< 요약 > 1999년전자서명법제정과함께등장한공인인증서는인터넷뱅킹, 주택청약, 전자상거래등사회전반에걸쳐국내경제활동인구의 90% 이상이사용하고있는인증수단으로, 2010년 5월말현재 2,300여만건이발급되어있다. 비대면온라인방식의전자상거래에서공인인증서는상대방신원확인, 전자

Size: px

Start display at page:

Download "< 요약 > 1999년전자서명법제정과함께등장한공인인증서는인터넷뱅킹, 주택청약, 전자상거래등사회전반에걸쳐국내경제활동인구의 90% 이상이사용하고있는인증수단으로, 2010년 5월말현재 2,300여만건이발급되어있다. 비대면온라인방식의전자상거래에서공인인증서는상대방신원확인, 전자"

윤재 우
5 years ago
Views:

1 전자금융거래시공인인증서의무사용 규제완화관련주요이슈및현황 전자인증센터과장박지현 Ⅰ. 들어가며 35 Ⅱ. 공인인증서의이해 전자서명과공인인증서 발급현황및이용분야 공인인증서의무사용규정 40 Ⅲ. 공인인증서관련주요이슈 스마트폰의등장 호환성 안전성 47 Ⅳ. 의무사용논란 주요이슈 공인인증서대체수단 규제완화관련동향 54 Ⅴ. 맺으며 55 참고문헌

2 < 요약 > 1999년전자서명법제정과함께등장한공인인증서는인터넷뱅킹, 주택청약, 전자상거래등사회전반에걸쳐국내경제활동인구의 90% 이상이사용하고있는인증수단으로, 2010년 5월말현재 2,300여만건이발급되어있다. 비대면온라인방식의전자상거래에서공인인증서는상대방신원확인, 전자문서의무결성및거래내역에대한부인방지기능을제공한다. 이에따라전자금융거래법등관련법률에서는전자금융거래의안전성을제고하기위하여공인인증서사용을의무화하고있으며, 일부공인인증서설치및운용이불가능한환경에서는예외를인정하고있다. 2009년 11월아이폰 (iphone) 의국내출시로스마트폰이새로운전자금융채널로주목받게되면서감독당국은스마트폰기반전자금융서비스에대해 PC와유사한보안수준을요구하였고, 이는가입자S/W 호환성및공인인증서유출문제로대표되는공인인증서호환성및안전성관련이슈를촉발하였다. 전자금융거래시공인인증서의무사용규제를완화해야한다는주장은기술중립성, 부인방지효과, 금융기관의기술선택권보장이라는세가지관점을기반으로하고있다. 공인인증서의무사용완화와관련하여공인인증서를대체할수있는인증수단으로 SSL+OTP, 대칭키를이용한부인방지, 거래연동OTP 등이거론되고있으나, 기술적으로공인인증서와동등한수준의보안성을제공하지는못하는것으로평가되고있다. 최근정부는공인인증서의무사용완화를위한후속조치로보안방법의안전성수준에대한가이드라인을발표하였다. 동가이드라인은전자금융거래의유형, 거래한도등에따라인증기술을선택적으로적용하되, 공인인증서이외의인증수단에대해서는인증방법평가위원회의안전성평가를거치도록규정하고있다. 공인인증서는글로벌스탠다드를한국적으로성공시킨사례로서, 관련노하우를해외여러나라에수출하고있는우수한기술이다. 상기의공인인증서호환성및안전성관련이슈는대부분기술적인개선및보완이가능한문제들이며정부, 공인인증기관및보안업체등의개선노력을통해해결방안이제시되고있다. 다만, 사용자들에게다양한기술선택권을부여한다는의미에서거래유형별로다양한인증및보안수단을선택적으로적용하는방법을고려할수있을것이다. 이번의무사용논란이공인인증서이용환경을개선하고안전성을높이는등공인인증서비스를한층업그레이드하여경쟁력을높이는계기로작용하기를기대해본다. 이와더불어이용고객입장에서도공인인증서의안전한관리및사용에주의를기울여야할것이다. 34 지급결제와정보기술

3 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 Ⅰ. 들어가며 회사원인甲은매달부모님생활비를인터넷뱅킹을통해보내드리며, 증권회사의사이버트레이딩시스템에접속하여주식매매를한다. 또다른회사원인乙은은행대출에필요한주민등록등본발급을위해전자정부사이트를이용하고, 매년초연말정산소득공제증빙자료를준비하기위해국세청의연말정산간소화 1) 서비스를이용한다. 불과 10년전만해도상상할수없는모습이었지만지금은우리주변에서흔히볼수있는일상적인모습이되었다. 이런생활을가능하게만든배경에는공인인증서라는기술이숨어있다. 1999년전자서명법제정과함께등장한공인인증서는일반사람들이쉽게이해하기힘든공개키암호알고리즘에기반한기술이지만, 2003년은행의인터넷뱅킹을시작으로전자금융거래시사용이의무화되면서많은사람들에게익숙한개념이되었다. 2010년 5월말기준공인인증서발급건수는 2,300여만건 2) 으로경제활동인구의 90% 이상이사용중이며, 사용분야도인터넷뱅킹, 증권거래, 정부민원, 조달업무, 병무행정등사회전반에걸쳐널리쓰이고있으며, 이와같이국가차원의공인인증인프라를구축한사례는전세계적으로우리나라가유일하다. 공인인증서가우리의일상생활에서널리쓰이는만큼공인인증서와관련된문제점도제기되어왔는데, 대표적으로꼽을수있는것이공인인증서비스의웹호환성부족 3) 및개인키유출에의한전자서명효력에관한안전성문제이다. 최근에문제가불거진전자금융거래시공인인증서의무사용논란은스마트폰보급등다양한무선단말기가등장함에따라전자금융거래시기존 PC환경에서사용하던공인인증서비스를그대로적용하기어려운호환성문제를그출발점으로하고있으나, 타인증수단과의기술적우위여부및중소기업규제완화라는화두와맞물려논란이확대되고있다. 공인인증서의무사용논란은비단전자금융거래뿐만아니라공인인증서를사용중인모든분야에상당한파급을미칠것으로예상되는바, 본고에서는공인인증서에대한이해를바탕으로규제완화관련동향및주요이슈를살펴보고의무사용논란이갖는시사점에대해생각해보고자한다. 1) 근로소득세연말정산에필요한각종소득공제증빙자료를국세청이은행, 학교, 병의원등영수증발급기관으로부터수집하여이를인터넷홈페이지 ( 에서제공하는서비스이다. 2) 공인인증서발급및이용자현황, 한국인터넷진흥원, ) 공인인증서비스가 ActiveX 기반으로제공되는경우마이크로소프트社의윈도우운영체제및인터넷익스플로러웹브라우저에서만이용이가능하다

