인증 절차 줄어도 보안성 비슷…사설인증서도 유출 위험 적어

공인인증서 없어도 괜찮을까
“공인인증서를 거치지 않아도 보안 문제는 없나요?”

공인인증서를 이용하지 않는 은행 업무가 하나둘 늘어날 때마다 이용자들 사이에선 이런 질문이 나온다. 공인인증서 없이 이뤄지는 은행 간편이체의 주 사용 연령대는 20~30대다. 모든 연령대로 확대되진 않았다. 아직은 공인인증서가 아닌 인증 시스템의 보안 문제에 불안해하기 때문이라고 은행들은 보고 있다.

공인인증서 절차를 간소화한 이체 방식의 대표적인 예는 카카오뱅크처럼 모바일에 사설인증서를 설치하는 것이다. 카카오뱅크는 2017년 4월 출범 때부터 공인인증서가 아니라 사설인증서를 통한 간편이체 서비스를 하고 있다. 본인의 스마트폰에서 이 사설인증서를 발급받도록 하는 방식이다. 한 번 설치해놓으면 스마트폰을 바꾸지 않는 이상 갱신할 필요가 없다.

공인인증서와 사설인증서는 시스템 운영 방식이 다르다. 카카오뱅크는 사설인증서를 스마트폰 내 시큐어엘리먼트(SE)라는 영역에 저장한다. 하드웨어 안에 있는 SE에 저장된 정보는 유출 위험이 적은 안전한 저장소다. 이 방식은 삼성전자의 모바일 결제 플랫폼 ‘삼성페이’의 보호장치인 삼성녹스에서도 활용하고 있다. 카카오뱅크 관계자는 “이용자의 인증 절차가 줄었다고 해서 시스템 보안성이 약해지는 건 아니다”고 강조했다.공인인증서는 금융회사 서버에 저장한 공개키(PKI)를 개인 PC 또는 스마트폰 앱(응용프로그램), USB에 저장한 개인키와 맞춰보는 방식이다. 공인인증서 자체엔 보안 문제가 없다. 하지만 금융사 서버나 개인키 저장수단이 해킹당하는 사례가 종종 있다.

기업은행은 지난 21일 모바일 앱을 사설인증서를 기반으로 바꿨다. 기업은행의 사설인증서는 스마트폰 내 또 다른 보안영역에 암호화를 통해 저장하는 형태다. 기업은행 사설인증서의 갱신 주기는 3년이다. 신한은행과 국민은행은 ‘휴대폰 본인인증’ 방식을 통한 간편이체 서비스를 구현하고 있다. 휴대폰 본인인증 역시 보안 수준이 높은 것으로 알려졌다. 백신 프로그램과 보안 키패드, 위변조 방지기술을 거쳐 인증서를 스마트폰 내 보안영역에 저장한다.

정지은 기자 jeong@hankyung.com