[첨단 헬로티]

 

1. 들어가면서

온라인 상에서 개인의 신원을 조회하거나, 증명, 검증하는 디지털 신원조회, 즉 인증(認證)이 정보통신기술(ICT)의 발전과 더불어 다양한 방법으로 발전하고 있다. 필자는 이를 디지털 신원(이후 디지털ID)이라 했고, 1탄에서는 디지털 신원의 개념과 함께 디지털 신원 확인을 위한 최근의 3대 요구조건들로 모바일폰 번호와 SNS 플랫폼을 이용한 싱글사인온(Single sign on), 그리고 이중요소(Two factor) 인증에 대해 설명하였다. 또한, 2탄에서는 요즘 화두가 되고 있는 블록체인을 활용한 디지털 신원 조회의 가능성에 대해 논의하였다. 이를 위해 간단히 블록체인 개념을 살펴보았고, 블록체인 기반의 디지털ID 관리 비즈니스모델들에 대해 동향 중심으로 살펴보았다. 

이상 두번의 기고문을 작성하면서 필자는 갑자기 디지털 시대 이전의 신원조회, 즉 아날로그 시대의 인증에 대해 궁금해졌다. 신원조회는 이미 오래전부터 있었기 때문에 그 역사에 대한 궁금증이 생기게 된 것이다. 사실 디지털 신원조회인 인증도 처음에는 개인 신분을 확인하는 아주 단순한 과정에서 출발했지만 인터넷이 더 발전하여 e커머스를 넘어, 이제는 오프라인 거래까지 넘나드는 O2O (Online to Offline) 상거래까지 진화를 거듭하고 있다. 자료를 찾다가 마침 2016년 8월에 IT조선에서 인증의 역사에 대해 과거로 거슬러 올라 기사화한 내용을 접하면서, 필자는 이 기사를 근간으로 하여 신원조회의 진화 전반에 대해 한 번 정리할 필요성을 느껴 본 고에서 국내 중심으로 소개하고자 한다.

2. 시기별로 살펴본 국내 인증 수단의 진화

1) 국내 최초의 인증제인 고려시대 및 조선시대의 호패법

호패법은 1354년 고려 공민왕 시대에 도입되었다. 호패의 기원은 원나라에서 시작되었지만, 공민왕 시대에 16세 이상부터 60세 이하의 남자에게만 군역(軍役)과 요역(?役)을 부과하기 위해 도입했다. 도입은 되었지만, 실제로 군역을 기피하는 백성들이 많아지면서 잘 지켜지지 않았다.

이후 조선시대 태종 13년(1413)에 호패법이 다시 부활하게 된다. 세조와 광해군, 인조를 거치면서 제도가 정비되었고, 임진왜란 후 숙종 때 남자인구를 확보할 목적으로 제도가 강화되었다. 그 당시에는 호패를 착용하지 않거나 위·변조한 남자는 나무에 목을 메어 죽이는 형벌을 받게 하였고, 정확한 인구 파악을 위해 사망하면 호패를 나라에 반납하도록 했다.

2) 6·25전쟁 직후의 도민증

1950년대 6·25전쟁을 겪은 대한민국 정부는 국내 질서가 혼란한 가운데 북한에서 월남한 동포가 급증하게 되자, 신원 파악을 위해 도민증을 도입하게 된다. 하지만, 신원이 확실한 현역 군인과 국가공무원, 지방공무원 및 13세 미만자는 도민증 발급 대상에서 제외되었다. 그 당시에 도민증은 언제나 휴대해야 했고, 경찰 등 공권력이 요구할 때 이를 즉시 제시해야만 했다. 도민증은 1962년 ‘주민등록법’이 제정되면서 폐지되기에 이른다.

3) 1962년‘주민등록법’에 의한 주민등록증

주민등록증에 사진과 한글 이름, 한자 이름, 주민등록번호, 오른손 엄지손가락 지문과 거주지가 기록되면서 개인 신원 확인 기능이 강화된다. 하지만, 초기의 주민등록증은 종이에 사진을 부착한 형태여서 위·변조가 쉬웠다. 