4 Ⅱ. 공인인증서의이해 1. 전자서명과공인인증서 가. 전자서명 전자서명법에명시된전자서명의정의는서명자를확인하고서명자가당해전자문서에서명을하였음을나타내는데이용하기위하여당해전자문서에첨부되거나논리적으로결합된전자적형태의정보를말하며, 기술적으로는전자문서의해쉬값을서명자의개인키 4) 로암호화한데이터를의미한다. 전자서명의검증은생성과정의역변환으로전자서명을서명자의공개키 5) 로복호화하고검증대상전자문서의해쉬값과비교하는과정이다 ( 그림1 참조 ). < 그림 1> 전자서명생성및검증과정 해쉬알고리즘 원문 원문 해쉬알고리즘 해쉬결과값 해쉬결과값 두값이일치하는지확인 공개키알고리즘 전자서명 네트워크 전자서명 공개키알고리즘 해쉬결과값 인증서 인증서 개인키 공개키 공개키 대칭키알고리즘 암호화된개인키 인증서암호 : ****** 자료 : 공인인증체계에서이용되는보안알고리즘의안전성, 지급결제와정보기술제 23 호, ) 전자서명생성정보라고도하며전자서명을생성하기위하여이용하는전자적정보를말한다. 5) 전자서명검증정보라고도하며전자서명을검증하기위하여이용하는전자적정보를말한다. 36 지급결제와정보기술

5 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 이러한전자서명이그역할을제대로수행하려면기술적으로나제도적으로전자서명에사용한키들이거래당사자의것이맞는지또는위조가되지않았는지등을검증할수있는방안이있어야하는데, 공인인증기관이가입자의신원을확인하고전자서명검증키등일련의데이터를전자서명하여발급하는공인인증서가바로그역할을수행한다 ( 표1 참조 ). < 표 1> 공인전자서명의정의 공인전자서명 이라함은다음각목의요건을갖추고공인인증서에기초한전자서명을말한다. 가. 전자서명생성정보가가입자에게유일하게속할것나. 서명당시가입자가전자서명생성정보를지배 관리하고있을것다. 전자서명이있은후에당해전자서명에대한변경여부를확인할수있을것라. 전자서명이있은후에당해전자문서의변경여부를확인할수있을것 자료 : 전자서명법제 2 조 ( 정의 ), 개정 나. 공인인증서 공인인증서는전자서명생성정보 ( 개인키 ) 가가입자에게유일하게속한다는사실을확인및증명하는전자적정보로서, 전자서명법에따라국가에서지정한공인인증기관 (Certification Authority; CA) 6) 이발행한온라인거래용인감증명서로소유자의공개키, 일련번호, 소유자이름, 유효기간등일련의데이터를포함하고있다 ( 표2 참조 ). < 표2> 공인인증서주요구성요소 주요구성요소 설명 일련번호 공인인증서일련번호 발행기관식별명칭 공인인증기관식별명칭 유효기간 공인인증서유효기간시작일과만료일을명시 소유자식별명칭 공인인증서소유자의실명을포함한식별명칭 공개키 공인인증서소유자의공개키 공개키사용목적 공개키의사용목적을명시 ( 전자서명, 암호화등 ) 인증서정책 공인인증서발행기관이인증서를발행하는데적용한인증서정책과인증업무준칙을명시 발행기관의서명값 위의내용이진실임을증명할공인인증기관의전자서명값 6) 전자서명법에규정된자격요건을갖추어행정안전부로부터지정된공인인증기관은현재금융결제원, ( 주 ) 코스콤, ( 주 ) 한국정보인증, ( 주 ) 한국전자인증, ( 주 ) 한국무역정보통신총 5 개이다

6 다. 공인전자서명기능및효력 공인전자서명은비대면온라인방식의전자상거래에서상대방신원확인, 전자문서가위ㆍ변조되지않았음을보장하는무결성및거래내역부인방지의기능을제공하며, 이는전자금융사고등사용자와의분쟁발생시해당사용자의책임을입증하는등의용도로활용할수있다. < 표3> 수기서명과전자서명비교 구분 수기서명 전자서명 서명채널 오프라인 ( 대면 ) 온라인 ( 비대면 ) 서명대상 종이문서 전자문서 서명생성 수기서명, 서명날인, 기명날인 전자문서의해쉬값에개인키를이용한암호화 서명확인 인감증명서에의한기명날인확인등 공개키를이용하여복호화한전자서명과전자문서의해쉬값검증 전자서명법은공인인증서를이용한공인전자서명이서명, 서명날인, 기명날인과동일한효력 ( 법제3조 ) 을가지고, 공인인증서로본인확인 ( 법제18조의2) 할수있도록규정하고있으며, 다양한법령에서전자서명법을인용, 관련업무에서명과본인임을확인하기위해공인전자서명을이용하도록규정하고있다 ( 표3, 4 참조 ). < 표 4> 전자서명및공인인증서의효력 - 전자서명법제3조 ( 전자서명의효력등 ) 1 다른법령에서문서또는서면에서명, 서명날인또는기명날인을요하는경우전자문서에공인전자서명이있는때에는이를충족한것으로본다. 2 공인전자서명이있는경우에는당해전자서명이서명자의서명, 서명날인또는기명날인이고, 당해전자문서가전자서명된후그내용이변경되지아니하였다고추정한다. 3 공인전자서명외의전자서명은당사자간의약정에따른서명, 서명날인또는기명날인으로서의효력을가진다. - 전자서명법제 18 조의 2( 공인인증서를이용한본인확인 ) 다른법률에서공인인증서를이용하여본인임을확인하는것을제한또는배제하고있지아니한경우에는이법의규정에따라공인인증기관이발급한공인인증서에의하여본인임을확인할수있다. 자료 : 전자서명법 ( 개정 ) 38 지급결제와정보기술

7 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 2. 발급현황및이용분야 가. 발급현황 정부는 1999년 7월전자서명법을제정한이후 2000년부터공인인증기관을지정하여공인인증서를발급하고있으며, 2003년인터넷뱅킹시공인인증서의무적용등공인인증서보급확대정책이마련된이후발급건수가꾸준히증가하여왔다 ( 표5 참조 ). 인터넷뱅킹가입고객수는공인인증서발급건수의약 2.5배로, 이는공인인증서 1개로약 2~3개은행의인터넷뱅킹업무를이용하고있음을의미한다. < 표 5> 공인인증서발급건수및인터넷뱅킹가입고객수 백만명 인터넷뱅킹가입고객수공인인증서발급건수 백만건 자료 : 공인인증서발급건수 ( 한국인터넷진흥원 ), 인터넷뱅킹가입고객수 ( 한국은행 ) 나. 이용분야 공인인증서는인터넷뱅킹, 온라인증권거래, 전자민원, 쇼핑몰, 주택청약등전자거래전반에서신원확인및전자서명수단으로이용중이며, 이용분야도금융분야에서비금융분야로확대되어왔다. 2000년에는전자입찰, 2001년 2005년에는인터넷뱅킹및증권업무, 년에는주택청약및연말정산, 2010년이후로는인감대체수단으로그이용분야가확대되고있다 ( 표6 참조 )

< 표 6> 공인인증서이용분야 구분금융전자상거래공공기타 이용분야 인터넷뱅킹, 인터넷증권, 보험가입 대출, 인터넷빌링, 기업금융등 인터넷쇼핑, 기업간정보유통, 각종예약, 화물운송, S/W 구매, 전자세금계산서, 전자계약 전자영수증, 전자무역등 행정민원사무, 인허가신청, 조세행정, 전자공증 내용증명, 정부조달EDI, 수출입통관,

가입자S/W는공인인증서를사용하는웹사이트접속시설치및실행되는데, 현재대부분의가입자S/W는액티브X 7) 기반으로구현되어있다. 이는윈도우운영체제및인터넷익스플로러웹브라우저를주로사용하는우리나라의인터넷이용환경과밀접한연관성이있다 ( 그림2 참조 ).

