공동인증서
페이지 정보
작성자 천안장애인성폭력상담소 조회 563회 작성일 23-03-20 15:56본문
1. 개요[편집]
구 전자서명법(2020. 6. 9. 법률 제17354호로 전부개정되기 전의 것) | 현행 전자서명법 |
제3조(전자서명의 효력 등) ①다른 법령에서 문서 또는 서면에 서명, 서명날인 또는 기명날인을 요하는 경우 전자문서에 공인전자서명이 있는 때에는 이를 충족한 것으로 본다. ②공인전자서명이 있는 경우에는 해당 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 해당 전자문서가 전자서명된 후 그 내용이 변경되지 아니하였다고 추정한다. ③공인전자서명외의 전자서명은 당사자간의 약정에 따른 서명, 서명날인 또는 기명날인으로서의 효력을 가진다. | 제3조(전자서명의 효력) ① 전자서명은 전자적 형태라는 이유만으로 서명, 서명날인 또는 기명날인으로서의 효력이 부인되지 아니한다. ② 법령의 규정 또는 당사자 간의 약정에 따라 서명, 서명날인 또는 기명날인의 방식으로 전자서명을 선택한 경우 그 전자서명은 서명, 서명날인 또는 기명날인으로서의 효력을 가진다. |
제18조의2(공인인증서를 이용한 본인확인) 다른 법률에서 공인인증서를 이용하여 본인임을 확인하는 것을 제한 또는 배제하고 있지 아니한 경우에는 이 법의 규정에 따라 공인인증기관이 발급한 공인인증서에 의하여 본인임을 확인할 수 있다. | 제6조(다양한 전자서명수단의 이용 활성화) ① 국가는 생체인증, 블록체인 등 다양한 전자서명수단의 이용 활성화를 위하여 노력하여야 한다. |
금융결제원(yessign)의 공인인증서 소개 |
공동인증서(구 공인인증서)는 대한민국에서 인터넷을 이용하여 금전거래를 할 때 인증을 위해 필요한 전자서명으로, X.509 V3 기반으로 인증서를 생성한다. 전자상거래시 본인만 해당 인증서를 갖고 있고, 본인만 인증서 비밀번호를 알기 때문에 본인임을 인증할 수 있는 전자서명으로 이용 가능하다.[1] 이는 스스로 보안을 한 계층 추가시켜주는 역할을 하며 은행 업무, 전자상거래, 전자민원 등에서 본인임을 증명하는 법적인 디바이스 역할[2]을 하는 반면, 이 때문에 한국에서 윈도우가 아닌 다른 운영체제로는 인터넷 거래가 불가능하게 되었다는 비판 역시 끊이지 않는다.[3]
정부와 언론에서 공인인증서가 폐지되었다고 발표와 뉴스가 나온 걸 본 적이 있을 것이다. 그래서 많은 사람들이 공인인증서가 진짜 폐지되고 아예 없어진 걸로 오해하는 사람들이 많은데, 사실 좀 더 정확히 말하면 '공인인증서'가 폐지된 게 아니라 인증서에 '공인'이라는 단어가 폐지된 것이다.
기존에는 금융결제위원회와 한국증권전산 등 지정된 6개의 발급기관에서만 독점적으로 '공인'된 인증서를 발급할 수 있었다. 이러한 독점적 지위를 폐지하고 민간에서 발급한 인증서도 사용할 수 있도록 확대하며, 그러한 취지에 맞게 '공인'이라는 단어를 폐기하고 '공동'인증서로 명칭을 변경하는 것이 정부에서 발표한 '공인인증서 폐지'의 골자이다. 정리하면 '공인'인증서는 독점적인 지위만 폐지가 되었지 안 없어졌고 이름이 '공동'인증서로 변경된 것이다.
정부와 언론에서 공인인증서가 폐지되었다고 발표와 뉴스가 나온 걸 본 적이 있을 것이다. 그래서 많은 사람들이 공인인증서가 진짜 폐지되고 아예 없어진 걸로 오해하는 사람들이 많은데, 사실 좀 더 정확히 말하면 '공인인증서'가 폐지된 게 아니라 인증서에 '공인'이라는 단어가 폐지된 것이다.
기존에는 금융결제위원회와 한국증권전산 등 지정된 6개의 발급기관에서만 독점적으로 '공인'된 인증서를 발급할 수 있었다. 이러한 독점적 지위를 폐지하고 민간에서 발급한 인증서도 사용할 수 있도록 확대하며, 그러한 취지에 맞게 '공인'이라는 단어를 폐기하고 '공동'인증서로 명칭을 변경하는 것이 정부에서 발표한 '공인인증서 폐지'의 골자이다. 정리하면 '공인'인증서는 독점적인 지위만 폐지가 되었지 안 없어졌고 이름이 '공동'인증서로 변경된 것이다.
2. 역사[편집]
1999년 전자서명법이 발효되자 전자정부의 초석을 다지기 위해 암호학 교수 11명이 모여서 연구를 시작했다. 그러나 연구 도중 상공회의소+행정부를 중심으로 한 축과 금융결제원, 은행, 보험 등 금융업계의 두 파벌로 나뉘었다.
이에 따라 전자는 모든 국민의 개인정보를 행정부가 보증하게 되었고, 입찰을 통해 사인 발급자로서 한국정보인증(KICA, Signgate)이 담당하게 되었다. 즉, 사인의 보증을 공적 주체가 맡게 된다. 반면 후자는 금융결제원(yessign)이 발급 주체가 되었고, 은행, 보험 회사들이 보증 주체가 되었다. 결국 보증을 사적 주체가 하게 되는 셈이다. 이 경우 금융 거래만 하는 사람만 금융결제원에 기록이 있으므로 대상이 제한되게 되었다.
