화면낭독기 사용시 다음 링크들을 이용하면 더 빠르게 탐색할 수 있습니다.
 
즐겨찾기 문화일보 PDF

[포럼] 온라인 본인확인, 이용자 중심으로 바꿔야

염흥열 순천향대 정보보호학과 교수 

입력: 2017-09-10 18:00
[2017년 09월 11일자 22면 기사]

원본사이즈   확대축소   인쇄하기메일보내기         트위터로전송 페이스북으로전송 구글로전송
[포럼] 온라인 본인확인, 이용자 중심으로 바꿔야
염흥열 순천향대 정보보호학과 교수

세계는 국경을 넘는 디지털 경제 시대로 진입하고 있다. 서비스와 거래가 국경을 넘어 이뤄지고 있다. 글로벌 수준의 온라인 신뢰 구축이 중요하다. 이를 위한 주요 선진 국가와의 신원확인 체계의 호환성도 고려해야 한다.

글로벌 보안 회사인 시만텍에 의하면 2016년에 1500 만 명의 이용자가 신원 사기로 인해 18조 320억 원의 손실을 겪었다고 밝혔다. 최근 인터넷전문은행에서 가족 명의를 도용해 계좌를 만들거나 대출을 신청한 금융 사건이 발생했다. 인터넷전문은행의 온라인 본인 확인에 허점이 발견됐다. 원인은 정보 취약계층이나 노약 층의 온라인 거래 형태의 취약성을 간과한 것으로 보인다.

디지털 신원정보(identity)는 온라인에서 자연인을 유일하게 식별하는 데 이용된다. 대표적으로 이름, 운전면허증번호, 주소, 주민등록번호 등이다. 온라인 본인확인(identification)은 온라인에서 자연인의 신원을 확인하기 위해 다양한 디지털 신원정보를 이용하는 과정이다.

온라인 본인 확인 시 개입되는 주요 주체는 온라인으로 서비스를 제공받고자 하는 이용자, 온라인으로 서비스를 제공하는 신뢰 기관(예, 쇼핑몰 사이트), 그리고 이용자의 신원을 확인하고 인증 비밀 정보를 공유하는 본인확인기관(예, 인증서 발행기관) 등이다.

온라인 본인확인 과정은 3가지 세부 과정으로 구성된다. 첫 단계인 신원 증명(identity proofing)은 이용자가 직접 또는 원격으로 본인확인기관에 자신의 신원을 증명하는 과정이다. 원격 신원증명 과정의 경우 이전에 다른 곳의 본인확인을 위한 인증 비밀 정보를 이용해야 한다. 두 번째 과정은 실제 온라인 서비스를 받기 위한 온라인 인증을 수행하기 위해 필요한 인증 비밀 정보를 관리하는 것이다. 예를 들어, 스마트폰 트러스트 존이나 스마트카드에 인증 비밀 정보를 관리하는 것이다. 세 번째 과정은 이용자가 서비스를 이용할 때 온라인에서 이용자를 인증(authentication)하는 과정이다. 여러 다양한 인증 수단이 온라인에서 사용자의 신원을 인증하기 위해 이용된다. 대표적으로 휴대폰 인증과 일회용 패스워드를 이용하는 것이다.

온라인 본인확인과 인증과 관련된 글로벌 환경이 급변하고 있다. 유럽연합은 2016년 7월 1일부터 가칭 eIDAS로 알려진 '온라인 신원확인 및 신뢰 서비스'에 관한 법률을 시행하고 있다. 이 법의 목적은 유럽 차원 단일 디지털 시장을 구현하기 위한 신뢰 체계를 구축하는 것이다. 각 국가가 공인 인증서를 발행하는 적격의 공인 인증기관을 지정하고, 유럽 차원에서 공인인증기관을 유지하는 것이다.

