최근 법적으로 강요되던 공인인증서 의무 사용 법조항이 사라지며 새로운 인증 기술들이 각광받고 있다. 2000년대 초반부터 우리의 보안 인증을 책임져온 공인인증서의 기반 기술 PKI(Public Key Infrastructure, 이하 PKI)부터, 인증 시장의 새로운 트렌드로 떠오르고 있는 FIDO(Fast IDentity Online)와 DID(Decentralized ID) 등의 인증 기술에 대해 조명해본다.

전통의 강자, PKI

PKI는 공개키(public key)에 대한 인증서(certificate) 발급 및 관리 체계인 PKI(Public Key Infrastructure) 기반의 인증으로, 인터넷 뱅킹, 쇼핑몰 결제, 온라인 증권 거래, 공공 민원 서비스 등 많은 분야의 인터넷 서비스에서 활발하게 사용돼 왔다.

PKI의 기반이 되는 공개키 알고리즘(혹은 비대칭키 알고리즘)은 공개키와 비밀키라는 서로 다른 두 개의 키를 제대로 활용할 경우, 어떤 해킹에도 안전한 견고한 보안 체계를 구축할 수 있게 된다.

우선 공개키는 아주 어려운 수학 문제라고 생각하면 된다. 예를 들어 A+B=3 이라는 문제가 있다고 가정하자. 여기서 우리는 A=3-B라는 수식으로 A와 B가 어떤 수인지 유추할 수 있지만, 정확한 답은 또 하나의 힌트가 주어지기 전엔 알 수 없다.

이때 여기에 대한 힌트가 바로 비밀키다. 만약 힌트로 B의 값을 1이라고 가정하면 A는 2로 답이 명확해진다. 여기선 단순한 수식으로 설명했지만, 이 수학 문제를 힌트 없이는 결코 유추도 할 수 없을 만큼 복잡하게 만든 것이 바로 PKI다.

특히 우리나라는 2000년대 초반부터 국가 차원에서 PKI 인증 체계를 구축해 왔다. 인터넷 사용 주체별 공개키를 신뢰할 수 있는 기관인 CA(Certification Authority)가 인증서 발급을 통해 보증하도록 해 강력한 보안성을 유지해왔으나, 이를 활용하기 위한 액티브X 추가 설치, 인증서 발급 및 유지와 비밀번호 관리에 대한 불편함, 인증 시장의 발전을 저해하는 제도적 한계 등의 문제가 지속적으로 지적돼 왔다.

그럼에도 PKI는 현재도 가장 많이 사용되는 인증 기술 중 하나다. 국내에서 탄탄한 입지를 기반으로 여전히 활약 중인 공인인증서는 물론, 최근엔 사물인터넷(IoT) 기술이 빠르게 발전하며 이를 위한 보안 기술로서 사용되고 있는 상황이다. 특히 글로벌 보안 기업 엔사이퍼 시큐리티와 보안 연구 기관 포네몬 연구소는 지난 5년간 PKI 애플리케이션 배포가 20% 증가했으며, 그 중심엔 IoT가 위치해 있다고 밝혔다.

생체인증을 위한 FIDO

스마트폰에 지문인증이 본격적으로 탑재되기 시작하며 주목받은 FIDO는 생체인증의 강력한 보안성에 빠른 인증 속도를 구현하기 위해 개발된 인증 프로토콜이다. 여기에 공인인증서의 문제점으로 지적돼 온 액티브X 등의 추가 설치가 없는 간편함까지 더해져 현재 차세대 인증 기술로 각광받고 있다.