이는 전자인감이 필요한 공적 증명을 행정부가 맡고, 일반 은행 거래 정도는 금융결제원이 한다는 초기 목표가 있었기 때문에 이뤄진 것인데... 문제는 1999년 당시엔 전자서명법은 발효되었어도 전자정부법은 아직 없었다. 그래서 '전자인감'이라는 개념은 효력이 없었고, 따라서 전자인감으로 인증서를 발급받을 만한 근거도 없었다. 이는 2001년까지 기다리게 된다.
이 과정에서 먼저 범용 인증서가 상공회의소, 전자정부, 학교를 중심으로 사용되게 되었지만, 일반 개인 인증서는 커버할 수 있는 부분이 매우 적어졌다. 즉, 개인이 결제하는데 인증서를 발급받고자 하면, 사인시 사적 보증을 서주는 은행의 커버 범위로만 한정되는 데다, 은행간 연동이 안 되었던 것이다. 이후 타행 인증서를 만듦으로서 서로 연대보증하는 개념으로 이 문제를 해결하긴 했다. 이 와중에 은행권에서도 금융결제원(yessign) 자체가 보증을 서는 범용 인증서를 만들었다. 2001년 전자정부법이 나오기 전 불과 2년 사이에 아수라장이 되어버린 것이다.
2001년이 되어서 전자 정부법이 발효되고, 사람들이 대거 공인인증서를 쓰게 되자 불평을 한 건 당연한 일. 결국 전자서명법이 개정되었다.[4] 오직 정부만 보증 주체가 될 수 있고 보안을 강화시켰다. 다만 발급을 대행하는 곳을 한국정보인증(KICA), 한국전자인증(crosscert) 등등 여러 회사로 두게 하였다. 개정된 법에 따라 금융결제원(yessign), 은행 및 보험사는 범용인증서를 신규 발급할 수 없게 되었다. 이 과정에서 기존의 인증서들은 범용인증서로 이관이 되었다.[5]
2012년 1월 이후 인증서를 발급/갱신하게 되면 기존의 인증서보다 알고리즘이 강화된 인증서로 교체된다.
공인인증서는 20년 동안 진행되어 오다가 2020년 12월 10일부로 공인인증서의 법적 지위가 폐지되었다. 기존 인증 사업을 하던 업체들은 '공동인증서'로 이름을 변경하여 계속 서비스를 이어가고 있으며, 그외 다양한 다른 본인인증 방법을 사용해서 거래를 할 수도 있다.
이에 따라 전자는 모든 국민의 개인정보를 행정부가 보증하게 되었고, 입찰을 통해 사인 발급자로서 한국정보인증(KICA, Signgate)이 담당하게 되었다. 즉, 사인의 보증을 공적 주체가 맡게 된다. 반면 후자는 금융결제원(yessign)이 발급 주체가 되었고, 은행, 보험 회사들이 보증 주체가 되었다. 결국 보증을 사적 주체가 하게 되는 셈이다. 이 경우 금융 거래만 하는 사람만 금융결제원에 기록이 있으므로 대상이 제한되게 되었다.
이는 전자인감이 필요한 공적 증명을 행정부가 맡고, 일반 은행 거래 정도는 금융결제원이 한다는 초기 목표가 있었기 때문에 이뤄진 것인데... 문제는 1999년 당시엔 전자서명법은 발효되었어도 전자정부법은 아직 없었다. 그래서 '전자인감'이라는 개념은 효력이 없었고, 따라서 전자인감으로 인증서를 발급받을 만한 근거도 없었다. 이는 2001년까지 기다리게 된다.
이 과정에서 먼저 범용 인증서가 상공회의소, 전자정부, 학교를 중심으로 사용되게 되었지만, 일반 개인 인증서는 커버할 수 있는 부분이 매우 적어졌다. 즉, 개인이 결제하는데 인증서를 발급받고자 하면, 사인시 사적 보증을 서주는 은행의 커버 범위로만 한정되는 데다, 은행간 연동이 안 되었던 것이다. 이후 타행 인증서를 만듦으로서 서로 연대보증하는 개념으로 이 문제를 해결하긴 했다. 이 와중에 은행권에서도 금융결제원(yessign) 자체가 보증을 서는 범용 인증서를 만들었다. 2001년 전자정부법이 나오기 전 불과 2년 사이에 아수라장이 되어버린 것이다.
2001년이 되어서 전자 정부법이 발효되고, 사람들이 대거 공인인증서를 쓰게 되자 불평을 한 건 당연한 일. 결국 전자서명법이 개정되었다.[4] 오직 정부만 보증 주체가 될 수 있고 보안을 강화시켰다. 다만 발급을 대행하는 곳을 한국정보인증(KICA), 한국전자인증(crosscert) 등등 여러 회사로 두게 하였다. 개정된 법에 따라 금융결제원(yessign), 은행 및 보험사는 범용인증서를 신규 발급할 수 없게 되었다. 이 과정에서 기존의 인증서들은 범용인증서로 이관이 되었다.[5]
2012년 1월 이후 인증서를 발급/갱신하게 되면 기존의 인증서보다 알고리즘이 강화된 인증서로 교체된다.
공인인증서는 20년 동안 진행되어 오다가 2020년 12월 10일부로 공인인증서의 법적 지위가 폐지되었다. 기존 인증 사업을 하던 업체들은 '공동인증서'로 이름을 변경하여 계속 서비스를 이어가고 있으며, 그외 다양한 다른 본인인증 방법을 사용해서 거래를 할 수도 있다.
