인증의 역사

지난 5월 국회에서 전자서명법 개정안이 통과되면서 공인인증서가 폐지됐다. 하지만 공인인증서가 사라지는 것은 아니다. 정확히 말하면 법 개정을 통해 신기술이 적용된 다른 인증서로도 전자서명을 할 수 있게 된 것이다. 이번 히스토리를 통해 다양한 인증의 종류와 역사를 살펴보고, 앞으로 어떤 인증을 사용할 수 있을지도 알아보자.

우리 조상들의 신분증

삼국시대엔 ‘부절(符節)’이라는 신분증이 존재했다. 고구려 건국 신화에 등장하는 고주몽의 큰아들 유리는 부러진 칼 한쪽을 고주몽에게 가져가 아들로 인정받았다. 삼국사기 설씨녀 열전에서는 6년 만에 만난 정혼자를 확인하기 위해, 헤어지기 전 두 조각으로 쪼개어 나눈 거울을 확인했다고 한다.

이같이 두 조각으로 쪼개거나 제작돼, 포개어지는 것들을 부절이라 한다. 고대 중국에서는 주로 사신들이 대나무, 옥 따위를 둘로 갈라 하나는 조정에 두고 하나는 본인이 가지고 다니며 신분 인증의 용도로 사용했다고 한다.

이 외에도 백제와 신라의 귀족들은 신분에 따라 허리띠의 재료, 색, 수를 달리해 자신의 위치를 드러냈다. 조선 태종 때는 이름, 직업, 계급을 기록해 신분증의 역할을 하는 ‘호패법’이 실시됐다.

1436년, 세종 18년엔 사람의 얼굴이나 팔에 문신을 새겨 범죄자를 식별하는 ‘자자형(刺字刑)이 시행됐다. 이 제도는 무려 300년이 넘게(1740년, 영조 16년 폐지) 이어졌으며, 일반 절도자들에게는 ‘절도(竊盜)’의 2글자를 새겼고, 소나 말을 도적질한 자에게는 ‘도우(盜牛)’, ‘도마(盜馬)’를 각각 새겼다.

성종 이후부터는 양쪽 뺨에 글자를 새기는 경면형이 주류를 이루었고, 연산군 때는 도망친 노비를 잡아 남자는 왼쪽 뺨에 ‘도노(盜奴)’를 여자는 오른쪽 뺨에 ‘도비(盜婢)’를 새겼다고 한다.

해외의 인증 사례

인도네시아의 소수 부족 ‘사게오니’는 오래전부터 남녀 구분 없이 12살이 되면 전신에 문신을 새긴다고 한다. 오랜 시간 가혹한 고통을 참는 의식으로, 약 60일에 걸쳐 지속된다. 문신을 새길 때는 동물 뼈로 만든 바늘과 코코넛 속껍질을 태운 숯 가루가 사용된다. 사게오니족은 문신을 하늘이 내려준 영원한 의복이라 믿는다고 전해지며, 이는 성인의 증표기도 하다.

15세기 유럽에서는 병사를 징집하고 탈영을 방지하기 위해 신분증을 만들었고, 또 15세기 후반 유럽에 역병 ‘페스트’가 창궐하자 방역을 위해 위생증을 발급해 역병과 무관함을 증명하는 수단으로 사용했다.

우리가 현재도 사용하는 OTP도 오랜 인증 방식 중 하나다. OTP는 1882년 미국의 암호 해독가이자 은행가인 프랭크 밀러(Frank Miller)에 의해 고안됐지만, 당시엔 큰 각광을 받지 못했다. 하지만 2차 세계대전에서 독일군의 ‘로렌츠 암호기’가 OTP 방식으로 사용되며 널리 알려지게 됐다.

로렌츠 암호기는 천재 수학자로 알려진 앨런 튜링(Alan Mathison Turing)이 속한 영국의 정보 기관 ‘블레츨리 파크(Bletchley Park)’에 의해 깨지며 독일군 패배의 원인 중 하나가 됐지만, ‘1회 사용 후 폐기되는 난수’를 사용한다는 가정하엔 결코 해독될 수 없는 암호 체계임이 수학적으로 이미 증명돼 현재도 사용되고 있다.

인증 시장 주름잡던 공인인증서, 하지만 결국…

오늘날의 인증 또한 과거와 마찬가지로 본인 스스로를 증명하기 위해 사용된다. 성인이 되면 누구나 발급받을 수 있는 주민등록증, 운전을 위해 반드시 필요한 운전면허증, 가족관계증명서, 주민등록등본, 공인인증서, 자신의 명의로 된 스마트폰 혹은 전화, OTP 등 다양한 인증 수단이 존재한다.

