1. 실패했다고 평가돼 전체가 실패한
것처럼 평가받는 것은 안타까운 현
실이다. 2002년 보급 당시에는 좋
은 기술이었고, 지금도 당장 추방
해야 할 정도의 기술은 아니다. 그
럼에도 불구하고 공인인증서 자체
가 공공의 적인 것처럼 생각되는
이유를 객관적인 시각으로 분석하
고 반성할 필요가 있다. 그 이유는
다음과같다.
공인인증서도입의한계
■비표준기술사용
공인인증서를 담아 보
급한 기술이 MS 기
술에 의존적이고 비
표준 기술이었던
액티브X였다. 당시
당국은 특정 회사의
비표준 기술에 집중하
는 것이 얼마나 위험한
도박인지 인식해야 했다.
결과적으로 공인인증서는 단기적
인 성과를 거뒀다는 점은 분명하다. 액티
브X는 국가적으로 선택하기에는 가장 열
악한 기술인 셈이다.
■진화발전계획전무
대체기술이 불분명한 시점에서 비표준기
술 사용은 충분히 이해할 수 있다. 그러나
공인인증서와 그 매체인 액티브X를 채택
할 시작단계부터 분명한 진화발전 전략이
필요했다. 영구적인 기술은 없다. 더군다나
인증시스템은 자물쇠를 만드는 기술이다.
■시장경쟁구조의철저한배제
인증체계를 표준화하는 것은 산업발전을
위해 당연한 일이다. 그러나 마찬가지로
시장경쟁구조를 배제한 표준화는 필연적
실패를 야기한다. 금융당국은 시장경쟁을
철저히 배제한 채 전문영역별로 소수의
사업자에게 공인인증기관으로서의 독점적
지위를 부여했다.
독점 사업자들은
기술 개발이나 적
극적 마케팅의 동기
가 부여되지 않는다.
공인인증서와 관련해 공
인인증서를 사용하는 인증기
술의 글로벌 시장 진출 시도가 없었다
는 점은 가장 아쉽다. 많은 전문가가
2000년대 초 당시로서는 공인인증서가
상당히 진보된 기술이었으므로 글로벌 시
장 진출과 함께 세계적 표준화도 가능했
을 것이라는 데 동의할 것이다. 정부의 편
의에 따라 지정된 사업자들은 기술 개발
이나 글로벌 시장 진출 등에는 소극적일
수밖에 없었다.
■기술규제의문제
기하급수적으로 발전하고 있는 기술발전
을 법이 따라가는 것은 한계가 있다. 대부
분의 하이테크 기술발전은 진화적 개혁
(Evolutionary Innovation)이나 혁명적 개
혁(Revolutionary Innovation) 두 가지 형
태로 변화하는 특성을 갖는다. 진화적 개
혁은 점진적이고 존속성인 반면 혁명적
개혁은 급진적이며 와해성이다. 이러한 기
술 개혁에 의해 과거의 기술은 폐기되는
특성을 갖고 있으므로 모든 법 규제는 기
술중립적이어야 하고 동시에 자동일몰적
이어야 한다. 또한 새로운 방식의 하이테
크 기술 진입을 위해 네거티브 방식으로
규제돼야 한다. 공인인증서는 기술의존적
이었고, 일몰하지도 않았으며, 포지티브
방식으로 규제해 모든 형태의 개혁을 차
단했다.
시장친화적이고,기술중립적인정책
과거의 뼈저린 실패를 생각해볼
때 현재 금융당국이 추진하는 비
대면실명확인제도의 허용 정책은
상당히 긍정적인 부분이 있다. 과
거와는 달리 금융당국이 매우 시
장친화적으로 움직이고 있어서다.