3. 기술[편집]
공개키 기반 구조(Public Key Infrastructure, PKI)는 전자서명을 생성하고 검증하는데 사용되는 개인키와 공개키를 안전하게 나누어주는 역할을 담당하는 신뢰된 제3자(인증기관)의 존재를 전제로 하고 있다. 한국의 공동인증서 제도 역시 공개키 기반구조에 입각한 제도이다. 공개키 기반구조에 입각한 인증서는 서버의 신원을 확인하는데 사용되는 서버인증서와 이용자의 신원을 확인하는데 사용되는 개인인증서로 나누어 볼 수 있다. 한국의 공동인증서도 이 두가지 용도에 모두 사용될 수는 있지만, 한국의 공동인증서를 서버인증서로 사용할 경우, 파이어폭스 웹브라우저는 그러한 서버인증서를 신뢰하지 않으므로 현실적으로 서버 신원 확인 용도로 한국의 공인인증기관이 발급한 서버인증서를 사용하기는 무리가 따른다. 한국의 공동인증서는 따라서 개인인증서로 주로 사용되고 있다.
한국의 공동인증서 및 개인키 역시 파일 양식 자체는 국제표준을 따르고 있지만, 그 파일들이 보관, 저장되는 위치와 방법이 독특하여 웹브라우저로는 사용이 불가능하였었다. 그 결과, 한국의 공동인증서를 이용하려면 이용자가 추가 프로그램을 반드시 설치해야만 했었다. 그러나 이후 ActiveX나 exe 실행파일 등 플러그인 없이, 웹 표준 HTML5 기반의 비설치형 인증 프로그램 등이 이용되어 공동인증서를 브라우저에 저장해 사용할 수 있는 '브라우저 인증' 서비스를 2015년 이후, 시중은행 및 지방은행들에서 적용했다. 추가로, 인증 프로그램 외에 각종 보안 프로그램의 비설치는 OTP나 가상 키보드 등으로 이용 시에 가능하도록 했다.
공동인증서가 은행별로 로컬 브라우저에 각각 저장되는 점을 보완해 활용 범위를 금융권뿐 아니라 전자정부 서비스로도 넓혀 연동되게끔 금융결제원은 "'브라우저 공동인증서비스'를 (2018년) 7월 도입하기 위해 시중은행과 행정안전부와 논의를 마쳤다"면서 "향후 은행별로 일정을 조율해서 서비스를 오픈할 것"이라고 밝혔다. 현재 범용 호환성을 장점으로하는 브라우저 인증서가 도입되어 이용되고 있다.
한국의 공동인증서 및 개인키 역시 파일 양식 자체는 국제표준을 따르고 있지만, 그 파일들이 보관, 저장되는 위치와 방법이 독특하여 웹브라우저로는 사용이 불가능하였었다. 그 결과, 한국의 공동인증서를 이용하려면 이용자가 추가 프로그램을 반드시 설치해야만 했었다. 그러나 이후 ActiveX나 exe 실행파일 등 플러그인 없이, 웹 표준 HTML5 기반의 비설치형 인증 프로그램 등이 이용되어 공동인증서를 브라우저에 저장해 사용할 수 있는 '브라우저 인증' 서비스를 2015년 이후, 시중은행 및 지방은행들에서 적용했다. 추가로, 인증 프로그램 외에 각종 보안 프로그램의 비설치는 OTP나 가상 키보드 등으로 이용 시에 가능하도록 했다.
공동인증서가 은행별로 로컬 브라우저에 각각 저장되는 점을 보완해 활용 범위를 금융권뿐 아니라 전자정부 서비스로도 넓혀 연동되게끔 금융결제원은 "'브라우저 공동인증서비스'를 (2018년) 7월 도입하기 위해 시중은행과 행정안전부와 논의를 마쳤다"면서 "향후 은행별로 일정을 조율해서 서비스를 오픈할 것"이라고 밝혔다. 현재 범용 호환성을 장점으로하는 브라우저 인증서가 도입되어 이용되고 있다.
4. 현황[편집]
현재 공인인증서는 개인용으로는 범용 공인인증서와 금융거래용 공인인증서가 있다. 이 중 범용 공인인증서는 연간 4,400원을 내야 하고 몇몇 웹사이트에서 신원 확인에 이용하거나, 일반적인 온라인 쇼핑몰 등에서도 사용할 수 있는 광범위한 용도를 가지고 있지만 2021년 11월 기준 신규 발급은 되지 않고 기존 발급자의 갱신만 가능하다. 금융 거래용 공인인증서는 무료인 대신 인터넷 뱅킹과 소액 금융거래 등에서만 쓸 수 있다. 이 외에 법인 및 단체용 공인인증서나 특수 목적용 공인인증서도 있는데, 전자세금용, CTR용 등은 연 4,400원, 서버용은 연 110만원 등 비용이 천차만별이다.#
발급은 전자서명법 제4조의 규정에 의하여 지정된 몇몇 공인인증기관[6]에서 가능하며, 은행, 증권사, 우체국 등 등록대행기관에서도 발급 가능하다. 발급 절차가 다소 귀찮은데, 신청서를 작성하고 공인기관을 직접 방문하여 번호를 발급받아야 한다. 한 번 신청한 이후엔 해당 기관 홈페이지 등에서 인증서를 다운받아 저장 매체에 저장할 수 있다. 유효기간이 있어 1년마다 갱신해야 한다.