따라서, 이를 막기 위해 홀로그램이 부착된 ISO 7810 ID-1 규격의 플라스틱 카드가 보급된다. D-1 규격은 85.60 × 53.98 밀리미터 (3.370 × 2.125 인치)이다. 대부분의 은행 카드들(신용카드, 현금카드)이 이 규격을 따르며, 대한민국을 비롯한 많은 국가들 (미국, 캐나다, 오스트레일리아, 유럽연합 등)에서 운전면허증 규격으로도 사용되며, 대한민국과 칠레, 파키스탄 등의 개인 신분증도 이 규격이다. 한편, 대한민국 장기간 체류하는 외국인에게는, 대한민국 국민과 마찬가지로 일정한 규칙에 의해 생성된 일련번호인 외국인등록번호가 기재된 외국인등록증이 발급된다.

4) 디지털 인증의 출발점이 된 공인인증서

현재 통용되고 있는 개인의 디지털 인증 개념은 1983년부터 1996년까지 14년에 걸쳐 행정망, 금융망, 교육연구망, 국방망, 공안망 등 총 5개 망을 전산화하는 국가기간전산망 사업이 진행되면서부터 정립된 것이다. 인터넷을 활용한 각종 전산 업무가 가능해지면서 온라인 거래하는 상대방의 신분을 확인할 수 있는 인증 개념이 중요해졌으며, 지금까지도 진화를 거듭하고 있다. 

1999년 신한은행이 국내 최초로 인터넷뱅킹 서비스를 상용화하면서 인터넷 금융거래 시 위·변조를 방지하고, 거래를 부인할 수 있는 강력한 인증 기술이 필요해졌는데, 이러한 이유로 공인인증서가 세계 최초로 개발되어 인터넷뱅킹 서비스에 도입되었다. 2003년부터는 아예 공인인증서 사용 의무가 법제화되면서 온라인 상거래 개인 인증 기술로 자리잡는다. 

하지만, 세계 최고 수준의 보안성을 갖췄다고 평가받은 공인인증서는 2014년 3월 개최된 ‘규제개혁 끝장토론’에서 인터넷 익스플로러만 지원하는 공인인증서의 범용성과 액티브X(ActiveX) 환경의 보안 취약성 등이 이슈로 계속 부각되는 상황에 대해 폐지 논의가 시작된다. 이는 모바일 중심으로 이동한 국민들의 온라인 생활 패턴 변화와 무관하지 않다. 

그동안 숱한 논란이 있었지만, 빠른 시일 내 문재인 대통령의 대선후보 시절‘공인인증서 폐지’공약은 이행될 것으로 보인다. 공인인증서 폐지 공약은 문 대통령의 정보통신기술(ICT) 정책 1호로, ‘액티브X’ 폐지 및 전자금융거래법 개정과 한 데 묶여 홍보됐다. ‘대한민국최초정책쇼핑몰’을 표방한 웹사이트 ‘문재인 1번가’도 “굿바이 공인인증서, 액티브X 폐지”라는 제목 아래 공인인증서 폐지 공약을 명시했기 때문이다. 결국, 최근인 11월 말에 정부는 2020년까지 액티브X 완전 제거와 공인인증 절차 폐지를 추진할 것임을 발표하기에 이른다. 이미 MS는 차세대 웹브라우저로 새롭게 출시한 엣지 브라우저에서 액티브엑스 기술 지원을 중단했다. 이에 정부는 2013년 민간 100대 웹사이트 기준 78.2% 수준인 액티브X 제거율을 올해까지 93%로 끌어 올리고, 공인인증서 의무사용 규제 개선 계획을 올해 안에 수립해 공인인증절차 폐지를 추진한다는 방침이다.

5) 2단계 본인인증: 비밀번호와 SMS 인증

모바일 환경에서 공인인증서 부담을 덜게 되지만, 사이트 내지 앱 접속때마다 아이디와 비밀번호를 입력하고, 하루 수십 번씩 손가락 패턴이나 비번을 입력하며 스마트폰 잠금을 해제하는 과정이 어느새 번거로운 일이 되었다. 기술적으로 안전하지 못한 비밀번호가 아직도 모바일 인증 수단이다. 비밀번호는 당사자의 기억에만 있기때문에 스스로 공개하지 않는 이상 유출될 우려가 없다는 전제가 따르지만, 해킹 기술이 발전하면서 비밀번호 입력이나 전달 과정에서 결과값을 가로채거나, 입력된 비밀번호를 검증하기 위해 서비스 제공자 서버에 저장한 비밀번호를 탈취하는 식의 비밀번호 유출이 빈번해졌다. 