8 < 표 6> 공인인증서이용분야 구분금융전자상거래공공기타 이용분야 인터넷뱅킹, 인터넷증권, 보험가입 대출, 인터넷빌링, 기업금융등 인터넷쇼핑, 기업간정보유통, 각종예약, 화물운송, S/W 구매, 전자세금계산서, 전자계약 전자영수증, 전자무역등 행정민원사무, 인허가신청, 조세행정, 전자공증 내용증명, 정부조달EDI, 수출입통관, 전자출원, 전자입찰등대학의학사업무, 의료업무의정보화, 전자우편의송수신등 자료 : 공인인증서제도의현황, 행정안전부 ( ) 인터넷뱅킹사이트등에서실제로공인인증서를이용하기위해서는공인인증기관으로부터인증서를발급받거나전자서명을수행할수있는프로그램이필요하며, 이를공인인증서가입자설비혹은가입자S/W라고부른다. 가입자S/W는공인인증서를사용하는웹사이트접속시설치및실행되는데, 현재대부분의가입자S/W는액티브X 7) 기반으로구현되어있다. 이는윈도우운영체제및인터넷익스플로러웹브라우저를주로사용하는우리나라의인터넷이용환경과밀접한연관성이있다 ( 그림2 참조 ). < 그림 2> 국내운영체제및웹브라우저점유율 < 운영체제 > < 웹브라우저 > 자료 : 기준 3. 공인인증서의무사용규정 오프라인에서의거래는양당사자가직접대면하여계약을체결함으로써당사자의신원을확인할수있을뿐만아니라, 거래내용을명확히할수있는여건이마련되어있기때 7) 마이크로소프트社가개발한기술로기존의정적인텍스트와그림만으로구성된웹문서에서탈피하여동적이고화려한멀티미디어문서로작성을가능하게해준다. 40 지급결제와정보기술

9 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 문에신원확인, 당사자간의사표시확인및거래내역을분명히할수있으나, 전자금융거래는비대면이라는환경에서즉시에이루어질뿐만아니라, 당사자의신원확인과의사표시의내용을확인하기가현실적으로불가능하다는문제점을안고있다. 전자서명은사후에양당사자간당해거래에관하여다툼이있을경우에중요한증거가될뿐만아니라, 전자서명이포함된전자문서는당해문서의진정성을확보하는중요한입증자료로활용될수있다. 이런이유등으로전자금융거래법등관련법률에서는전자금융거래의안전성제고를위해공인인증서사용을의무화하고있다 ( 표7 참조 ). 다만, 현실적으로공인인증서설치및운용이불가능한환경에서는사용예외를인정하고있다. 동규정에따라 PC 등유선환경에서는공인인증서가필수로요구되고있으나, 휴대폰등을기반으로하는무선환경에서는인증서사용예외조건을인정받아왔으며 VM 모바일뱅킹 8) 이그대표적인사례이다. < 표 7> 전자금융거래시공인인증서의무사용관련법률및감독규정 - 전자금융거래법제 21 조 ( 안전성의확보의무 ) 3 금융위원회는전자금융거래의안전성과신뢰성을확보하기위하여 전자서명법 제 2 조제 8 호의공인인증서 의사용등인증방법에대하여필요한기준을정할수있다. - 전자금융감독규정제 7 조 ( 공인인증서사용기준 ) 모든전자금융거래에있어 전자서명법 에의한공인인증서를사용하여야한다. 다만기술적 제도적으로공인인증서적용이곤란한전자금융거래로감독원장이정하는경우에는그러하지아니하다. - 전자금융감독규정시행세칙제31조 ( 전자금융거래에있어서공인인증서사용예외 ) 2. 전화, CD/ATM 등과같이공인인증서의설치 운용이불가능한수단을이용한전자금융거래 자료 : 금융감독원전자금융거래법 ( 개정 ), 전자금융감독규정 ( 개정 ) 및시행세칙 ( 개정 ) 8) 휴대폰에모바일뱅킹용별도프로그램을다운로드하여단말기에설치하고이용하는방식으로국민은행등일부에서만공인인증서를적용하고있다

10 Ⅲ. 공인인증서관련주요이슈 1. 스마트폰의등장 스마트폰을한마디로정의하자면컴퓨터지원기능을추가한지능형휴대폰이라할수있다. 터치스크린등사용에편리한인터페이스를갖추고있으며, 전자우편, 인터넷등다양한기능수행을위해전용운영체제를가지고있다. 전세계적으로가장높은시장점유율을차지하고있는스마트폰은아니지만최근의스마트폰열풍은애플社의아이폰 (iphone) 9) 이국내에정식출시된 2009년 11월부터시작되었다고해도틀린말은아니다. 아이폰이후로도윈도우모바일 10), 안드로이드 11) 등다양한운영체제기반의스마트폰이국내에출시되어경쟁구도를만들어가고있으며, 최근스마트폰운영체제별시장점유율에서는안드로이드폰이아이폰을추월한것으로조사되었다 ( 그림3 참조 ). < 그림 3> 스마트폰운영체제별국내시장점유율 Android 6.0% 기타 9.9% iphone 43.3% WinMo 40.8% Android 35.3% 기타 7.1% WinMo 26.2% iphone 31.4% <2010 년 1 사분기 > <2010 년 5 월 > 자료 : ATLAS Mobile Index 9) 2007 년 1 월 9 일에애플이미국샌프란시스코에서열린 맥월드 2007 에서발표한터치스크린기반의아이팟, 휴대전화, 모바일인터넷의세가지주요기능을가진스마트폰으로 2010 년 6 월 8 일에는아이폰 4 가정식으로발표되었다. 10) 마이크로소프트社에서내놓은모바일운영체제로윈도우 CE 를기반으로하고있으며삼성전자, LG 전자, HTC, 모토로라, 노키아등에서생산하는다수의스마트폰에탑재되어있다. 대표적으로삼성전자의옴니아 2 스마트폰에탑재되어있다. 11) 구글 (Google) 이발표한운영체제로리눅스커널위에서동작하며, 자바 (Java) 로작성된애플리케이션을별도의프로세스에서실행하는구조로되어있다. 42 지급결제와정보기술