국제표준화기구도 새로운 디지털 환경을 고려하고 온라인 본인확인의 개선을 위해 기존 국제표준의 개정 작업을 시작했다. ITU-T 연구반 17(SG17)은 실체인증보증프레임워크 국제표준에 대한 개정작업을 이미 시작했고, 국제 국제표준화위원회 조인트 기술위원회 27(SC 27)도 실체인증보증프레임워크의 국제 표준의 개정 작업을 지난 4월부터 시작하기로 합의했다.

미국 국립표준과학기술연구원(NIST)은 2017년 7월 최근에 디지털 신원 가이드라인을 발표했다. 이전 가이드라인에서는 실체 인증 보증 모델만을 다뤘다면, 새 가이드라인에서는 여기에 더해 온라인 신원증명과 연계까지 개념을 확대했다. 이 가이드라인에서는 3등급의 신원증명, 인증, 그리고 웹 사이트 간의 연계 방법과 등급을 제시하고 있다.

영국 정부도 전자정부 서비스를 위한 신원확인 방법과 인증 방법을 2013년 발표했다. 여기서는 4등급의 신원확인, 인증 모델을 제시하고 있다. 캐나다 정부도 2016년 8월 온라인 본인확인 프레임워크를 발표했다. 마찬가지로 4등급의 본인증명, 인증 모델을 제시하고 있다. 미국, 영국, 캐나다 등 3국은 2017년부터 국가 온라인 본인확인 및 인증을 상호 연동이 가능하도록 하고 경쟁력을 갖는 인증 솔루션 글로벌 시장을 조성하기 위한 협력 프로젝트를 진행하고 있다. 또한, 필자가 참여하는 SC27 회의에서 한국의 참여 고려를 비공식적으로 권고했다.

온라인 본인확인 체계는 이용자 관점에서 평가돼야 한다. 이용자가 평가된 등급을 참고로 서비스 신뢰 수준을 결정하고 이를 기준으로 서비스 이용 여부를 결정할 수 있기 때문이다. 예를 들어, 간단한 정보를 조회 할 경우 단순히 아이디/패스워드라는 단일 인증 수단을 이용하고, 자금 이체와 같은 경우는 2개 이상의 하드웨어 기반의 인증 수단을 활용해야 한다. 이를 위한 본인확인 등급이 결정되어야 하고, 이를 지원하기 위한 표준과 가이드라인 개발이 필요하다.

우리나라의 온라인 본인확인은 아이핀, 일회용 패스워드, 인증서 등 다양한 본인확인 수단이 활용되고 있다. 공인인증서 의무 사용도 폐지됐고, 신기술 기반 인증 기법의 적용이 가능하도록 제도가 변경됐다. 그러나 우리의 본인확인 및 인증 체계는 글로벌 상호 연동을 위해서는 아직 많이 미흡하다. 개선 기본 방향은 본인확인과 관련된 위험 수준과 예상되는 피해 규모를 고려한 본인확인 방법이 제공되도록 해야 한다. 보안성과 편리성을 동시에 만족하는 하드웨어 기반 본인확인 및 인증이 적용되어야 한다. 편리성을 위한 생체정보 기반 공개키 암호 방법 등 다중 요소 인증이 이용돼야 한다.

글로벌 환경 변화를 고려해 호환이 가능한 체계로 개선돼야 한다. 구체적으로 글로벌 디지털 경제 시대에 대비한 미국, 유럽, 일본 등의 본인확인 체계와 상호 연동돼야 하고, 이들 국가나 지역으로 신뢰가 확장돼야 한다. 따라서 '정보통신망 이용촉진 및 정보보호 등에 관한 법'과 '전자서명법'도 이를 고려해 개정돼야 한다. 글로벌 차원의 온라인 본인확인은 디지털경제를 실현하는 온라인 서비스를 제공하기 위한 신뢰를 마련하기 위한 바탕이 되기 때문이다.

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
DT Main
선풀달기 운동본부
연예 섹션