비밀번호를 서버와 같이 특정 장소에 보관해서는 위험하다는 인식이 확산되면서 이미 PC 시대부터 매번 다른 일회용 비밀번호를 생성하는 OTP(One Time Password) 개념이 등장하였다. 한 번 사용하고 폐기하기 때문에 인증이 이뤄지는 시점에만 유효하다는 점에서 이용자들이 안심하고 이용하는 방법 중의 하나로 자리잡았다. 

그 이후 보안성이 높다고 인정되는 일회용 비밀번호는 모바일폰 문자메시지(SMS) 본인 인증에서도 동일하게 활용되기 시작했다. 이를 모바일폰 인증 내지는 SMS 인증이라 부른다. 그런데 이 또한 전송상 보안 취약점을 악용해 해커가 그 내용을 가로챌 수 있고, 스마트폰에서 SMS 수신 시 미리보기로 내용을 노출한다는 점 등 또 다른 문제를 야기하게 된다. 2016년 7월, 미국은 이러한 이유로 인해 SMS 본인 인증을 권고 기술 목록에서 제외하는 조치를 취하였다. 미국 국립표준기술원(NIST)은 ‘디지털 인증 가이드라인’ 차기 버전에 SMS를 이용한 대역외(OOB) 인증을 반대하며, 향후 허용하지 않을 것이란 문구를 삽입했다. OOB란 ID와 암호 입력 외에 모바일폰 등 외부 망을 통해 추가 본인확인절차를 요구하는 것이다. 이는 SMS 기반 인증 메시지를 공격자가 중간에 가로챌 수 있다는 우려를 담은 것이다. NIST 가이드라인은 법적 구속력을 갖지 않지만, 업계는 이 가이드라인을 기반으로 보안, 인증 등의 방침을 만들고 있으며, 가이드라인 차기버전은 3년 내 개정된다.

6) ‌이중(요소) 인증(Two Factor Authentication; 2FA)의 등장

최근에는 앞서 기고문에서 언급된, 두 가지 인증 수단을 동시에 이용하는 ‘이중(요소) 인증(이후 2FA)’이 보안성을 더 높여주는 방법으로 인식되고 있다고 언급하였다. 2FA는 비밀번호와 같은 지식 기반 인증 수단과 스마트폰, 보안 토큰 등 소유 기반 인증 수단 등 각기 다른 인증 수단을 상호 교차해 인증을 수행한다. 해커가 어느 한 쪽을 해킹하는 데는 성공하더라도, 다른 한 쪽까지 동시에 해킹하는 것은 사실상 불가능하다는 점에서 착안된 것이다. 기술적으로 2FA는 인증 프로세스에 별도의 보호 계층을 추가한다. 따라서, 사용자는 비밀번호 이외에 정보를 식별하는 두번째 부분을 제공해야 한다. 

구글은 이미 2010년 기업 고객 대상으로 고급 형식의 온라인 보안인 다층적 보호를 도입한 후, 2011년 모든 구글 사용자로 대상을 확대했고, 페이스북도 이를 따랐다. 그럼에도 불구하고 현재까지도 이의 개념조차 모르는 사람이 대부분이다. 듀오랩스(Duo Labs)의 한 보고서에 따르면, 평균 28%의 미국인이 실제로 2FA를 정기적으로 사용하며, 조사 대상 중 절반 이상의 사람들은 2FA에 대해 전혀 들어본 적이 없었다고 답했다고 한다. 

그 이유는 2FA가 최종사용자에게는 아직“번거로움”으로 이해되기 때문이다. 실제로 보면, 구글의 경우 2FA 페이지에서 모든 사용자는 2FA를 선택하고 확인을 위해 모바일폰에서 구글 앱을 통해 1회 탭 프롬프트를 수신하거나, 인증 프로그램을 통해 단기 코드를 수신하거나, 음성이나 문자 메시지를 통해 단기 코드를 수신하거나, 또는 실제 보안키를 사용한다. 사용자가 전화 또는 물리적 키를 사용할 수 없는 경우, 백업 코드를 인쇄할 수 있으며, 기본 기기가 없을 경우 코드를 전송할 수 있는 백업 전화번호를 지정할 수 있다고 한다. 페이스북의 2FA 옵션은 이와 비슷한데, 사용자는 보안과 로그인 설정 페이지를 연 다음, 2FA 세션에서 “편집”버튼을 클릭해 페이스북 내 2FA를 활성화할 수 있다. 여기에서 화면상의 단계를 따라 2FA를 설정하고 선호하는 방법을 선택하면 된다(앱에서 생성한 코드, SMS에서 제공한 코드, 물리적 보안 키, 인쇄된 복구 코드 등). 인스타그램의 2FA 옵션은 극도로 제한적인데, 2FA 시스템 관리는 웹사이트가 아닌 모바일 앱에서만 가능하다. 인스타그램에서 2FA를 사용하려면 안드로이드 또는 iOS 앱을 열고 프로필로 이동한 다음, 2FA 옵션을 탭하고 보안코드 필요 옆의 전환을 활성화해야 한다고 한다. SMS 기반 코드가 사용을 위한 유일한 옵션이다.