11 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 PC와거의유사한성능을갖는스마트폰이등장하고보급이확산되면서, 이동성과편리함을장점으로하는스마트폰을활용할수있는다양한서비스에대한수요도증가되었다. 이러한수요에발맞추어우선적으로 PC기반으로이루어지던전자금융거래및지급결제서비스가스마트폰기반 12) 으로제공되기시작했다. 앞장에서살펴본바와같이전자금융거래시에는공인인증서를의무사용하도록하고있으며, 스마트폰은그기능이나성능상 PC와유사한성격을가지고있기때문에금융감독원에서는 2010년 1월 7일 스마트폰전자금융서비스안전대책 을통해스마트폰기반전자금융서비스제공시준수해야하는지침을발표하였다. 동안전대책내용중에는 PC 인터넷뱅킹과유사한보안수준을적용하도록명시하고있으며, 전자서명을의무화하여고객이거래사실을부인하는것을방지하도록하고있다 ( 표8 참조 ). 이는사실상스마트폰기반전자금융서비스에서도공인인증서사용을의무화하는것으로스마트폰을휴대폰보다는 PC와성격이유사한기기로인정한것이라볼수있다. < 표 8> 스마트폰전자금융서비스안전대책일부내용발췌 전자금융거래부문 기술적침해대응부문 PC 인터넷뱅킹의전자자금이체시적용하는거래인증방법과보안등급별자금이체한도를적용함으로써 PC 인터넷뱅킹과유사한보안수준적용 바이러스등악성코드에의한보안위협으로부터전자금융거래를보호하기위해악성코드예방대책을적용하고, 전자서명을의무화하여고객이거래사실을부인하는것을방지 자료 : 스마트폰전자금융서비스안전대책, 금융감독원, 호환성 유명인터넷서점이아이폰등스마트폰으로책을주문하고결제하는모바일결제시스템을작년말구축했으나, 얼마지나지않아카드사가결제를거부하여서비스를중단하게되는사건이발생한다. 기사에따르면인터넷서점에구축된모바일결제시스템에공인인증서를적용하지않았기때문인것으로나타났다 13). 12) 2009 년 12 월하나은행의스마트폰모바일뱅킹서비스인 하나 N Bank 를시작으로, 기업은행, 국민은행등대다수은행에서스마트폰기반뱅킹서비스를제공하고있다. 13) 스마트폰, 공인인증보안프로그램지원안해 카드사들스마트폰결제중단, 조선일보,

가. 가입자 S/W 호환성 일반적으로 PC와스마트폰은사용하는운영체제및웹브라우저가상이하다.

문제는바로여기서발생한다. PC기반인터넷익스플로러환경에서공인인증서를이용할수있도록액티브X 기반으로만들어진대부분의가입자S/W를그대로스마트폰에서사용할수없게된것이다.

이러한웹브라우저호환성문제를해결하기위해서는특정웹브라우저가아닌모든웹브라우저에호환성을갖는방식을사용하거나, 웹브라우저가아닌별도의애플리케이션 17) 을통해서비스를제공하는방식을이용해야한다 ( 그림4 참조 ).

태블릿형컴퓨터인아이패드에내장되어있는운영체제로실제로는 Mac OS X 10.5 를기반으로만들어져있다. 15) 애플社가개발한웹브라우저로애플의퀵타임멀티미디어기술과통합되어있으며, 탭브라우징인터페이스를사용한다.

12 가. 가입자 S/W 호환성 일반적으로 PC와스마트폰은사용하는운영체제및웹브라우저가상이하다. 우리나라 PC환경은대부분마이크로소프트社의윈도우운영체제및인터넷익스플로러웹브라우저를사용하고있지만, 대표적스마트폰인아이폰을살펴보면운영체제는 ios 14) 를, 웹브라우저는사파리 15) 를기본으로사용하고있다. 문제는바로여기서발생한다. PC기반인터넷익스플로러환경에서공인인증서를이용할수있도록액티브X 기반으로만들어진대부분의가입자S/W를그대로스마트폰에서사용할수없게된것이다. 물론웹브라우저호환성문제는스마트폰등장이전에도제기되었으나 16), 스마트폰환경에서이슈로떠오른이유는앞절에서살펴본바와같이스마트폰환경에서는인터넷익스플로러를지원하는운영체제보다지원하지않는운영체제의비율이높기때문이다. 이러한웹브라우저호환성문제를해결하기위해서는특정웹브라우저가아닌모든웹브라우저에호환성을갖는방식을사용하거나, 웹브라우저가아닌별도의애플리케이션 17) 을통해서비스를제공하는방식을이용해야한다 ( 그림4 참조 ). < 그림 4> 국민은행스마트폰뱅킹에서인증서이용화면 < 초기화면 > < 인증센터메뉴 > < 인증서가져오기 > < 인증번호입력 > 14) 아이폰과디지털미디어재생기기인아이팟터치, 태블릿형컴퓨터인아이패드에내장되어있는운영체제로실제로는 Mac OS X 10.5 를기반으로만들어져있다. 15) 애플社가개발한웹브라우저로애플의퀵타임멀티미디어기술과통합되어있으며, 탭브라우징인터페이스를사용한다. 16) 2006 년김기창교수가중심이되어결성한사회운동단체인오픈웹 (OpenWeb) 은공인인증기관인금융결제원을상대로인터넷익스플로러를사용하지않는사용자에게도공인인증서비스를제공할것을요구하는소송을제기하였으나, 2009 년 10 월 9 일대법원최종판결에서패소한바있다. 17) 앱 (App) 방식으로불리며, 공인인증서처리기능을포함한애플리케이션을설치하여모바일뱅킹서비스를제공하는방식이다. 44 지급결제와정보기술

13 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 스마트폰특히아이폰환경에서는전자의방식으로웹브라우저호환성문제를해결할수없다. 아이폰운영체제는기본적으로멀티프로세싱을지원하지않기때문에웹브라우저를실행하면서동시에전자서명을위한가입자S/W를실행할수없는문제가발생하므로후자의방식을적용할수밖에없다. 현재대다수은행에서제공하는스마트폰모바일뱅킹서비스는후자의방식을채택하고있으나, 사업규모가크지않은중소전자상거래업체등에서는독자적인스마트폰애플리케이션개발에필요한비용을마련해야하는등의문제점이남는다. 나. 공인인증서저장위치호환성 웹브라우저호환성문제와는별개로공인인증서저장위치의호환성문제가있다. 인터넷뱅킹을이용한계좌이체등거래내역에대한전자서명을위해서는웹브라우저의고유기능만으로는불가능하며, 가입자S/W와같은별도의응용프로그램을필요로한다. 현행기술규격 18) 은공인인증서를저장하는위치를운영체제및저장매체별로특정하고있으며, 가입자S/W등에서공인인증서를발급하거나이용할때에는해당저장위치를참조하게된다. 웹브라우저는기본적으로이저장위치를인식할수없으므로웹브라우저에서사용하기위해서는가입자S/W 등에서제공하는인증서내보내기 가져오기기능을이용해야한다. 저장위치호환성문제와관련해서도아이폰에서는문제가발생한다. 아이폰운영체제는응용프로그램간에데이터또는메모리를공유할수없도록설계되어있다. 이러한특성때문에 A은행모바일뱅킹애플리케이션에서공인인증서를저장한다하더라도 B은행애플리케이션에서는해당인증서를이용할수없다. 이러한호환성문제를해결하기위해한국인터넷진흥원에서는아이폰에서공인인증서저장시 App ID라는방식을사용하도록기술규격을개정 19) 하였다 ( 표9 참조 ). 18) 최상위인증기관인한국인터넷진흥원 (KISA) 이제정한것으로, 공인인증서와관련된프로파일, 알고리즘, 프로토콜등을정의하고있으며, 공인인증기관이공인인증서를발급하거나사용하는데있어반드시준수하여야한다. 19) 응용프로그램간상호호환이필요할경우 App ID 를갖는공인인증서 App 호출을통해가입자공인인증서를획득한다

< 표 9> 저장매체별공인인증서저장위치및저장형식 구분 내장형메모리 외장형메모리 비 ( 非 ) 스마트폰 부록 2

안드로이드윈도우모바일 App ID 부록 2 의표준인터페이스함수 (PKCS#11) 드라이브명 : NPKI 인증기관식별자

스마트카드파일구성도및메모리맵참조 [KCAC.TS.HSMU] 와 [KCAC.TS.HSMS] 준용 저장토큰 보안토큰 [KCAC.

