공인인증서를 이용하지 않는 은행 업무가 하나둘 늘어날 때마다 이용자들 사이에선 이런 질문이 나온다. 공인인증서 없이 이뤄지는 은행 간편이체의 주 사용 연령대는 20~30대다. 모든 연령대로 확대되진 않았다. 아직은 공인인증서가 아닌 인증 시스템의 보안 문제에 불안해하기 때문이라고 은행들은 보고 있다.
공인인증서 절차를 간소화한 이체 방식의 대표적인 예는 카카오뱅크처럼 모바일에 사설인증서를 설치하는 것이다. 카카오뱅크는 2017년 4월 출범 때부터 공인인증서가 아니라 사설인증서를 통한 간편이체 서비스를 하고 있다. 본인의 스마트폰에서 이 사설인증서를 발급받도록 하는 방식이다. 한 번 설치해놓으면 스마트폰을 바꾸지 않는 이상 갱신할 필요가 없다.
공인인증서와 사설인증서는 시스템 운영 방식이 다르다. 카카오뱅크는 사설인증서를 스마트폰 내 시큐어엘리먼트(SE)라는 영역에 저장한다. 하드웨어 안에 있는 SE에 저장된 정보는 유출 위험이 적은 안전한 저장소다. 이 방식은 삼성전자의 모바일 결제 플랫폼 ‘삼성페이’의 보호장치인 삼성녹스에서도 활용하고 있다. 카카오뱅크 관계자는 “이용자의 인증 절차가 줄었다고 해서 시스템 보안성이 약해지는 건 아니다”고 강조했다.
공인인증서는 금융회사 서버에 저장한 공개키(PKI)를 개인 PC 또는 스마트폰 앱(응용프로그램), USB에 저장한 개인키와 맞춰보는 방식이다. 공인인증서 자체엔 보안 문제가 없다. 하지만 금융사 서버나 개인키 저장수단이 해킹당하는 사례가 종종 있다.
기업은행은 지난 21일 모바일 앱을 사설인증서를 기반으로 바꿨다. 기업은행의 사설인증서는 스마트폰 내 또 다른 보안영역에 암호화를 통해 저장하는 형태다. 기업은행 사설인증서의 갱신 주기는 3년이다. 신한은행과 국민은행은 ‘휴대폰 본인인증’ 방식을 통한 간편이체 서비스를 구현하고 있다. 휴대폰 본인인증 역시 보안 수준이 높은 것으로 알려졌다. 백신 프로그램과 보안 키패드, 위변조 방지기술을 거쳐 인증서를 스마트폰 내 보안영역에 저장한다.
은행들이 잇달아 ‘탈(脫)공인인증서’ 선언을 하고 있다. 2002년부터 18년째 은행 거래의 본인 인증 방식을 독점하다시피 해 온 공인인증서 체계에 균열이 생기고 있는 것이다.22일 은행권에 따르면 공인인증서를 거치지 않고 자체 인증서를 활용하는 모바일뱅킹이 빠르게 확산하고 있다. 기업은행은 지난 21일 공인인증서 없이 하루 5000만원까지 이체할 수 있도록 모바일 앱(응용프로그램)을 전면 개편했다. 공인인증서를 사용하지 않는 방식 가운데 이체 한도가 가장 크다. 기존 최대이던 카카오뱅크(하루 1000만원)보다 다섯 배 많다. 신한은행도 최근 공인인증서 인증은 물론 로그인을 안 해도 하루 100만원까지 이체 가능한 ‘바로이체’ 서비스를 내놨다. 앱을 켜 이체 대상(보낼 곳과 금액)을 설정하고 계좌 비밀번호만 누르면 세 단계 만에 송금된다. 공인인증서를 이용한 기존 은행 이체는 △앱 실행 △공인인증서 로그인 △이체 대상 설정 △계좌 비밀번호 입력 △1회용 비밀번호(OTP) 또는 보안카드 입력 △공인인증서 최종 확인 등 여섯 단계를 거쳐야 했다.은행 관계자는 “4~6자리로 된 비밀번호 또는 지문 인식, 얼굴 인식만으로 가능한 업무 범위를 넓히는 데 집중하고 있다”고 말했다.공인인증 없이 5000만원 송금, 로그인 않고 이체…은행이 달라졌다직장인 김은미 씨(30)의 주거래은행은 인터넷전문은행인 카카오뱅크다. 3년 전까지만 해도 대학생 때부터 써온 A은행에 모든 자금을 넣어놓고 금융 거래를 했다. 그가 대부분의 돈을 카카오뱅크로 옮긴 건 간편이체의 영향이 컸다. 간편이체는 문자와 숫자, 특수문자로 이뤄진 비밀번호 열 자리를 매번 입력해야 하는 공인인증서를 사용하지 않아도 된다. 김씨는 “공인인증서 인증 등 복잡한 절차를 거쳐야 하는 은행 모바일 앱을 쓸 이유를 못 느낀다”고 말했다.김씨와 같은 사례는 20~30대를 중심으로 빠르게 확산하고 있다. 최근 들어 주요 은행이 공인인증서 없이 거래할 수 있는 플랫폼을 앞다퉈 내놓는 이유다. 