재외국민의 경우 대사관이나 영사관 등 재외 공관에서 범용 공인인증서의 발급 신청을 할 수 있다. 신청자 본인[7]이 재외공관을 방문해서 신청서를 제출하고 인증코드 등을 받아서 한국의 공인인증기관 사이트에 접속하여 발급받는 방식이다. 국가 및 재외 공관마다 절차가 상이할 수 있으므로, 방문하려는 재외공관의 홈페이지를 확인할 것. 주 일본 한국대사관 공지. 다만 어떠한 상황에서도 대리신청은 불가능하다. 미성년자의 친권자가 대리로 발급하는 것도 안 된다고 한다.
주로 사용되는 분야는 은행의 인터넷뱅킹, 인터넷 쇼핑몰 실시간 결제 등이다. 인터넷 뱅킹 시 보통은 은행에서 발급해주는 무료 인증서를 쓰지만, 인터넷 쇼핑몰은 꽤나 많은 곳이 범용 인증서를 요구한다. 상술했듯이 은행에서 발급받은 무료 인증서는 증권사 거래에서 안 되고, 반대로 증권사에서 발급받은 무료 인증서는 은행에서의 거래가 안 된다. 몇몇 정부 사이트에 접속할 때에도 필요한데, 자격증 시험에 응시할 때라든가, 국가 장학금을 신청할 때라든가, 특히 병무청 접속, 예비군 홈페이지 접속 등에도 필수적으로 요구되어 군 입대자들과 예비군들을 귀찮게 하고 있다.
전자정부 시스템에서도 공인인증서를 사용한다. 이쪽은 행정안전부·교육부에서 발급하며 공무원, 소속 상근 직원이 사용한다. 예전에는 공문에 직접 날인을 했다면, 지금은 공인인증서로 전자서명을 하는 방식.
2014년 박근혜 정부가 '경제 민주화'에서 '규제 완화'로 방향키를 돌리며 첫 번째로 지목되었다. 박근혜 대통령은 국무회의에서 당시 중국에서 인기를 끌었던 별에서 온 그대에 나온 천송이가 입고 나온 코트를 인터넷으로 구매하려는 중국인들이 공인인증서 때문에 옷을 구매하지 못하고 있다고 말하며, 공인인증서 제도를 개편할 것을 촉구했다.
결국 2014년 10월 1일 전자금융거래법 개정안이 통과되면서 공인인증서 의무사용 조항이 삭제됐다. 이에 따라 금융사는 자율적으로 보안 수단을 선택할 수 있다. 그러나 여기서 주의할 점은 공인인증서를 의무로 사용할 필요가 없어졌다는 것 뿐이지, 공인인증서 사용 금지가 아닌지라 이것은 순수히 기업들의 자율에만 맡기겠다는 의도이고, 말인즉슨 기업이 원하면 그냥 계속 공인인증서를 써도 된다는 뜻이기도 하다. 그리고 새로운 보안 기술은 당연히 만들고 적용시키고 적응하는 데 시간과 비용이 많이 들기 마련이고, 그렇게 구축해봐야 보안 책임을 전면 기업이 떠안게 될 테니 기업 입장에선 굳이 공인인증서를 포기할 이유가 없으므로 계속 사용될 가능성이 높다.
그나마 다행인 점은 마이크로소프트가 ActiveX 퇴출 압력을 넣고 있고, 점점 거세지고 있기 때문에 ActiveX가 필수인 공인인증서는 이것의 영향을 받아 당장은 아니라도 같이 퇴출될 가능성이 높다는 사실이다. 그리고 2015년 3월 18일 의무사용이 폐지됐다.
2015년 8월 19일, 정부에서 한 가지 발표를 했는데... 기사. 공인인증서를 발급하는데 ActiveX를 없애고, 대신 exe를 이용하기로 하였다.[8] 이르면 오는 12월부터 시행할 것이라고 한다.
그런데 2015년 7월, 마이크로소프트에서 카운터를 먹였다. Windows 10을 출시하면서 기본 웹 브라우저를 Microsoft Edge로 바꿨는데, ActiveX를 비롯한 모든 플러그인 기능을 없앤 것이다. 그나마 인터넷 익스플로러 11이 보조 프로그램으로 남아 있어서 부랴부랴 업체들은 윈도우 10 + IE 11에 맞춰서 플러그인 업데이트를 하는 걸로 대응했다. 2016년 5월 7일 기준 Edge로 금융거래가 가능한 것으로 파악된다. 옥션에서 결제 성공(URI Scheme 사용으로 추정된다).
그러나 두 달 후인 2015년 9월, 구글 크롬이 추가 카운터를 먹였다. 버전 45에서 NPAPI 지원을 깔끔하게 삭제해 버렸다. 마이크로소프트 엣지와 마찬가지로 exe 실행이 불가능한 두 번째 브라우저가 되었다.
결국 공인인증서 환경은 exe를 탈피하여 HTML5로 넘어가기 시작했다. 2015년 9월 KB국민은행이 "브라우저 인증서"라는 이름으로 아무런 플러그인을 설치하지 않고 HTML5로 동작하는 인터넷 뱅킹 환경을 만들었다. 뒤이어 신한은행이 12월부터 국민은행이 적용한 것과 동일한 솔루션을 적용, HTML5 환경의 인터넷 뱅킹을 지원하면서 조금씩 플러그인에서 탈피하려는 노력이 보이고 있다.