금융위원회는 지금까지 허가된 본
인인증기관만이 할 수 있었던 본
인인증사업을 유권해석을 통해 본
인인증기관이 아닌 기관도 허용할
수 있도록 했다. 과거 소수의 독점
기관에 의해 반시장적이고, 반기
술혁신적으로 형성돼 있던 시장이
K뱅크와 카카오뱅크가 인터
넷 전문은행 예비인가를 획
득했다. 인터넷 전문은행은 무점포
혹은 극소수의 물리적인 영업점을
가지고 운영비용을 획기적으로 절
감하면서 지역적 한계 없이 업무영
역을 확보하는 비즈니스 모델이다.
인터넷 전문은행은 오버헤드를 대
폭 줄임으로써 대출금리를 낮추고
예금금리를 높이는 등 경쟁력을 갖
출 수 있게 된다. 비대면 인증의 안
정적 구현이 성공적 비즈니스 모델
로정착할수있는지름길이다.
금융기술산업발전을위한
금융당국의의지
인터넷 전문은행 예비인가를 받은
K뱅크는 발 빠르게 비대면 인증의
혁신을 이루겠다고 선언했다. K뱅
크는 애플리케이션이나 ATM에서
신분증 사본을 제출한 뒤 영상통화
를 하고, 동시에 스마트폰 단말기
와 유심(USIM)의 고유번호를 이용
해 고객이 입력한 정보와 통신사의
인적사항이 일치하는지 자동으로
확인 절차를 거치면 간단히 계좌
개설을 할 수 있도록 하겠다고 밝
혔다. 또한 금융거래 시 안면-음
성-홍채인증과 신용카드를 이용
한 인증 등을 공인인증서 대신 사
용할 수 있는 비대면 인증수단으로
제시했다.
이와는 별도로 핀테크 사업자들과
금융권들은 이미 비대면 인증으로
사용하는 것도 있고, 또 새로운 방
식의 솔루션을 속속 출시 중이다.
이러한 업계의 움직임을 제도적으
로 뒷받침하기 위해 금융당국은 유
권해석을 통해 신분증 사본 제출,
영상통화, 접근매체 전달 시 확인,
기존 계좌 활용, 기타 이에 준하는
생체인증 등의 새로운 방식 중에서
두 가지를 의무 적용하도록 했다.
이에 추가로 휴대폰 인증 등 타 기
관 확인 결과를 활용하거나 다수의
개인정보 검증을 포함할 것을 권고
했다.
이번 권고안은 금융기술과 산업을
발전시키고야 말겠다는 금융당국
의 강력한 의지를 확인할 수 있다
는 점에서 매우 고무적이다. 그러
나 보안성이 담보되지 않은 비대면
인증은 자칫 국가적 재앙을 초래할
수 있어 우려 섞인 목소리가 나오
는 것도 사실이다. 이런 점에서 금
융당국의 권고안과 함께 눈에 띄는
것이 있다. 비대면 실명 확인을 위
한 한국은행과 금융결제원의 주축
으로 은행권이 참가해 만든‘바이
오 인증 표준 규격(안)’이다. 이들
의 표준안을 금융당국이 제도적으
로 채택하는 것은 어떤 장단점이
있을까.
사실상 공인인증서는 실패한 기술
이 아니다. 어느 정도 초기 목표한
바는 달성했으나 몇 가지 점에서
5555www.koscom.co.kr5544 Financial IT Frontier・2016 NEW
Financial IT
Policy
비대면인증제도의
성공적 정착을 위한 제언
견고한 보안성을 담보로 하지 않으면 위험해지는 비대면 거래. 이에 금융당국이 권고안과 함께 표준안을
내놓았다. 기술중립의 위치에서 벗어나지 않을 때 시스템의 안정은 더욱 가속화할 것이다.
글 이영환 건국대학교 금융IT학과 교수
과거의 뼈저린 실패를
생각해볼 때 현재 금융당국이
추진하는 비대면실명확인제도의
허용 정책은 상당히 긍정적인
부분이 있다.
신한은행본점에서2일열린비(非)대면실명확인시연회에서임종룡금융위원장(왼쪽)이조용병
신한은행장(오른쪽)과함께손바닥정맥인식본인인증서비스를선보이고있다.