7) 단독 또는 이중인증으로 가능한 생체인증, 생체교차인증

생체 인증은 단독으로 쓰이기보다는 이중인증 수단으로 활용되고 있는데, 서로 다른 생체 인증 수단을 두 가지 이상 결합한 생체 교차 인증도 가능하다. 생체 교차 인증은 사용자 소유 기기에서만 지문이나 홍채 인식을 수행하거나, 얼굴과 목소리가 동시에 일치해야만 서비스가 제공되는 식이다. 얼굴인식 기술은 이미 쌍둥이를 구분할 수 있을 정도로 발전했고, 목소리도 음성 지문이라고 불리는 성문(聲紋)을 기반으로 감기에 걸려 목소리가 다소 달라져도 본인 확인이 가능하다. 

스마트폰 사용이 일상이 되면서 홍채와 목소리, 정맥 등의 생채 인증 기술이 주목받는다. 이들 기술은 개개인마다 다른 특성을 가지고 있기 때문에 해킹으로부터 안전하며, 스마트폰에 생체 정보를 갖다 대면 수초만에 본인 인증이 가능해 편리성도 겸비한다. 생체인증은 카메라, 터치패드 같은 장치를 통해 인간의 생체 정보를 추출해 개인을 식별하는 기술이다. 이는 특히 인공지능(AI)을 이용한 딥러닝으로 인증 정확도를 높이며, 생체교차 인증 내지 복합인증 기술이 발달할 것으로 전망된다.

생체인식 기술로 가장 먼저 사용된 것은 지문 인증이다. 2013년 9월 아이폰5S에 처음 채택되면서 모바일 생체인증 대표 주자가 되었으며, 이제는 저가형 스마트폰에도 적용된다. 편리성 때문에 국내에서는 무인 자동화기기를 통한 주민등록등·초본 발급, 공항 출입국 무인 자동화시스템에도 적용됐고, 모바일 간편결제 서비스 등 전자상거래 시장으로 확산되었다. 

다음 주목받은 생체 인증은 홍채 인증이다. 사람의 홍채가 같을 확률은 10억분의1이다. 홍채에는 266개의 고유 패턴이 있어 약 40개 특징으로 식별하는 지문보다 훨씬 정교하다. 이런 이유로 홍채인식은 현재까지 가장 정확한 생체인증 기술로 평가된다. 갤럭시노트7에 처음 선보인 홍채인식은 스마트폰 전면의 별도 적외선 카메라로 안구를 촬영해 주변이 어두워도 사용 가능하며, 갤럭시S8, 갤럭시노트8에도 적용됐다. 

차기 주자는 얼굴인식이다. 이는 홍채인식보다 앞서 나왔지만, 보안, 기술력 등 문제로 한동안 뒤처져 있다가 최근 재부상했다. 올해 애플이 내놓은 아이폰X에 지문인식이 빠지고 얼굴인식 기능 ‘페이스 ID’가 들어갔다. 이는 3차원 인식이 가능하다. 사용자가 아이폰X에 얼굴을 비추면 3만개의 점이 투사돼 입체적으로 사용자를 파악한다. 삼성전자의 갤럭시S8부터 얼굴·홍채·지문인식 기능을 동시에 실었지만, 얼굴인식 기능은 아직 2차원이다. 얼굴인식 분야에서는 중국이 앞서고 있다. 올해부터 대도시 주요 역에 안면인식 검표 시스템이 도입됐고, 베이징·상하이 주요 은행에는 안면인식 기능이 장착돼 은행카드·신분증 없이 얼굴 스캔만으로 현금 인출이 가능하다. 홍콩 국제공항에서도 얼굴인식 기능을 갖춘 ‘스마트 출입국’ 통로가 운영되고 있다. 