그러나 현 단계에서 이 HTML5 기반 공인인증서에는 한계가 있다. 암호화 및 전자서명 관련 기술의 표준화가 지체되고 있기 때문인데, 표준화된 전자서명 API가 없다 보니 브라우저나 운영체제가 지원하는 안전한 인증서 저장소를 이용할 수 없었고, 대신 개발사는 도메인 단위로 관리되는 일반적인 저장소를 이용했다. 그런데 이 저장소는 보안성이 보장되지 않는다. NPKI 폴더와 그리 다른 점이 없다는 말. 악성코드가 컴퓨터에 침입해왔다간 끝장이다. 따라서 이 솔루션 도입은 따로 프로그램 설치를 요구하지 않는다는 것에 의의를 둬야 할 것 같다. 게다가 외국에서는 웹 기반 전자서명의 니즈가 거의 없기 때문에, 표준화 논의 역시 큰 호응을 받지 못하고 있다. 외국 금융기관에서는 로그인 시 패스워드+OTP의 방식으로 접속자를 인증하며, 유럽연합과 EEA의 경우 아예 신분증을 여권 규격에 맞추고 발급 시점에 PIN·PUK 코드를 지정한다. 상식적으로 생각해도 네트워크에 온라인된 디스크에 파일 형태로 저장된 종이(인증서)를 이용하는 것보다 오프라인의 독립된 물리 매체를 사용하는 게 훨씬 더 안전하다. 실생활의 계약도 인감도장이라는 물리매체에 의존하고 있다. 결국 이 방식은 2020년 12월 10일 클라우드 스토리지에 저장하는 방식의 금융인증서가 대체하게 된다. 그러나 금융인증서는 SMS 발신인증이 핵심이라 공동인증서의 위치를 완전히 대체하기는 어렵다.
이미 모바일 부문에서는 각 금융권들이 홍채나 지문 등 생체인증으로 공인인증서를 대신하는 기술을 개발해 상용화하는 중이고, 이를 곧 인터넷 뱅킹에도 적용한다고 한다. 즉 ActiveX든 공인인증서든, 그동안 국내 인터넷 환경을 좀먹고 있던 요인들이 가까운 시일 내 사라질 확률이 매우 높다는 것.[9]
2017년 3월 2일 정부에서 공인인증서가 없는 인터넷 환경을 만드는 방안을 추진한다 한다.문재인 "공인인증서·규제 없는 인터넷 세상 만들것"(종합)
2018년 1월 22일 정부는 공인인증서 제도를 폐지한다고 밝혔다.공인인증서 제도 폐지..공공·금융기관 사용의무 없앤다 정확히는 기사에도 적혀있듯이 공인 인증서의 우월적 지위를 바꾸겠다는 것이며, 공인인증서도 계속 쓸 수 있도록 하겠다고 밝히고 있다.
또한 공인인증서 의무 사용이 폐지되는 이후 공인이 아니기 때문에 '공동인증서'로 명칭이 변경된다.
2018년 8월 27일부터 폐지 수순을 본격적으로 밟는다. PC 기준으로는 9월 중으로 은행 순차적으로 폐지를 진행한다고 밝혔다. #
2020년 전자서명법 개정안 관련 전자서명을 이용하자는 의견이 나왔지만, 전문가와의 협의가 부족하다는 아쉬움이 나왔다.
그리고 2020년 5월 20일 21년 만에 공인인증서를 폐지하는 내용을 골자로 하는 전자서명법 개정안을 국회에서 의결했으며, 이어 6월 2일 국무회의에서도 의결되어 6월 9일 공포됨에 따라 2020년 12월 10일부로 공인인증서의 법적 지위가 상실되었다. 기존 공인인증서를 제공하던 인증 업체는 '공동인증서'로 이름을 변경하여 계속 서비스를 제공한다. 그리고, 그 외 다양한 본인인증 서비스가 다른 민간 업체에 의해서 새로 생겨 났으며, 발급이나 사용도 간편하고 보안프로그램을 설치할 필요도 없다는 장점이 있어서 다양한 선택권이 주어지게 되었다.
발급은 전자서명법 제4조의 규정에 의하여 지정된 몇몇 공인인증기관[6]에서 가능하며, 은행, 증권사, 우체국 등 등록대행기관에서도 발급 가능하다. 발급 절차가 다소 귀찮은데, 신청서를 작성하고 공인기관을 직접 방문하여 번호를 발급받아야 한다. 한 번 신청한 이후엔 해당 기관 홈페이지 등에서 인증서를 다운받아 저장 매체에 저장할 수 있다. 유효기간이 있어 1년마다 갱신해야 한다.
재외국민의 경우 대사관이나 영사관 등 재외 공관에서 범용 공인인증서의 발급 신청을 할 수 있다. 신청자 본인[7]이 재외공관을 방문해서 신청서를 제출하고 인증코드 등을 받아서 한국의 공인인증기관 사이트에 접속하여 발급받는 방식이다. 국가 및 재외 공관마다 절차가 상이할 수 있으므로, 방문하려는 재외공관의 홈페이지를 확인할 것. 주 일본 한국대사관 공지. 다만 어떠한 상황에서도 대리신청은 불가능하다. 미성년자의 친권자가 대리로 발급하는 것도 안 된다고 한다.
주로 사용되는 분야는 은행의 인터넷뱅킹, 인터넷 쇼핑몰 실시간 결제 등이다. 인터넷 뱅킹 시 보통은 은행에서 발급해주는 무료 인증서를 쓰지만, 인터넷 쇼핑몰은 꽤나 많은 곳이 범용 인증서를 요구한다. 상술했듯이 은행에서 발급받은 무료 인증서는 증권사 거래에서 안 되고, 반대로 증권사에서 발급받은 무료 인증서는 은행에서의 거래가 안 된다. 몇몇 정부 사이트에 접속할 때에도 필요한데, 자격증 시험에 응시할 때라든가, 국가 장학금을 신청할 때라든가, 특히 병무청 접속, 예비군 홈페이지 접속 등에도 필수적으로 요구되어 군 입대자들과 예비군들을 귀찮게 하고 있다.