2. 변화를 통해 새로운 비대면 인증
기술을 적극적으로 개발하고, 소
개할 수 있도록 하는 조치다. 이를
계기로 금융회사들에는 시장점유
율 확보를 위해 합종연횡하며 새
로운 개념의 비대면 인증기술에
적극 투자하고 경쟁하는 동기부여
가 될 것이다.
두 번째로 금융당국이 기술중립적
정책을 펴고 있다는 것이다. 금융
당국은 지난 1년여 동안 기회가 있
을 때마다 비대면 실명인증을 허용
하겠다는 입장을 표명하며 금융회
사와 핀테크 기술개발업체들이 신
기술에 도전해 시장에 진입할 수
있는 토양을 제공해 왔다. 과거 힘
과 정치적 논리에 의해 결정하던
기술종속적인 입장과 판이하게 다
른 형국이다. 결과적으로 많은 기
술이 개발돼 국제 콘테스트인 시티
모바일 챌린지에서 한국의 기술이
좋은 성적을 낸 것은 의미가 있다.
과거와는 다른 기술중립적인 정책
덕분이다.
세 번째로 금융당국이 신분증 사본
과 기존 계좌 활용을 전제로 비대
면 실명 확인 방침을 정했다는 것
이다. 이는 금융당국의 신중한 입
장을 나타내는 것으로 최근 월스트
리트저널을 통해 알려진 대로 미국
에서560만개의지문이이미해킹
되고 애플페이를 통한 사기거래가
6%에 달한다는 것을 고려할 때 다
소 조심스러운 당국의 입장이 십분
수긍된다. 애플페이는 편의성을 극
대화하고 동시에 일회용 비밀번호
를 사용해 보안성을 높였다. 그럼
에도 불구하고 기술 외적인 부분에
서 탈취한 개인정보를 확보하고 있
는 사기범은 신용카드를 신규 발급
받아 사용하는 일이 가능하다. 이
는 거의 모든 시나리오를 완벽하게
고려하지 못했다는 약점이 노출된
것이다. 여러 가지 촉망되는 하이
테크 기술이 발표되고 있음에도 신
중한 입장을 취하는 당국의 상황을
이해할수있게된다.
FIDO표준안의의미
그러나 이같이 다수의 긍정적인
측면에도 불구하고 금융당국의 정
책에 우려할 만한 점이 있다는 것
도 사실이다. 그중 첫 번째는 당국
의 각종 규제가 아직도 관행적으
로 포지티브 방식으로 취해지면서
네거티브 방식을 사용하겠다는 당
국의 의지가 사라진 것은 아닐까
하는 의구심이 든다는 점이다. 특
히 인터넷 전문은행 선정과정이나
2016년 1월 말부터 시행되는 지분
투자형 크라우드펀딩 법규 시행과
관련해 생각해볼 때 관행적인 포
지티브 방식이 얼마나 많은가 하
는 점을 실감할 수 있다. 예컨대
자본금 및 인적・물적 여건과 함
께 영업행위까지도 깨알같이 적시
하고 있다.
이를테면 크라우드펀딩 사업자는
SNS에서단순링크가아닌방법으
로 청약 권유를 한다면 불법이다.
이렇듯 포지티브 방식을 탈피하겠
다는 천명과는 달리 과거의 방식으
로 그대로 회귀하는 부분들이 여러
곳에서 보인다. 포지티브 규제로의
회귀는 비대면 실명 확인과 관련해
서도 포지티브 형식의 규제가 될
수 있어 우려되며, 또한 포지티브
규제를 펴는 순간 또 다른 공인인
증서의 전철을 밟는 것이 아닌가
하는걱정때문이다.