3, 나가면서

필자는 지난 호에서 가장 최적화된 디지털ID 관리 및 조회 방법으로 블록체인 기술을 소개했는데, 이번 호에서는 그동안 등장했던 개인 신원조회 방법들에 대한 탐구를 시도하였다. 특히 오랜동안 대한민국 대표 방법으로 알았던 공인인증서를 순차적으로 폐기할 것이라는 정부 발표와 맞물려 이번호 기고가 의미를 갖는다고 판단된다. 

대한민국 국민이라면 적어도 한번쯤은 공인인증서 갱신 날짜를 넘겨 낭패를 본 경험을 가지고 있을 것이다. 갱신 시마다. 기존 인증서의 비밀번호와 다른 번호를 써야 해서 꼭 기입하지 않으면 외우기가 쉽지 않으며, 어디에 기록했는지를 기억 못한 경험도 있을 것이다. 게다가 비밀번호 자체가 10자리로 긴 데다 영문에 숫자에 특수문자까지 넣어 조합해야 하니 생각만 해도 머리가 아프다. 외국인들은 이러한 절차에 대한 설명만 들어도 머리가 아플 것이다. 

피싱과 스미싱, 해킹 등 각종 금융 보안 사고가 끊이지 않고 발생하면서 개인인증에 대한 중요성은 날로 커진다. 이런 상황에서 다양한 생체인식 기능을 탑재한 스마트폰 간 경쟁이 시작되었다고 앞서 설명하였다. 하지만, 완전한 보안은 없다고 보는 보안업계는 더 나은 기술을 찾기 위해 다양한 연구개발을 진행 중이다. 예컨대 정맥 인식은 사람마다 고유한 혈관형태를 갖고 있다는 특성을 활용한 인식 방법으로 특수 기구가 없으면 채집이 불가능하고 위조가 불가능하기 때문에 신뢰성이 높다는 평가를 받기 시작한다. 

구글은 행동패턴을 이용한 인증방식 기술을 개발 중이라고 한다. 지난해부터 추진한 ‘프로젝트 아바커스(Project Abacus)’는 사용자의 자판 터치 습관, 걸음걸이, 현재 위치, 음성패턴, 얼굴 인식 등을 조합해 그 사람이 실제 안드로이드 기기 사용자가 맞는지 확인하며, ‘트러스트 스코어’라는 누적된 점수를 통해 실제 사용자 여부를 판단한다고 한다.

두개골 진동 패턴을 암호로 이용하는 생체인증 방식인 ‘스컬컨덕트(SkullConduct)’연구도 진행 중이다. 이는 독일 슈튜트가르트대학과 자알란트대학, 막스플랑크 연구소 등이 공동으로 개발 중인데, 구글글래스 같은 안경형 웨어러블기기를 통해 사용자 두개골에서 전해지는 진동으로 본인 여부를 식별하는 원리라고 한다. 두개골에서 전해지는 진동은 지문처럼 독특한 신체적 특징이 있는데, 이미 식별률이 97%에 달할 정도로 연구가 진행됐다고 한다. 

각종 웨어러블기기들이 발전하면서 심전도(electro-Cardio Graph, ECG)를 이용하는 나이미 밴드(NymiBand) 등도 시장에 등장했다. 이 밴드는 손목에 밴드를 달아 ECG파를 측정하고 블루투스를 이용해 다른 기기에서 사용자를 인증한다고 한다. 

최근 국내에서는 블록체인을 공인인증서와 결합한 서비스가 나왔는데, 이는 공인인증서를 대체하기 보다는 공인인증서 사용 과정에 블록체인을 도입한 수준이다. 하지만, 정부는 공인인증서 폐지 절차를 밟겠다고 발표했다. 이제 “새 술은 새부대에” 마인드로, 그 어느 나라도 채택하고 있지 않는 공인인증서의 막을 내릴 시점이 되었다고 판단된다. 보다 안전한 인증 기술을 사회 전반에 적용하기 위해서는 트러스트 기반의 데이터 혁신이 전제되어야 할 것이다. 이에 대해서는 다음 호에서 다루어 보고자 한다. 

본고는 2017년도 정부(과학기술정보통신부)의 재원으로 정보통신기술진흥센터의 지원을 받아 수행된 연구의 일부임[R0190-15-2027, 고신뢰 사물지능 생태계 창출을 위한 TII(Trusted Information Infrastructure) S/W 프레임워크 개발].

송민정 교수(한세대학교 미디어광고학과)