주 ) 상기표에서의 부록 에관한사항은한국인터넷진흥원이발간한자료원문참조 자료 :

3 이방식은공인인증서내보내기 가져오기기능을갖는공용애플리케이션을통해응용 프로그램상호간에인증서를교환할수있게하는방식이다.

< 그림 5> 아이폰에서의공인인증서호환성확보방안 공인인증서공용 App (KISA 및 KT) 1 내보내기 2 가져오기

14 < 표 9> 저장매체별공인인증서저장위치및저장형식 구분 내장형메모리 외장형메모리 비 ( 非 ) 스마트폰 부록 2 의표준인터페이스함수 (PKCS#11) 드라이브명 : NPKI 인증기관식별자 스마트폰 Mac OS X 안드로이드윈도우모바일 App ID 부록 2 의표준인터페이스함수 (PKCS#11) 드라이브명 : NPKI 인증기관식별자 USIM ( 또는 IC 칩 ) 저장토큰 보안토큰 [KCAC.TS.UI] 의부록 3. 스마트카드파일구성도및메모리맵참조 [KCAC.TS.HSMU] 와 [KCAC.TS.HSMS] 준용 저장토큰 보안토큰 [KCAC.TS.UI] 의부록 3. 스마트카드파일구성도및메모리맵참조 [KCAC.TS.HSMU] 와 [KCAC.TS.HSMS] 준용 주 ) 상기표에서의 부록 에관한사항은한국인터넷진흥원이발간한자료원문참조 자료 : 무선단말기에서의공인인증서저장및이용기술규격, 한국인터넷진흥원, 이방식은공인인증서내보내기 가져오기기능을갖는공용애플리케이션을통해응용 프로그램상호간에인증서를교환할수있게하는방식이다. 한국인터넷진흥원의기술규격에따라 KT가개발한 Show인증서 20) 가이공용애플리케이션에해당한다 ( 그림5 참조 ). < 그림 5> 아이폰에서의공인인증서호환성확보방안 공인인증서공용 App (KISA 및 KT) 1 내보내기 2 가져오기 공인인증서 기업은행 하나은행 자료 : 스마트폰의공인인증서전자결제아무문제없어, 행정안전부보도자료, ) 아이폰 아이팟터치기반뱅킹, 증권, 결제등과같은공인인증서를활용한애플리케이션들의공인인증서공유를위해인증서를저장하고공유해주는공용애플리케이션이다. 46 지급결제와정보기술

15 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 3. 안전성 지난몇년간공인인증서가유출되어인터넷뱅킹사고로이어지는경우가심심찮게발생하고있다. 언론보도에따르면피해자들은계좌번호, 보안카드번호등을스캔하여이메일계정이나웹하드등에올려놓았고이를해커가해킹을통해빼간것으로나타났다. 최근에는인터넷상에서개인정보와공인인증서를구매해되파는사건도발생했다. 경찰조사결과게임계정을 1년동안임대하는조건으로신분증사본과계좌정보, 보안카드등을건네받아공인인증서를발급받아매매한것으로드러났다 21). 가. 공인인증서유출 인감과달리공인인증서는실물이아닌컴퓨터하드디스크혹은 USB디스크등에파일이라는형태로존재한다. 공인인증기관에서가입자에게공인인증서를발급하는시점에서는신원확인을통해발급이이루어지지만파일이라는특성상복사를할경우원본과동일한사본이생성된다. 특히인터넷에연결된컴퓨터하드디스크에인증서가저장되어있는경우, 해킹등외부로부터의공격에의해인증서가복사되어유출되었다하더라도일반사용자가이를인지하기는어렵다. 이는공인인증서를해당가입자가유일하게소유하고있다는전자서명의기본전제가성립하지않을수있음을의미한다. 이와같은공인인증서유출문제를해결하기위해행정안전부에서는공인인증서를하드디스크대신휴대용저장장치에서만사용할수있도록단계적으로적용하여 2013년에는하드디스크에저장할수없도록하겠다는계획을발표하였으나, 이용자의불편함및하드디스크를대체할수있는실질적인대안마련이어렵다는시각도일부존재한다 ( 그림6 참조 ). < 그림 6> PC 하드디스크 ( 공인인증서저장매체 ) 의단계적이용금지계획 2009 년 2010 년 2011~12 년 2013 년 PC 하드디스크이용자제홍보 하드디스크이용시경고메시지출력 공인인증서발급시 PC 하드디스크선택금지 PC 하드디스크이용금지 자료 : 공인인증서안전성강화를위한로드맵, 한국인터넷진흥원, ) 공인인증서매매 수천만원부당이득챙긴일당검거, 노컷뉴스,

공인인증서유출문제를근본적으로해결하는방안은외부로의복사및유출이불가능한보안토큰 (Hardware Security Module; HSM) 22) 이라불리는저장매체를이용하는것이다 ( 그림7 참조 ).

이경우해당인증서를폐기하고다시발급하여사용하거나보안토큰사용자에게인증서를추가발급하도록인증서발급정책이변경되어야하는문제가있다. < 그림 7> 보안토큰종류 < 스마트카드타입 > <USB 타입 > < 지문인식타입 > 나.

서버인증서를사용하는사이트에서는 < 그림8> 과같은공인인증서사용마크 24) 를표시하여고객이해당사이트에대한유효성을확인하도록하고있으나, 고객이해당사용마크를찾기는쉽지않을뿐만아니라사용마크자체가보안기능이없는이미지로이루어져있어실제적으로서버인증의기능을수행한다고보기는힘들다.

