가능한 누구든 신원정보의 위·변조 여부를 검증할 수 있다. 이외에 DID가 가지는 특징은 다음과 같다.

우선 기존엔 제공했던 신원정보가 서비스 제공자의 여건 등의 외부적 요인으로 사용할 수 없어지는 경우가 있었다. 그러나 DID를 통하면 사용자는 서비스 중단 등의 외부 환경의 변화와 관계없이 자신의 신원정보를 지속적으로 사용할 수 있다.

분산ID 모델(자료: 금융보안원, 전자금융과 금융보안, 2019)
분산ID 모델(자료: 금융보안원, 전자금융과 금융보안, 2019)

다음으로 DID는 신원정보의 발행과 검증이 특정 기간에 종속되지 않고, 피어(Peer) 기반으로 독립 운영된다. 다시 말해 이용자 자신이 ‘내가 맞다’는 신원 정보를 직접 생성해 이용할 수 있으며, 최초 신원 검증 시에만 신뢰할 수 있는 기관을 통해 본인 확인 절차를 거친다.

휴대성도 빼놓을 수 없는 강점이다. 만약 이용자의 신원증명이 필요한 경우, 자신의 스마트폰 등을 이용한 모바일 ID, 칩이 내장된 실물카드 형태의 ID카드 등에서 스스로 신원정보를 선택해 언제 어디서나 이를 제공할 수 있다.

마지막으로 사용자가 신원정보를 직접 관리하게 되면, 신원정보를 이용하는 서비스 제공자는 서비스에 필요한 정보 외 개인정보, 타 기관 서비스 이용 내역 등을 확인할 수 없게 돼 무분별한 개인정보 부정 사용을 차단할 수 있다.

 

4차 산업혁명 시대를 위한 인증 기술

우리가 산업혁명이라 부르는 인류 역사의 분기점마다, 과학 기술의 발전은 당대 지식인들도 예측할 수 없을 만큼 우리의 생활 수준을 크게 향상시켰다. 2000년대 초엔 인터넷이 대중적으로 사용되며 우리의 생활 양상이 180도 바뀌었고, 최근엔 코로나19 감염병으로 인해 디지털 전환에 가속도가 붙어, IT 업계는 뉴노멀로 떠오른 ‘언택트’를 위한 인증 기술 고도화에 박차를 가하고 있다.

그리고 우리는 차세대 인증 기술로 주목받는 FIDO와 DID에서 한 가지 공통점을 발견할 수 있다. 바로 현재 업계와 이용자 모두가 추구하는 궁극적 인증이 ‘인증을 분리해 보호하는 것’에 있다는 것이다. FIDO와 DID 모두 이용자의 인증 정보는 그 자신만이 가진다는 특성을 가지고 있고, 앞으로 개발될 인증 기술들 또한 이 같은 인증 철학의 궤를 달리하지는 않을 것으로 보인다.

머잖아 생체 인식을 활용한 간편하고 강력한 보안 인증 기술들이 우리가 오랜 시간 사용해 오던 아이디/비밀번호 체계를 대체할 것이다. 그리고 언젠간 FIDO, DID 또한, 다른 혁신적 인증 기술의 등장으로 대체되거나 사라질 수 있다. 4차 산업혁명 시대를 위한 더욱 강력하고 편리한, 또다른 차세대 보안 인증 기술들의 등장을 기대해본다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.