[CCTV뉴스=최진영 기자] 공공기관, 금융업체 등이 공인인증서를 클라우드 보안토큰에 저장하도록 지원하면 사용자는 어떤 편리함이 얻을 수 있을까? 티모넷에 따르면 수많은 액티브X 중에서 적어도 공인인증서를 위한 액티브X는 내쫓을 수 있고, 비밀번호를 찾기 위해 메모장을 뒤적거리는 일도 없어진다.
4월 4일 모바일 결제 솔루션 전문기업 티모넷은 미래창조과학부의 융합보안제품 협업개발 사업을 통해 클라우드 보안토른 서비스 ‘이지사인’을 개발 완료하고 본격적으로 시장개척에 나선다고 밝혔다.
이날 티모넷은 이지사인에 대한 설명과 시연을 위한 세미나를 개최했다. 윤원석 티모넷 신사업팀 상무는 실제 KEB하나은행의 PC인터넷뱅킹 환경에서 이지사인을 시연하는 동영상을 소개했다.
이지사인은 ▲클라우드 보안토큰에 인증서 발급과 저장 ▲주기기 인터넷뱅킹 이용 ▲부기기 공인인증서 권한 관리/통제라고 가정된 여러 시나리오 상에서 성공적으로 구동됐다.
공인인증서는 암호화 키를 생성하고 저장하는 전용장치인 HSM에 저장돼 외부 복사와 재생성이 되질 않으며 피싱·해킹 가능성이 현저히 줄어든다. 당연히 공인인증서를 저장할 USB도 필요 없다.
또한 금융사나 공공기관들의 웹에서 업무 시 요구하는 액티브X 중에 공인인증서를 위한 ▲인증서처리프로그램 ▲인증서 저장매체 보안 솔루션 ▲암호 알고리즘 등은 제외시킬 수 있게 된다.
세미나에서는 공인인증서에 대한 오해를 해소하고 공인인증서의 전략적 발전 방안을 모색해야 한다는 주장도 나왔다.
한국FIDO사업포럼 회장을 맡고 있는 박춘식 서울여자대학교 교수는 “공인인증서 개발에 참여했던 입장에서 전자서명을 위해 개발된 공인인증서가 무분별하게 본인확인을 위한 수단으로 쓰이는 것은 지적받을 만하다”며 “이는 사용자의 불편을 초래할뿐더러 다른 본인확인수단의 시장진입을 막아 기술발전에도 저해요소가 된다”라고 지적했다.
또 “2014년 3월 천송이 코트를 이슈로 공인인증서 의무사용이 폐지됐지만 이용자 수는 지속적으로 늘어나고 있다”며 “액티브X 없는 HTML5 기반의 웹 표준 방식 등을 보급하고, 생체정보 연계 FIDO 표준을 이용한 간편 공인인증서를 활용해 비밀번호 입력의 불편함도 개선해야 한다”라고 주장했다.
아울러 세미나에 참석한 보안업계 관계자는 “시장에는 이미 액티브X를 대체할 수 있는 기술이 나와 있으나 공공기관 등은 선뜻 나서지 않는 상황이다”라며 “정부나 국회에서 필요성을 먼저 제기하고 나서 법제화해야 공공기관이라도 차세대 기술을 도입할 것”이라고 설명했다.