16 공인인증서유출문제를근본적으로해결하는방안은외부로의복사및유출이불가능한보안토큰 (Hardware Security Module; HSM) 22) 이라불리는저장매체를이용하는것이다 ( 그림7 참조 ). 하지만보안토큰에대한인지도가낮을뿐만아니라별도매체를이용해야하는불편함등으로인해전체인증서발급건수대비이용률은매우낮은수준이다. 더욱근본적인문제는용도별로 1개씩만발급되는공인인증서의특성상보안토큰으로사용할수있는스마트카드나 USB 인터페이스를지원하지못하는기기에서는사용이불가능하다는점이다. 이경우해당인증서를폐기하고다시발급하여사용하거나보안토큰사용자에게인증서를추가발급하도록인증서발급정책이변경되어야하는문제가있다. < 그림 7> 보안토큰종류 < 스마트카드타입 > <USB 타입 > < 지문인식타입 > 나. 서버인증 인터넷뱅킹웹사이트에서고객이해당웹서버가정상적인사이트인지여부를파악하기위해서는서버인증서 23) 를확인해야한다. 서버인증서를사용하는사이트에서는 < 그림8> 과같은공인인증서사용마크 24) 를표시하여고객이해당사이트에대한유효성을확인하도록하고있으나, 고객이해당사용마크를찾기는쉽지않을뿐만아니라사용마크자체가보안기능이없는이미지로이루어져있어실제적으로서버인증의기능을수행한다고보기는힘들다. 일부가입자S/W는접속한웹서버의서버인증서를검증하는기능을제공하고있으나, 일반이용고객이손쉽게알아볼수있는방식은아니며가입자S/W 자체도해당사이트를통해배포된다는모순이있다. 이는결국접속하는인터넷뱅킹사이트자체를어떤식으로든신뢰하고있어야하는문제점이있다. 22) 키생성및전자서명생성기능을내부적으로수행하며키나인증서의외부노출이불가능한스마트카드또는 USB 형태의보안성이강화된장치이다. 23) 서버인증서는인터넷서비스를제공하는서버운영사업자가자신의서버에대한인증및전자서명을위하여공인인증기관으로부터발급받는인증서이다. 24) 해당사이트가공인인증기관의공인인증서를사용하는지의여부를사이트방문자가효율적으로판별할수있도록부여되는마크이다. 48 지급결제와정보기술

전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 < 그림 8> 공인인증서사용마크 이와는달리웹브라우저와웹서버간의전송데이터암호화를제공하는기술인 SSL(Secure Socket Layer) 25) 은웹서버에 SSL 인증서를설치하고, 사용자컴퓨터는웹브라우저를이용하여데이터를암호화하여전송하는방식이다.

17 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 < 그림 8> 공인인증서사용마크 이와는달리웹브라우저와웹서버간의전송데이터암호화를제공하는기술인 SSL(Secure Socket Layer) 25) 은웹서버에 SSL 인증서를설치하고, 사용자컴퓨터는웹브라우저를이용하여데이터를암호화하여전송하는방식이다. SSL은웹사이트에서고객의로그인아이디, 패스워드등중요정보를암호화하여전송하기위한용도로많이사용되고있다. SSL 방식으로보안이적용된웹사이트는고객에게서버인증을위한손쉬운방법을제공한다. 주소창이보안연결이이루어지고있음을의미하는 HTTPS 로시작되며, EV SSL(Extended Validation SSL) 26) 인증서를사용하는경우주소창의색깔이녹색으로표시되어직관적인확인방법을제공한다 ( 그림9 참조 ). < 그림 9> EV SSL 인증서를사용중인웹사이트의주소창 Ⅳ. 의무사용논란 올해초국무총리실산하기업호민관실 27) 은전자금융거래시공인인증서사용을의무화하고있는전자금융감독규정이관련산업발전에상당한저해요인이될수있다는문제를제기하며, 정부의일률적가이드라인제시보다는보안솔루션및시스템개발을유도 지 25) 클라이언트와서버응용프로그램간의안전한정보전송을위한프로토콜로, 1994 년 Netscape 社가개발하였다. 26) 정상적인사이트를피싱 (Phishing), 파밍 (Pharming) 등해킹사이트와구별하기위해 CA/Browser Forum 에서개발한기술이다. 27) 중소기업에대한각종규제와애로사항을발굴하여관련소관부처에개선을건의하는역할을수행하며, 중소기업기본법제 22 조에따라국무총리가위촉하고정부가지원사무를담당하는독립운영기관이다

18 원하여장기적관점에서공인인증서이외의보안수단을적용할수있도록전자금융감독규정개정의필요성을제기하였다. 1. 주요이슈 가. 기술중립성 공인인증서의기술중립성에대한논란은앞서설명한바와같이특정운영체제, 특정웹브라우저환경에서만이용가능한가입자S/W의호환성문제에기인한다. 공인인증서자체는기술중립적으로자바등다양한기술로구현이가능하지만, 시장논리에따라인터넷익스플로러에서동작하는액티브X 플러그인방식으로만구현되는현상이발생하였다. 그러나최근공인인증기관및보안업체에서가입자S/W를액티브X가아닌자바기반으로구현하거나인터넷익스플로러이외의웹브라우저에서액티브X를사용하게만들어주는소프트웨어 28) 를출시하는등기술중립성을확보하기위한노력이이어지고있다 ( 표10 참조 ). 다만실제적용중인웹사이트가제한적이며, 현실적으로모든웹사이트에적용되기까지는상당한기간이소요될것으로예상된다. < 표 10> 非액티브 X 기술로구현한공인인증서가입자 S/W 보급현황 개발社웹브라우저종류 ( 구현기술 ) 보급현황 금융결제원사파리, 오페라, 파이어폭스 ( 자바 ) - 한국정보인증사파리, 오페라, 파이어폭스 ( 자바 ) 조달청 드림시큐리티사파리, 오페라, 파이어폭스 ( 자바 ) 국세청 이니텍 사파리, 오페라, 파이어폭스 ( 자바 ) 아이폰뱅킹프로그램 ( 전용프로그램 ) IPTV 뱅킹프로그램 ( 전용프로그램 ) 시티은행 하나은행 기업은행 루멘소프트아이폰뱅킹프로그램 ( 전용프로그램 ) 기업은행 소프트포럼 파이어폭스, TV 트레이딩 ( 전용프로그램 ) 기업은행, 씨티은행, 홍콩상하이은행, 삼성증권 자료 : 스마트폰에서의공인인증서보안이슈, 한국인터넷진흥원, ) 베라인, 위즈베라社에서개발한소프트웨어로 Internet Explorer 에서만제공되고있는웹서비스를 Firefox, Safari, Chrome, Opera 와같은여타브라우저에서도이용가능하도록만들어준다. 50 지급결제와정보기술

19 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 나. 부인방지효과 공인인증서를이용한부인방지효과에대한논란은기술적인문제보다는공인인증서유출문제등관리적인문제에기인한다. 공인인증서및개인키가무단복제될수있는형태로운용되는상황에서는전자서명을한다하더라도해당공인인증서로서명을했다는사실자체를증명할뿐, 현실적으로전자서명을한사람이누구인지를입증하기는쉽지않다. 즉, 전자금융거래시거래내역에대한전자서명기록을보관한다하더라도공인인증서가유출되었을가능성이존재하기때문에거래사실에대한상호분쟁이발생할경우전자서명만으로분쟁을해결하기는어렵다는주장이제기되고있다. 다. 금융기관기술선택권 전자금융보안을위한통제수단을정의하고있는바젤은행감독위원회 (Basel Committee on Banking Supervision) 29) 의 전자금융위험관리원칙 은특정기술을강제하기보다는전자금융거래시요구되는보안기능을제시하고은행의판단에따라기술을선택하도록권고하고있다 ( 표11 참조 ). < 표 11> 바젤은행감독위원회의 전자금융위험관리원칙 주요내용 A. 경영진관리감독 B. 보안통제 C. 법률및평판리스크관리 1) 전자금융활동에대한효과적인관리감독 2) 포괄적인보안통제프로세스확립 3) 외주관계와타사종속성에대한종합실사및관리감독절차 4) 전자금융고객에대한인증 5) 전자금융거래에대한부인방지와책임 6) 세부업무별분리를위한적절한조치 7) 전자금융시스템, 데이터베이스, 애플리케이션에대한적절한권한제어 8) 전자금융거래와정보에대한데이터무결성 9) 전자금융거래에대한분명한감사추적확립 10) 주요은행정보에대한기밀유지 11) 전자금융서비스에대한적절한공개 12) 고객정보에대한개인정보보호 13) 전자금융시스템과서비스의가용성확보를위한용량, 업무연속성및긴급사태대책 14) 침해사고대응대책 자료 : Risk Management Principles for Electronic Banking, ) 국제결제은행산하위원회로감독당국간현안을협의하고국제적인감독기준을제정하는곳이다