전자정부 시스템에서도 공인인증서를 사용한다. 이쪽은 행정안전부·교육부에서 발급하며 공무원, 소속 상근 직원이 사용한다. 예전에는 공문에 직접 날인을 했다면, 지금은 공인인증서로 전자서명을 하는 방식.
2014년 박근혜 정부가 '경제 민주화'에서 '규제 완화'로 방향키를 돌리며 첫 번째로 지목되었다. 박근혜 대통령은 국무회의에서 당시 중국에서 인기를 끌었던 별에서 온 그대에 나온 천송이가 입고 나온 코트를 인터넷으로 구매하려는 중국인들이 공인인증서 때문에 옷을 구매하지 못하고 있다고 말하며, 공인인증서 제도를 개편할 것을 촉구했다.
결국 2014년 10월 1일 전자금융거래법 개정안이 통과되면서 공인인증서 의무사용 조항이 삭제됐다. 이에 따라 금융사는 자율적으로 보안 수단을 선택할 수 있다. 그러나 여기서 주의할 점은 공인인증서를 의무로 사용할 필요가 없어졌다는 것 뿐이지, 공인인증서 사용 금지가 아닌지라 이것은 순수히 기업들의 자율에만 맡기겠다는 의도이고, 말인즉슨 기업이 원하면 그냥 계속 공인인증서를 써도 된다는 뜻이기도 하다. 그리고 새로운 보안 기술은 당연히 만들고 적용시키고 적응하는 데 시간과 비용이 많이 들기 마련이고, 그렇게 구축해봐야 보안 책임을 전면 기업이 떠안게 될 테니 기업 입장에선 굳이 공인인증서를 포기할 이유가 없으므로 계속 사용될 가능성이 높다.
그나마 다행인 점은 마이크로소프트가 ActiveX 퇴출 압력을 넣고 있고, 점점 거세지고 있기 때문에 ActiveX가 필수인 공인인증서는 이것의 영향을 받아 당장은 아니라도 같이 퇴출될 가능성이 높다는 사실이다. 그리고 2015년 3월 18일 의무사용이 폐지됐다.
2015년 8월 19일, 정부에서 한 가지 발표를 했는데... 기사. 공인인증서를 발급하는데 ActiveX를 없애고, 대신 exe를 이용하기로 하였다.[8] 이르면 오는 12월부터 시행할 것이라고 한다.
그런데 2015년 7월, 마이크로소프트에서 카운터를 먹였다. Windows 10을 출시하면서 기본 웹 브라우저를 Microsoft Edge로 바꿨는데, ActiveX를 비롯한 모든 플러그인 기능을 없앤 것이다. 그나마 인터넷 익스플로러 11이 보조 프로그램으로 남아 있어서 부랴부랴 업체들은 윈도우 10 + IE 11에 맞춰서 플러그인 업데이트를 하는 걸로 대응했다. 2016년 5월 7일 기준 Edge로 금융거래가 가능한 것으로 파악된다. 옥션에서 결제 성공(URI Scheme 사용으로 추정된다).
그러나 두 달 후인 2015년 9월, 구글 크롬이 추가 카운터를 먹였다. 버전 45에서 NPAPI 지원을 깔끔하게 삭제해 버렸다. 마이크로소프트 엣지와 마찬가지로 exe 실행이 불가능한 두 번째 브라우저가 되었다.
결국 공인인증서 환경은 exe를 탈피하여 HTML5로 넘어가기 시작했다. 2015년 9월 KB국민은행이 "브라우저 인증서"라는 이름으로 아무런 플러그인을 설치하지 않고 HTML5로 동작하는 인터넷 뱅킹 환경을 만들었다. 뒤이어 신한은행이 12월부터 국민은행이 적용한 것과 동일한 솔루션을 적용, HTML5 환경의 인터넷 뱅킹을 지원하면서 조금씩 플러그인에서 탈피하려는 노력이 보이고 있다.
그러나 현 단계에서 이 HTML5 기반 공인인증서에는 한계가 있다. 암호화 및 전자서명 관련 기술의 표준화가 지체되고 있기 때문인데, 표준화된 전자서명 API가 없다 보니 브라우저나 운영체제가 지원하는 안전한 인증서 저장소를 이용할 수 없었고, 대신 개발사는 도메인 단위로 관리되는 일반적인 저장소를 이용했다. 그런데 이 저장소는 보안성이 보장되지 않는다. NPKI 폴더와 그리 다른 점이 없다는 말. 악성코드가 컴퓨터에 침입해왔다간 끝장이다. 따라서 이 솔루션 도입은 따로 프로그램 설치를 요구하지 않는다는 것에 의의를 둬야 할 것 같다. 게다가 외국에서는 웹 기반 전자서명의 니즈가 거의 없기 때문에, 표준화 논의 역시 큰 호응을 받지 못하고 있다. 외국 금융기관에서는 로그인 시 패스워드+OTP의 방식으로 접속자를 인증하며, 유럽연합과 EEA의 경우 아예 신분증을 여권 규격에 맞추고 발급 시점에 PIN·PUK 코드를 지정한다. 상식적으로 생각해도 네트워크에 온라인된 디스크에 파일 형태로 저장된 종이(인증서)를 이용하는 것보다 오프라인의 독립된 물리 매체를 사용하는 게 훨씬 더 안전하다. 실생활의 계약도 인감도장이라는 물리매체에 의존하고 있다. 결국 이 방식은 2020년 12월 10일 클라우드 스토리지에 저장하는 방식의 금융인증서가 대체하게 된다. 그러나 금융인증서는 SMS 발신인증이 핵심이라 공동인증서의 위치를 완전히 대체하기는 어렵다.