이와 관련해 우려되는 또 한 가지
는 비대면 인증 표준안으로 국내외
에서 만들어지는 표준안이다. 그중
하나가 페이팔, 레노보, 구글, 삼성
등 국제적 기업들의 연합체인
FIDO(Fast Identity Online) 표준
안이다. FIDO 표준안은 서비스 사
업자가 소유한 서버에 저장하기보
다 개인이 소유한 단말기에 개인키
를 저장하고 서비스 사업자와의 통
신에는 공개키를 이용하는 방식을
채택하고 있다. 이와는 달리 국내
에서는 서비스 사업자나 개인단말
기 등 여러 곳에 분산 저장하고, 제
3자 인증(TPA) 서비스를 이용하는
방식을 제안한 바 있다. FIDO의
표준안은 국제적 표준안이라는 큰
장점이 있다. 문제는 개인이 키를
소지하고 있으므로 금융기관 간 정
보 공유가 쉽지 않다. 반면 한국은
행과 금융결제원 등이 만들어낸 바
이오 생체인식 표준안은 금융기관
간 정보 공유가 쉽도록 분산 저장
하는 방법을 사용하므로 정보 공유
가원활할수있다.
금융당국이 두 가지 표
준안에 대해 특정 표
준안을 지정하는
것은 공인인증서
에서 경험한 실
패를 다시 범할
수 있다. 금융당
국은 기술중립적
인 입장을 고수하면
서 시장에서 두 가지 방
식이 사용될 수 있도록 하고, 시
장이 더 나은 솔루션을 선택할 수
있도록 생태계를 유지하는 것이
절대적으로 중요한 시점이다. 왜
냐하면 또 다른 공인인증서와 같
은 뼈아픈 실패를 할 수 없기 때문
이다.
게다가 두 가지 표준안이 생체 특
징에 기반한 비대면 인증을 하는
반면 생체 행위에 기반한 비대면
인증이 오히려 좀 더 나은 새로운
인증기술로 각광받고 있다는 점도
간과할 수 없다. 두 가지 표준안보
다 오히려 행위기반 인증 표준안
이 나온다면 더욱 안전한 솔루션
으로 글로벌 표준이 될 가능성도
있는 것이다.
결론적으로 최근 비대면 인증시스
템을 정착시키기 위한 금융당국의
정책은 매우 긍정적이다. 그럼에도
불구하고 포지티브 규제방식으로
돌아가지 않기 위한 노력과 기술중
립적 위치를 벗어나지 않는 금융당
국이 되길 바라는 바다. 공인인증
서의 뼈아픈 경험을 반복하지 않도
록노력해야만하는시점이다.
금융당국이 기술중립적 위치를
벗어나지 않는다는 것
은 금융회사들에게
어려운 선택을 강
요한다. FIDO
가 내세우는 글
로벌표준과 한
국은행과 금융
결제원이 내세우
는 국내표준은 둘
중 어느 것도 포기할
수 없다. 또한 기술적으로 우
월하므로 미래기술로 생각할 수
있는 생체행위에 기반한 인증시스
템도 당연히 도입을 검토해야 할
대상이다. 모두 다 장단점이 있다.
그런 점에서 금융회사의 대응 전
략은 매우 중요하다. 게다가 이제
는 금융회사들이 타율적이 아닌
자율적 전략이 설정되어야 하는
시점임을 인식하는 것도 매우 중
요하다.
따라서 금융회사들은 자체적으로
본인인증기술 및 시스템 진화발전
계획을 설정하고 신중하지만 명확
하게 장단기적인 전략을 세우고
대응하는 것이 가장 필요한 시점
이라고 할 것이다.
5577www.koscom.co.kr5566 Financial IT Frontier・2016 NEW
Financial IT
Policy
비식별확인키가 인증용 은행간 호환키
자료: 금융결제원
바이오정보시스템
규격 분류
금융회사주도
[서버온]
바이오정보
복수서버저장
[티켓온]
바이오정보들서버와
디바이스에나누어저장
[센서온]
바이오정보
디바이스에저장
개인주도
금융당국이 기술중립적
위치를 벗어나지 않는다는 것은
금융회사들에게
어려운 선택을 강요한다.