20 이는보안기술간건전한상호경쟁을통해기술혁신이이루어질수있도록기술선택권을보장해야한다는의미로이해할수있다. 예를들어공인인증서가제공하는신원확인기능은바이오인증, OTP(One Time Password) 30) 등의인증수단을통해서도제공이가능하다. 2. 공인인증서대체수단 가. SSL + OTP 공인인증서의대체수단으로논의되는 SSL+OTP 방식은해외온라인뱅킹등에서많이사용되고있는방식 31) 으로 SSL 암호화통신을적용하여인터넷익스플로러이외의브라우저에대한호환성을제공하고, 인증수단으로 OTP를사용하여사용자인증을강화하는특징이있다. 이방식을사용하는경우웹서버인증, 사용자인증및데이터암호화기능을제공할수있으나, 거래내역에대한부인방지기능은제공하지못하는단점이있다 ( 표 12 참조 ). < 표 12> 공인인증서와 SSL+OTP 비교 관련규정 제공기능 보안성 구분공인인증서 SSL+OTP 법률 전자금융거래법 정보통신망이용촉진및정보보호등에관한법률 하위규정전자금융감독규정 - 사용자인증 O O 전자서명 O X 데이터암호화 O O 서버인증 O O Replay 공격대비양호양호 부인방지 O X 30) 고정된비밀번호대신 OTP 생성기를이용하여사용자와서버가사전에약속한비밀키및공유정보를이용하여짧은주기로계속바뀌는일회용비밀번호를생성해사용자를인증한다. 31) 해외인터넷뱅킹보안현황조사보고서, 금융보안연구원, 지급결제와정보기술

전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 나. 대칭키를이용한부인방지 기술적으로는공인인증서방식이외에도대칭키를이용한부인방지방법도존재한다. 당사자간의거래내역에대해서로가신뢰할수있는제3자를통해부인방지를구현하는방식이다 ( 그림10 참조 ). 하지만이방식은신뢰하는제3자가모든고객의개인정보와금융거래정보를알수있는빅브라더가된다는문제점이있다.

21 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 나. 대칭키를이용한부인방지 기술적으로는공인인증서방식이외에도대칭키를이용한부인방지방법도존재한다. 당사자간의거래내역에대해서로가신뢰할수있는제3자를통해부인방지를구현하는방식이다 ( 그림10 참조 ). 하지만이방식은신뢰하는제3자가모든고객의개인정보와금융거래정보를알수있는빅브라더가된다는문제점이있다. < 그림10> 대칭키를이용한부인방지기법 2. 부인방지토큰생성 TTP 6. 부인방지토큰검증 (Trusted Third Party) 1. 거래내역 + 부인방지토큰요청 3. 부인방지토큰응답 7. 부인방지토큰검증결과 (Y/N) 5. 부인방지토큰검증요청 고객 4. 거래내역 + 부인방지토큰 은행 다. 거래연동 OTP 거래연동 OTP는패스워드기반의사용자인증기능만을제공하는기존의 OTP 기술을보완하여전자금융거래와관련된정보와연계하여 OTP를발생시키는개념이다 ( 그림11 참조 ). 이방식은거래시입력한계좌번호, 이체금액, OTP값들이모두연계되어있어어떠한거래정보가위조되더라도검출할수있는장점과한번사용된거래정보는재사용할수없는 OTP의장점을모두가지고있다. 하지만기존에보급된 OTP를그대로이용할수없어교체발급해야하는문제가있으며, 보다근본적으로는사용자와은행모두동일한값을생성할수있어진정한의미의부인방지기능을제공한다고는볼수없다

< 그림 11> 거래연동 OTP 개념도 웹브라우저 1. 계좌이체세부내용을입력및확인 5. 은행웹서버에거래정보및 OTP 값전송 인터넷 이용고객 2. 거래정보 ( 계좌번호, 이체금액 ) 를 OTP에입력 3. 알고리즘에따라 OTP값계산 4. 계산된 OTP 값을웹브라우저에입력 6. 전송된거래내역을알고리즘에따라 OTP 값계산 거래연동 OTP 7.

22 < 그림 11> 거래연동 OTP 개념도 웹브라우저 1. 계좌이체세부내용을입력및확인 5. 은행웹서버에거래정보및 OTP 값전송 인터넷 이용고객 2. 거래정보 ( 계좌번호, 이체금액 ) 를 OTP에입력 3. 알고리즘에따라 OTP값계산 4. 계산된 OTP 값을웹브라우저에입력 6. 전송된거래내역을알고리즘에따라 OTP 값계산 거래연동 OTP 7. 일치여부를확인하여정상거래인증 은행웹서버 3. 규제완화관련동향 금융기관또는전자금융업자가다양한인증수단을제공할수있도록기업호민관실이전자금융거래시공인인증서의무사용에대한규제완화를요구한이후, 수차례의관련기관협의및토론회를통해공인인증서의무사용에관한찬반논란이증폭되었다. 그후얼마지나지않아당정협의회에서공인인증서이외의인증방법사용을금지한금융규제를풀기로결정하면서다양한인증방법이사용될수있는길이열리게되었다 ( 표13 참조 ). 아울러구체적인방안으로서지난 5월말민관협의체를통해보안방법의안전성수준에관한법적ㆍ기술적가이드라인이마련되었다. < 표 13> 공인인증서의무사용규제완화주요내용 - 전자금융감독규정제7조 개정, 공인인증서와동등한수준의안전성 이인정되는인증방법의사용을허용 * 공인인증서와동등한안전성수준에대한가이드라인마련 (5월) - 스마트폰을이용한 30만원미만의소액결제에대해서는새로운보안방법의도입과는상관없이공인인증서를사용하지않고도결제가가능하도록금융감독원의보안성심의를탄력적으로운영 자료 : 인터넷금융거래시공인인증서의무사용규제푼다, 국무총리실보도자료, 지급결제와정보기술