이미 모바일 부문에서는 각 금융권들이 홍채나 지문 등 생체인증으로 공인인증서를 대신하는 기술을 개발해 상용화하는 중이고, 이를 곧 인터넷 뱅킹에도 적용한다고 한다. 즉 ActiveX든 공인인증서든, 그동안 국내 인터넷 환경을 좀먹고 있던 요인들이 가까운 시일 내 사라질 확률이 매우 높다는 것.[9]
2017년 3월 2일 정부에서 공인인증서가 없는 인터넷 환경을 만드는 방안을 추진한다 한다.문재인 "공인인증서·규제 없는 인터넷 세상 만들것"(종합)
2018년 1월 22일 정부는 공인인증서 제도를 폐지한다고 밝혔다.공인인증서 제도 폐지..공공·금융기관 사용의무 없앤다 정확히는 기사에도 적혀있듯이 공인 인증서의 우월적 지위를 바꾸겠다는 것이며, 공인인증서도 계속 쓸 수 있도록 하겠다고 밝히고 있다.
또한 공인인증서 의무 사용이 폐지되는 이후 공인이 아니기 때문에 '공동인증서'로 명칭이 변경된다.
2018년 8월 27일부터 폐지 수순을 본격적으로 밟는다. PC 기준으로는 9월 중으로 은행 순차적으로 폐지를 진행한다고 밝혔다. #
2020년 전자서명법 개정안 관련 전자서명을 이용하자는 의견이 나왔지만, 전문가와의 협의가 부족하다는 아쉬움이 나왔다.
그리고 2020년 5월 20일 21년 만에 공인인증서를 폐지하는 내용을 골자로 하는 전자서명법 개정안을 국회에서 의결했으며, 이어 6월 2일 국무회의에서도 의결되어 6월 9일 공포됨에 따라 2020년 12월 10일부로 공인인증서의 법적 지위가 상실되었다. 기존 공인인증서를 제공하던 인증 업체는 '공동인증서'로 이름을 변경하여 계속 서비스를 제공한다. 그리고, 그 외 다양한 본인인증 서비스가 다른 민간 업체에 의해서 새로 생겨 났으며, 발급이나 사용도 간편하고 보안프로그램을 설치할 필요도 없다는 장점이 있어서 다양한 선택권이 주어지게 되었다.
5. 장점[편집]
위와 같은 문제점에도 불구하고 우리나라에서 공인인증서가 계속 쓰였던 이유로는 나름대로 장점이 있기 때문이었다. 인터넷 도입 초기 시절, 검증되온 보안 성능을 바탕으로 온라인 금융 서비스 등이 활성화 될 수 있었으며 해외에서도 본인 인증 수단으로 사용할 수 있었다. 그러나 현대에 와서는 불편은 가득한데 차별화되는 장점은 갈수록 없어져 국민들의 불만이 폭주하였고, 결국 대한민국에서도 2020년 12월 10일부로 의무 사용이 폐지되었으며 법적 지위를 상실하였다.
5.1. 오랫동안 검증된 보안 성능[편집]
공인인증서를 비판하면서 흔히 볼 수 있는 '공인인증서는 낡은 암호체계를 이용하는 구닥다리 기술이다' 라는 주장은 사실이 아니다. 한국의 공인인증서가 채용하고 있는 SEED 등 암호화 알고리즘은 40년 넘게 사용된 PKI에 기반한 공개키 인증 방식임은 사실이지만, 40년 동안 보안성을 인정받았기에 계속 사용해 온 것이다. 오히려 보안 업계는 검증되지 않은 새로운 알고리즘을 좋아하지 않는다.[10]
MITM을 비롯한 각종 멀웨어와 자동화된 해킹 위협에 어느 정도 대처가 가능하다. 링크 1, 링크 2.
참고로 최초 국내에 공인인증서를 도입하기 전, 공인인증서를 제안한 개발자가 이러한 취약성에 대한 문제를 우려하여 보안 토큰에 저장하는 것을 권장하였으나, 정부에서는 보급화를 우선시하여 보안 토큰이 아닌 HDD에 저장하는 것으로 결정하였다는 카더라도 있다.
그러나 RSA와 AES를 사용하는 TLS가 표준화된 현재는 완전한 옛말이라고 할 수 있다. RSA와 AES역시 오랜 기간 전 세계적으로 널리 사용되어 어느 정도 검증되었다고 할 수 있는 암호화 알고리즘이며, TLS에서 AES를 써먹을 때엔 256 혹은 512비트로 암호화하는 경우가 많기때문이다.(SEED는 128비트)
MITM을 비롯한 각종 멀웨어와 자동화된 해킹 위협에 어느 정도 대처가 가능하다. 링크 1, 링크 2.
참고로 최초 국내에 공인인증서를 도입하기 전, 공인인증서를 제안한 개발자가 이러한 취약성에 대한 문제를 우려하여 보안 토큰에 저장하는 것을 권장하였으나, 정부에서는 보급화를 우선시하여 보안 토큰이 아닌 HDD에 저장하는 것으로 결정하였다는 카더라도 있다.