은행 고위 관계자는 “공인인증서 인증 절차 때문에 인터넷전문은행 등에 빼앗긴 고객 수가 상당한 것으로 파악돼 위기감이 커지고 있다”고 말했다.로그인 절차 없애고, 한도 늘리고신한은행이 지난 9일 도입한 ‘바로이체’ 서비스는 은행권에서 파격적인 시도로 꼽힌다. 로그인하지 않고도 자신의 스마트폰에서 앱을 실행한 뒤 바로이체를 누르고 송금 대상을 설정, 계좌 비밀번호 네 자리만 입력하면 즉시 이체가 가능하다. 첫 실행 때 스마트폰 인증을 통해 바로이체 서비스에 가입하면 된다. 이후로는 하루 100만원까지 복잡한 절차 없이 세 단계 만에 모든 이체가 완료된다. 신한은행 관계자는 “이체 업무에 걸리는 시간과 절차를 줄이기 위해 로그인까지 생략한 서비스를 개발했다”며 “법률·규정·약관이 허용하는 범위에서 최대한 공인인증서를 간소화했다”고 말했다.기업은행도 21일 공인인증서 없이 하루 5000만원까지 이체할 수 있는 모바일 앱 ‘아이원뱅크’를 출시했다. 공인인증서를 거치지 않고 여섯 자리 비밀번호로 이뤄진 사설인증서를 기반으로 구동된다. 그동안 공인인증서를 이용하지 않는 간편이체 한도를 하루 300만원까지 꾸준히 늘려오다가 아예 인증서 체계를 바꿨다. OTP나 보안카드가 없어도 된다.다른 은행들도 공인인증서 없이 이용 가능한 업무를 늘리는 추세다. 우리은행은 3월 공인인증서를 거치지 않고 하루 200만원(1회 100만원)까지 이체할 수 있도록 모바일 앱 ‘위비뱅크’를 개편했다. 예·적금 상품 가입과 공과금 납부 등도 공인인증서 없이 처리할 수 있다.“은행들이 각성했다”은행들이 이처럼 ‘탈(脫)공인인증서’에 속도를 내는 데는 카카오뱅크의 간편이체 성공 사례가 큰 영향을 미친 것으로 분석된다. 2017년 7월 카카오뱅크는 ‘같지만 다른 은행, 새로운 은행이 온다’는 슬로건을 앞세워 출범했다. 이용 편의성을 강조하며 사설인증서를 통한 자체 인증 시스템을 도입했다.과거에도 공인인증서 절차가 불편하다는 지적이 많았지만 은행들은 크게 움직이지 않았다. 공인인증서는 정부가 공인한 전자 인감도장이다. 일반적으로 인터넷뱅킹, 모바일뱅킹과 온라인 쇼핑몰 결제 등에 이용됐다. 2002년부터는 은행 인터넷뱅킹에 공인인증서 사용이 의무화됐다. 정부가 2015년 3월 공인인증서 의무 사용을 폐지했지만 은행은 유독 굼떴다. 문제가 생기면 은행들이 책임져야 한다는 부담이 컸기 때문이다. 사설인증서를 쓸 경우 보안 시스템 개발 비용이 더 들어가는 것도 영향을 미쳤다.공인인증서를 이용하려면 액티브X 등 각종 프로그램을 설치해야 한다. 거래 때마다 문자와 숫자, 특수문자 등을 섞은 열 자리 비밀번호를 입력해야 하고 1년 주기로 갱신도 해야 한다. 이용자 사이에서 공인인증서가 불편하다는 지적이 계속 제기된 이유다.“공인인증서 없애야 살아남는다”공인인증서 절차를 생략한 카카오뱅크는 거래 시스템을 사용자 친화적으로 구성했다는 평가를 받으며 빠르게 시장을 잠식했다. 상대적으로 기존 공인인증서 방식에 의존한 은행엔 ‘복잡하고 구식’이라는 비판이 쏟아졌다.은행 내부에서도 ‘왜 공인인증서 의존도를 낮추지 못했느냐’는 반성의 목소리가 커졌다. 시중은행 고위 관계자는 “은행들 스스로 공인인증서에 발목을 묶어두고 혁신을 못한 것”이라며 “카카오뱅크처럼 보안 문제는 은행이 책임지고 고객에겐 최소한의 인증만 요구하는 게 마땅하다”고 말했다.관건은 공인인증서 없이도 이용 가능한 업무의 확장성이다. 모든 금융거래 절차가 간소화된 것은 아니기 때문이다. 특히 은행 대출은 여전히 공인인증서 인증 없이 대부분 이용할 수 없다. 카카오뱅크 역시 대출만큼은 공인인증서를 사용해야 한다. 대출 신청자의 소득정보를 국세청과 국민건강보험공단에서 확인해야 하는데, 이들 기관이 인증수단을 공인인증서로 제한하고 있기 때문이다. 이런 문제는 국회에 계류돼 있는 전자서명법과 신용정보법 개정안이 통과되면 해소될 수 있다.카카오뱅크 관계자는 “대출도 공인인증서가 필요없는 방식으로 바꾸고 싶지만 유관기관들이 여전히 공인인증서를 요구해 불가능한 상황”이라며 “이용자 중심의 금융거래 편의를 위해 관련 논의가 활성화될 필요가 있다”고 말했다.정지은 기자 jeong@hankyung.com