23 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 이가이드라인에서는금융기관과전자금융업자가자율적으로인증방법을선택할수있도록공인인증서와동등한수준의안전성기준을제시하고있다. 주요내용을살펴보면전자금융거래의유형, 거래한도등에따라인증기술을선택적으로적용할수있도록하고있어, 사실상공인인증서의무사용규제완화효과를가지고있다 ( 표14 참조 ). 하지만본격적으로공인인증서이외의인증수단이전자금융거래에적용되기까지는금융기관등이평가를요청한인증방법에대해동가이드라인의준수여부를판단하는인증방법평가위원회의구성및세부평가기준이마련되어야하는과제가남아있다. < 표 14> 전자금융거래시인증방법에대한가이드라인주요내용 인증방법평가위원회는다음의기술적요건들을고려하여인증방법의안전성을평가하되, 전자금융거래의유형, 거래한도등에따라위의기술적요건들을선택적으로적용 1 이용자인증 정당한이용자여부를식별및인증 2 서버인증 정당한금융기관등의여부를이용자가식별및인증 3 통신채널의암호화 전자금융거래내역등중요정보가유출되지않도록암호화를통한비밀성 무결성을제공 4 거래내역의무결성 해당전자금융거래내역의위조 변조여부를확인가능 5 거래내역의부인방지 정당한전자금융거래사실을이용자및금융기관이부인할수없는수단을제공 자료 : 전자금융거래인증방법의안전성가이드라인확정, 국무총리실보도자료, Ⅴ. 맺으며 오늘날우리가편리하고안전하게이용하는인터넷뱅킹, 주식거래, 카드결제, 주택청약, 연말정산간소화서비스, 각종민원서비스, 전자여권등생활전반의전자거래서비스는국가적인공인인증인프라가있었기에가능했다는사실은누구도부인하기어려울것이다. 그럼에도최근몇달동안공인인증서의무사용과관련된찬반논쟁이뜨거웠다. 앞서살펴본공인인증서관련이슈들은모두공인인증서를보다안전하고편리하게사용하려는의도에서비롯되었다고할수있다. 현재공인인증서관련주요논쟁들이대부분호환성과안전성에초점이맞추어져있다는사실이이를뒷받침한다. 호환성측면의액티브X와관련해서는, 우선공인인증서는국제표준을준용하고있어액티브X로만구현가능한게아니라자바등다양한기술로도구현할수있고, 마이크로소프

24 트사의인터넷익스플로러이외에파이어폭스, 애플사파리, 오페라, 구글크롬등다양한웹브라우저에서이용하는것이가능하다. 그럼에도사용자들이공인인증서를이용하기위해반드시인터넷익스플로러와액티브X가필요한것처럼느끼는이유는시장원리에따라인터넷익스플로러에최적화된공인인증서이용환경이만들어졌기때문이다. 따라서리눅스, 맥OS 등의여타운영체제또는파이어폭스, 사파리, 크롬등의여타웹브라우저환경에서공인인증서를이용할수있는정책적 기술적보완이요구된다. 다행히최근이런공인인증서의호환성과관련한문제도어느정도해결방안을보이고있다. 행정안전부의 전자정부웹호환성준수지침 제정 32) 에따라국세청연말정산사이트를비롯한정부기관사이트에서인터넷익스플로러이외의웹브라우저환경에서공인인증서를이용할수있도록지원하고있으며, 은행인터넷뱅킹사이트들도멀티브라우저를지원하는 33) 환경으로변화하고있다. 공인인증기관및보안업체들도자바등의기술을활용한가입자S/W를개발하여다양한환경및기기에대한호환성을제공하려는노력을기울이고있다. 다음으로공인인증서의안전성과관련한논쟁은대부분공인인증서및개인키의안전한관리에해당하는것으로보안토큰등안전성이높은공인인증서저장매체보급을통해해결할수있다. 현재대부분의사용자들은공인인증서를발급받아하드디스크, USB, 보안토큰, 휴대폰중에서임의로선택해저장하고있다. 하지만공인인증서를하드디스크등의이동 복사가가능한저장매체에저장하는것은공인인증서의안전성을크게떨어뜨린다. 안전성제고를위해 2005년부터공인인증서저장매체로써보안토큰활성화가추진되고있으나, 이용고객비용부담문제및이용의불편함등을이유로보급이확대되지못하고있다. 그러나공인인증서의안전한사용을위해서는지금이라도보안토큰을사용토록하는것이필요하며, 이와더불어이용고객입장에서도공인인증서의안전한관리및사용에주의를기울여야할것이다. 공인인증서는글로벌스탠다드를한국적으로성공시킨사례로서, 관련경험및노하우를해외여러나라에수출하고있는우수한기술이며, 현재공인인증서를대체할수있는기술적인대안은존재하지않는다. 다만, 사용자들에게다양한기술선택권을부여한다는의미에서거래유형별로다양한인증및보안수단을탄력적으로제공하자는의견도대두되고있으므로큰규모의거래에는공인인증서방식을, 작은규모의거래에는공인인증서방식또는다른방식을병행해적용하는방법을고려할수있을것이다. 또한, 정부와관련 32) 행정안전부고시제 호, 제정및시행 33) 외환은행은크롬, 파이어폭스등멀티브라우저환경을지원하는인터넷뱅킹서비스를 2010 년 4 월 18 일부터제공중이다. 56 지급결제와정보기술

25 전자금융거래시공인인증서의무사용규제완화관련주요이슈및현황 기관에서는공인인증서를다양한웹환경에서사용자들이편리하게이용할수있도록힘써야할것이다. 본고에서살펴보았듯이 1999년제도도입이후국내경제활동인구의 90% 이상이사용하고있는공인인증서는현존하는인증수단중가장높은수준의보안성을제공하는동시에, 은행인터넷뱅킹, 주택청약및전자상거래등일상생활에없어서는안되는필수재로서의기능을수행하고있으며, 전자정부구축의발판으로서기능해온것이사실이다. 또한현재제기되는문제들도모두기술적인개선및보완이가능한문제들이다. 이번의무사용논란이공인인증서이용환경을개선하고안전성을높이는등공인인증서비스를한층업그레이드하여경쟁력을높이는계기로작용하기를기대해본다

26 < 참고문헌 > [1] 공인인증서안전성강화를위한로드맵, 한국인터넷진흥원, [2] 공인인증서제도의현황, 행정안전부, [3] 국내인터넷뱅킹서비스이용현황, 한국은행, [4] 무선단말기에서의공인인증서저장및이용기술규격, 한국인터넷진흥원, [5] 스마트폰에서의공인인증서보안이슈, 한국인터넷진흥원, [6] 스마트폰전자금융서비스안전대책, 금융감독원, [7] 이한욱, 공인인증체계에서이용되는보안알고리즘의안전성, 지급결제와정보기술제23호, 금융결제원, [8] 인터넷금융거래시공인인증서의무사용규제푼다, 국무총리실보도자료, [9] 전자금융거래인증방법의안전성가이드라인확정, 국무총리실보도자료, [10] 해외인터넷뱅킹보안현황조사보고서, 금융보안연구원, [11] Risk Management Principles for Electronic Banking, [12] internettrend.co.kr [13] ko.wikipedia.org [14] openweb.or.kr [15] rootca.kisa.or.kr [16] [17] [18] [19] 58 지급결제와정보기술

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770> 스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고