그러나 RSA와 AES를 사용하는 TLS가 표준화된 현재는 완전한 옛말이라고 할 수 있다. RSA와 AES역시 오랜 기간 전 세계적으로 널리 사용되어 어느 정도 검증되었다고 할 수 있는 암호화 알고리즘이며, TLS에서 AES를 써먹을 때엔 256 혹은 512비트로 암호화하는 경우가 많기때문이다.(SEED는 128비트)
5.2. 온라인 금융 서비스 및 온라인 관공서 서비스 이용의 편의성[편집]
전자서명 기능을 수행하는 공인인증서가 있으므로서, 집에서 편리하게 정부24와 같은 사이트에 접속하여 관공서의 문서를 열람할 수 있으며[11] 금융 결제도 간편하게 이용 가능하다.[12] 유럽이나 미국, 일본 등에서 서류 몇 통을 떼기 위해 몇 주간 관공서를 방문하고 세무 신고를 위해 은행에서 끝없이 줄을 서 있는 점들을 고려해 본다면, 구현 방식이 잘 적용된 공인인증서는 사용자를 무척이나 편리하게 할 수 있는 점을 알 수 있다.
많은 사람들이 믿고 있는 것과는 다르게, 공인인증서는 SSL 등의 장치처럼 보안만을 위해 추가된 장치가 아니며, 오히려 신분 증명의 법적인 장치에 더 가깝다. 은행에 신분증과 본인 얼굴을 들고 가는 것을 공인인증서가 대체하는 것. 애초에 그럴 용도로 만들어졌다.[13] 외국도 본인 인증이 반드시 필요한 경우(관공서 업무, 법적 서명 등) 비슷한 법적인 장치가 있으며, 없으면 해당 기능을 제한해 놓은 경우가 많다. 차이라면 그러한 법적인 장치가 하드 디스크에 덜렁 들어있는 인증서 파일이 아니라 기관에서 발급해 주는 스마트카드라는 것. 하지만 보통 스마트카드는 군인 또는 연방공무원들에게나 발급되고, 개인의 경우 은행 계좌를 열 때 본인임을 확인하고, 인터넷 뱅킹 계정을 등록 또는 이용할 때는 '내가 정말 본인입니다' 라는 체크박스에 법적인 지위를 부여해 놓은 정도밖에 없다. 물론 은행 지점에서 인터넷 뱅킹 계정 등록용으로 일회성 비밀번호를 제공하거나, 또는 직불카드의 번호를 물어보니 아무나 도용이 가능한 것은 아니다. 그에 비해 공인인증서는 비밀번호를 개인이 가진다는 전제 하에 넷상의 모든 전송이 알고리즘상으로 본인 확인이 되고, 체크박스처럼 위변조가 불가능하며 법적 지위 또한 갖는다. 이러한 제도적 장치를 마련해놓지 않은 외국에서는 인터넷상에서 공무를 보는 것에 큰 제한이 있다. 불편한 공인인증서로 행정 정보를 열람하는 게 아예 공인인증서 없이 아무런 행정 정보를 열람할 수 없는 것보다 나은지는 각자 판단하자.
북미에선 카드 번호 및 만료일자, 그리고 이름 등의 몇 가지 정보만 유출되면 카드가 그냥 도용된다. 미국은 온라인 결제에는 카드에 기록된 정보만 입력하면 아무 확인 없이 결제가 가능하기 때문이다. 심지어 오프라인에서도 신용카드라면 서명 하나로 결제가 가능하고, 직불카드일 경우에만 비밀번호를 입력해야 하는 구조다(심지어 음
많은 사람들이 믿고 있는 것과는 다르게, 공인인증서는 SSL 등의 장치처럼 보안만을 위해 추가된 장치가 아니며, 오히려 신분 증명의 법적인 장치에 더 가깝다. 은행에 신분증과 본인 얼굴을 들고 가는 것을 공인인증서가 대체하는 것. 애초에 그럴 용도로 만들어졌다.[13] 외국도 본인 인증이 반드시 필요한 경우(관공서 업무, 법적 서명 등) 비슷한 법적인 장치가 있으며, 없으면 해당 기능을 제한해 놓은 경우가 많다. 차이라면 그러한 법적인 장치가 하드 디스크에 덜렁 들어있는 인증서 파일이 아니라 기관에서 발급해 주는 스마트카드라는 것. 하지만 보통 스마트카드는 군인 또는 연방공무원들에게나 발급되고, 개인의 경우 은행 계좌를 열 때 본인임을 확인하고, 인터넷 뱅킹 계정을 등록 또는 이용할 때는 '내가 정말 본인입니다' 라는 체크박스에 법적인 지위를 부여해 놓은 정도밖에 없다. 물론 은행 지점에서 인터넷 뱅킹 계정 등록용으로 일회성 비밀번호를 제공하거나, 또는 직불카드의 번호를 물어보니 아무나 도용이 가능한 것은 아니다. 그에 비해 공인인증서는 비밀번호를 개인이 가진다는 전제 하에 넷상의 모든 전송이 알고리즘상으로 본인 확인이 되고, 체크박스처럼 위변조가 불가능하며 법적 지위 또한 갖는다. 이러한 제도적 장치를 마련해놓지 않은 외국에서는 인터넷상에서 공무를 보는 것에 큰 제한이 있다. 불편한 공인인증서로 행정 정보를 열람하는 게 아예 공인인증서 없이 아무런 행정 정보를 열람할 수 없는 것보다 나은지는 각자 판단하자.
북미에선 카드 번호 및 만료일자, 그리고 이름 등의 몇 가지 정보만 유출되면 카드가 그냥 도용된다. 미국은 온라인 결제에는 카드에 기록된 정보만 입력하면 아무 확인 없이 결제가 가능하기 때문이다. 심지어 오프라인에서도 신용카드라면 서명 하나로 결제가 가능하고, 직불카드일 경우에만 비밀번호를 입력해야 하는 구조다(심지어 음