공인인증서를 거치지 않아도 되는 은행 거래가 온전히 확산되려면 전자서명법이 개정돼야 한다. 그렇지 않고서는 ‘탈(脫)공인인증서’ 전략이 반쪽짜리에 그칠 수 있다. 하지만 국회가 표류하고 있고 여야 간 견해차도 커 속도를 내지 못하고 있다.22일 국회에 따르면 과학기술정보통신부가 공인인증서 제도를 폐지하기 위해 지난해 9월 국회에 제출한 ‘전자서명법 전부개정안’은 지난해 말 소위 논의를 마지막으로 상임위인 과학기술정보방송통신위원회(과방위)에 계류 중이다.개정안의 핵심은 공인인증서를 폐지하고 이를 대체하기 위해 전자서명 제도를 민간 위주로 개편하는 내용이다. 올 들어 여야 대치로 국회가 파행을 거듭하면서 전자서명법 개정 논의는 한 발짝도 나아가지 못하고 있다. 국회가 열리더라도 법안의 신속한 처리는 기대하기 어려울 전망이다. 야당에서 법안 심사를 위해 공청회 등 깊이있는 논의 과정이 필요하다고 주장하기 때문이다.과방위 자유한국당 간사를 맡은 김성태 의원 측은 “국회가 정상화되면 여야 간사 협의에서 청문회 일정을 논의하겠다”고 말했다. 다만 “공인인증서 제도 폐지와 관련해 한국당의 입장이 한 방향으로 정해진 것은 아닌 만큼 공청회를 통해 의견을 수렴하고 조율해볼 것”이라고 설명했다. 지난해 11월 법안 논의 당시 과방위 법안심사 소위원장이었던 정용기 한국당 의원도 “공인인증서 제도 폐지는 그동안 사회적으로 여러 논의가 있었고, 매우 중요한 내용이기 때문에 심도있게 검토, 논의할 필요가 있다”며 심사를 보류했다.더불어민주당은 공인인증서 폐지에 대한 국민의 지지가 높다는 이유를 들어 관련법의 신속한 처리를 요구하고 있다. 과방위 민주당 간사를 맡은 김성수 의원은 “한국당이 쟁점 법안을 일절 다루지 않겠다고 버텨 심사 자체를 못하고 있다”며 “시간이 부족하면 공청회를 생략하거나 소위 차원에서 공청회를 하는 방법도 있는데, 법안을 다루는 것 자체를 피하고 있다”고 말했다.은행들은 이 같은 상황이 현실과 동떨어져 있다고 지적한다. 은행 관계자는 “공인인증서를 거치지 않는 거래에 대한 소비자의 요구가 커지고 있다”며 “법률이나 규정 등이 개정될 때 맞춰 즉시 적용할 수 있도록 시스템 마련을 준비 중”이라고 말했다.김소현 기자 alpha@hankyung.com
하나금융투자가 라온시큐어에 대해 인증 시장 확대에 따른 성장이 기대된다고 22일 밝혔다. 목표주가 5200원, 투자의견 매수를 신규 제시했다.김아영 하나금융투자 연구원은 “라온시큐어는 모바일 보안 1위 업체로 보안솔루션 업체 중 유일하게 모바일 통합보안 솔루션을 보유했다”며 “금융기관, 공공기관, 포털, 오픈마켓, 핀테크, 게임, 통신 등 다양한 산업 군의 500여개 기업을 고객으로 확보 중”이라고 설명했다.라온시큐어는 2019년 1분기 매출액 39억5000만원, 영업손실 7억5000만원을 기록했다. 김 연구원은 “신규사업과 고객사 확대에 따른 판관비 증가로 영업이익이 하락했으나 매출은 전년과 유사한 수준을 유지했다”며 “신규 보안 서비스 매출 확대와 유지보수 매출로 실적이 안정적으로 성장하고 있으며 FIDO2 인증을 통한 고객사 확대가 기대된다”고 분석했다. 2019년 라온시큐어 연결 실적으로는 매출액 304억원, 영업이익 49억원을 전망했다. 그는 "2015년 공인인증서 사용 의무화 폐지로 라온시큐어가 시장의 주목을 받았다"며 "2019년은 인증 시장의 2차 확장과 해외 진출 기대감이 높은 해"라고 강조했다. 오세성 한경닷컴 기자 sesung@hankyung.com
![[오늘의 arte] 독자 리뷰 : 당신의 미술 취향은 무엇인가요](https://timg.hankyung.com/t/560x0/photo/202404/AA.36523699.3.jpg)