하지만 국내에서 현재까지 가장 많이 사용되어 온 대표적인 인터넷 인증 수단은 단연 공인인증서가 압도적이다. 공인인증서는 1999년 전자서명법 발효 후 정부를 중심으로 만들어진 인증 방식으로, 2001년 전자정부법 발효 후 최근까지 인터넷 뱅킹 이용 시 반드시 필요한 인증 방법 중 하나였다.

그러나 공인인증서는 별도의 저장장치에 저장해야 한다는 점, 액티브X 등의 추가 프로그램 설치가 필요하다는 점, 공인인증서 폴더 탈취가 어렵지 않은 점, 짧은 유효 기간, 타행 등록 시의 불편함 등의 문제가 꾸준히 지적돼 왔고, 결국 지난 5월 법 개정을 통해 폐지 수순을 밟게 됐다. 물론 공인인증서를 앞으로 사용할 수 없게 되는 것은 아니며, ‘공인인증서만 사용해야 한다’라는 법 조항이 삭제된 것이라 생각하면 된다.

미래형 인증 기술

기존의 취약한 인증 체계를 보완하기 위해 현재는 블록체인 기술을 이용하는 DID, 지문·정맥·홍채·얼굴 등 개인의 고유한 특성을 이용한 생체 인증, 하드웨어 보안 모듈(OTP 등)을 활용한 다요소인증 등 많은 인증 체계와 방식이 속속 등장하고 있다.

우선 DID(분산아이디)는 블록체인 기술을 활용해 개인이 자신의 정보에 완전히 통제권을 가질 수 있는 기술로, 중앙 시스템에 의해 통제되지 않는다. 이 기술의 가장 큰 특징은 인증 시 개인의 정보를 노출하지 않고 개인을 증명할 수 있다는 점인데, 예를 들어 주민등록증이 없어도 분산아이디를 발급받아 특정 기관에 자신의 개인정보를 주지 않고 분산아이디만으로 인증이 가능해져 미래형 인증 기술로 평가받고 있다.

다음으로 생체 인증은 신체의 특정 부위를 인식하는 방식으로, 지문·홍채·안면·음성·정맥·피부 등을 통해 스스로를 인증할 수 있다. 장점은 별도의 인증키가 필요하지 않다는 점과 개인의 고유한 신체 특징을 이용하는 만큼 보안 사고가 일어나기 어렵다는 점이다. 게다가 최근엔 FIDO(Fast IDentity Online) 기술 등 더욱 빠르고 정확하며, 안전하게 생체 인식을 활용하기 위한 기술들이 보급되고 있어 DID와 함께 미래 인증 시장의 한 축을 담당할 것으로 보인다.

그리고 이러한 첨단기술들이 다요소인증(Multi-Factor Authentication, 이하 MFA) 방식으로 적극 활용되고 있다. 기존에 우리가 이용하던 대다수의 웹사이트는 아이디와 패스워드만을 입력해 로그인하는 방식으로 인증을 진행해 왔다. 이 같은 단순한 인증 체계는 잊을만하면 화제가 되는 금융사들의 개인정보 유출 등 보안 사고의 주요 타깃이다.

하지만 MFA는 여기에 생체인증, 스마트폰 OTP, DID 등의 기술을 활용한 이른바 ‘이차 인증’으로, 보안성을 높이기 위한 비책으로도 인정받고 있는 상황이다. 특히 구글은 전 직원에게 하드웨어 보안 모듈 ‘타이탄 시큐리티 키’를 보급해 테스트한 1년 동안 단 한 건의 업무 계정 탈취 공격도 발생하지 않았다고 밝혀, MFA의 강력한 보안성은 이미 전 세계적으로도 입증된 상태다.

딥러닝 기술 등으로 인공지능이 하루가 다르게 발전하고 있고, 다수의 큐비트를 탑재한 양자컴퓨터가 등장해 전 세계를 뒤흔들고 있다. 그리고 보안 인증 기술은 이 같은 기술들과 함께 발전해야 한다. 발급과 갱신, 추가 프로그램 설치 등 번거로운 과정을 거쳐야 하는 공인인증서가 우리 삶에서 서서히 잊혀져 가고 있듯, 기술의 고도화는 미래의 인증 기술이 될 것으로 예상되는 DID, 생체인식 등도 ‘더 이상 꼭 필요하지 않은것’으로 만들 수 있기 때문이다.

더욱 빠르고 편리하지만 안전한, 혁신적 차세대 인증 기술의 등장을 기대해 본다.