온라인이든 오프라인이든, 신뢰를 확보하기 위한 가장 기본적이며 중요한 부분은 '나'임을 확인하는 것에서부터 시작한다고 볼 수 있다.
특히, 온라인에서는 내가 '나'임을 확인하기 위한 기술적 수단이 마땅치 않은 것이 현실이다.
오고 가는 트래픽 속에서 신뢰할 수 있는 패킷을 통해 믿을 수밖에 없다.
온라인상에서 일반인들에게 그나마 신뢰할 수 있는 본인확인 수단으로 공인인증서가 있었지만, 공인인증서 설치를 위한 수단으로 활용되던 '액티브 엑스'가 악성 프로그램 설치 경로가 될 수 있다는 우려로 인해 ‘공인’인증서는 사라지게 되었다.
액티브엑스(ActiveX)로 인한 악성 프로그램 설치가 줄어들고, 다양한 환경에서 별도 프로그램을 설치를 하지 않아도 온라인 서비스를 이용할 수 있는 환경이 만들어진다는 측면에서 긍정적인 부분이 있지만, 이로 인해, 가장 간편하게 신뢰할 수 있었던 전 국민 인증 수단이 함께 사라지게 된 것은 아쉬움이 남는 부분이다.
앞으로는 국민들이 전자서명 이용 시, 다양하고 편리한 전자서명 서비스가 개발‧활성화되어 ①액티브엑스(ActiveX)나 실행파일을 설치할 필요가 없고, ②전자서명 가입자 신원확인도 기존 대면확인만 허용했던 방식에서 비대면 확인(사전 안전성 검증은 필요)도 가능해지고, ③가입자 인증도 10자리 이상의 복잡한 비밀번호 대신 생체정보나 PIN(간편비밀번호) 등으로 간편하게 이용할 수 있게 될 전망이다.
우려스러운 부분은 공인인증서가 없어지고 사설인증서를 이용해야 한다는 점 보다, 신원확인 방법으로 기존 대면 확인만 허용했던 방식에서 비대면 확인 방식도 가능하게 되었다는 점이다.
사전 안전성 검증이 필요하다는 단서가 붙어 있어서 어떤 식으로 검증할 지에 대해 고민이 필요해 보인다.
이미 우리나라 대부분의 개인정보가 유출된 상황에서, 비대면을 통한 신원 확인이 가져올 직접적인 피해나 2차 피해 가능성은 온라인의 신뢰를 약화 시킬 수 있다.
악의적인 공격자가 보유하고 있는 개인정보(복제된 신분증 파일 등)로 비대면 서비스를 통해 인증서를 발급 받고, 휴대폰(USIM)에 가입하고, 추가적인 개인정보를 활용해서 피싱이나 대포 통장을 개설하는 등 악의적인 목적에 이용될 수 있는 환경이 더 간편화, 대량화 될 수 있다.
현재도 비대면 휴대폰 가입 등을 통해 보이스 피싱에 악용되는 사례가 발생하고 있는 상황에서, 비대면 방식의 간편한 인증서를 발급 받아 다양한 본인확인 등에 악용될 경우 그 부작용을 걱정하지 않을 수 없다.
특히, 금융이나 인터넷 기반 기업들이 혁신이라는 이름으로 간편한 비대면 서비스를 활성화하려는 방향 속에서 비대면 신원확인이 어떤 부정적 영향을 미칠 수 있을지 충분한 고려가 필요하다.
다양한 인증서가 만들어지고, 활용되고, 인증기관 간에 활용할 수 있는 방법들은 시간이 지나면서 안정화 될 수 있는 부분이지만, 그 인증서 발급을 위한 신원 확인 방식에 문제가 있다면 제도 전반에 신뢰성을 확보하기 어렵다.
비대면 신원 확인 방식에 대한 철저한 검증을 통해 안전한 방식을 마련해야 할 것이다.
[글. 박나룡 보안전략연구소 소장/ isssi@daum.net]
★정보보안 대표 미디어 데일리시큐!★