사람과사회™ 뉴스

“공인인증서는 4차혁명 핵심”

미래와 보안의 최대 화두는 ‘인증’, 온·오프 스마트키 시스템 갖춰야

최운호 교수는 (사)국가미래연구원(IFS)에 발표한 ‘5G 시대에 생체인증 스마트키(Smart Key) 도입하자 : 정전·지진·해킹으로 인터넷 끊겨도 본인 인증’(2018.02.22)에서 “2018년부터 본격적으로 시작되는 사물인터넷(IoT) 기반 스마트홈, 스마트카, 스마트시티 등에 적용할 ‘스마트키’ 시스템을 구축해야 한다”고 밝혔다. 대규모 정전이나 지진이나 해킹 등으로 인해 5G 등 모든 인터넷이 마비돼도 이용자 본인을 인증할 수 있는 전자신분증을 발급해 운영해야 하는 것이 필요하기 때문이다.

“5G 시대에 생체 인증을 이용한 ‘스마트키(Smart Key)’를 도입해야 한다. 정전·지진·해킹으로 인터넷이 끊겨도 본인 인증이 가능하기 때문이다. 2018년부터 본격적으로 시작한 사물인터넷(IoT) 기반 스마트 홈, 스마트 카, 스마트 시티 등에 적용할 스마트 키 시스템을 구축해야 한다. 인터넷이 마비돼도 이용자 본인을 인증할 수 있는 전자신분증을 발급해 운영해야 하는 것이 필요하기 때문이다. 문득 생각나는 게 있다. 스마트키 이야기를 하다 보니, 페이스북에서 ‘혼자 걷는 길을 여러 사람을 거쳐서 사람들이 다니는 인도가 된다’는 글을 봤다. 그리고 UN에 있을 때 느낀 것인데, 한국 사람은 국제무대에서 장점이 있다고 생각한다. 다른 국가 직원들은 세부적인 것에 집중해서 전체를 보는 시각이 모두에게 요구되지 않고 일부 시니어에게만 있지만, 한국 사람들은 전체적인 시각을 보는 방법을 직장생활에서 익혀서 상대적으로 장점이 있다고 본다.”

최운호 서강대 기술경영대학원 교수

공인인증서는 4차산업혁명 핵심

국내 IT·정보보호 전문가 중 최초로 유엔에 진출한 정보보호 전문가
미래와 보안의 최대 화두는 ‘인증’, 온·오프 스마트키 시스템 갖춰야
2012년 UN서 제안한 지문신분증, 2019년 전자신분증 상용화 ‘첫발’

계간 사람과사회™ 통권8·9호

최운호 서강대 기술경영대학원 교수는 2012년 즈음 처음 만났다. 2019년 초까지 글로벌 기업인 화웨이에서 CSO(최고보안책임자, Chief Security Officer)로 재직했다. CIO(최고정보책임자, Chief Information Officer)나 CISO(최고정보보호책임자, Chief Information Security Officer)와 거의 같은 의미로 쓰기도 하는데, CSO는 정보보호를 포함한 보안 전체를 아우르는 의미가 더 크다.

광운대학교에서 행정학과 전산학을 전공한 최 교수는 전자정부, 정보보호, 컨설팅 등 정부와 다수의 기관에서 정보기술 분야 경험을 쌓았다. 금융결제원 정보공유분석센터(ISAC), 한국인터넷진흥원 및 국가청렴위원회 정보관리팀장 등을 역임했다. 전자정부 침해사고대응팀(CERT, Computer Emergency Response Team), 사이버테러, 정보전, Y2K, 인터넷뱅킹, 물류·항만·도로교통 등 다양한 정보보호 분야에서 경력을 갖고 있다.

2012년 4월에는 도로교통공단 정보보호단장으로 재직하다 국제연합(UN) 산하 19개 기관 중 최대 기구인 유엔난민기구(UNHCR, United Nations High Commissioner for Refugees, UN Refugee Agency) 정보보호책임자(Senior ICT Security Officer)로 채용돼 5월부터 본부가 있는 스위스에서 근무했다. 이는 한국인 최초다. 유엔난민기구는 6.25전쟁 때 한국 피난민을 돕기 위해 세운 기관이어서 한국(인)과 인연이 깊다. 현재 시리아 난민 500만 명을 난민캠프에 수용해서 돕고 있다.

최 교수는 당시 UN에서 근무하게 된 것과 관련해 “국제기구에서 정보보호 중요성을 알리는 전령사가 될 겁니다. 한국 전자정부의 우수성도 알려서 개도국 전자정부 수출에도 일조하고 싶다”는 입장을 밝혔다. 또한 “유엔, IMF와 같은 국제기구를 목표로 지난 5년간 꾸준히 노력해왔다”며 “국제기구가 원하는 경력을 위해 다양한 경험을 쌓았으며 매년 관련 자격증을 땄고, 또 주변에서 ‘그 나이까지 공부해서 뭘 할 것이냐’, ‘자격증 중독자냐’, ‘회사 또 옮겼냐”는 얘기를 들었지만, 마침내 결실을 얻었다”고 말했다.

최 교수는 해외 진출과 관련 “글로벌 기업과 기관은 다양한 인프라의 이력과 경험을 중시해 매년 관련 자격증을 따고 외국어를 열심히 공부했다”고 소개했다. 그는 “이력 관리와 영문 이력서 작성만 제대로 해도 해외로 진출할 기회는 많다”며 “그러나 보통 한 번 영문 이력서를 작성하면 몇 년간 이용하게 되는데 지원한 회사, 기관이 원하는 스펙을 정확히 파악해 경력을 제대로 보여주지 않으면 서류 전형도 통과하기 어렵다”고 설명했다.

자격증은 물론 해외로 가기 위해 필수라 할 수 있는 언어 문제도 스스로 해결했다. 최 교수는 유학 경험이 없지만 영어를 ‘독학’으로 익혔다. 비결은 영어학원에 다니지 않고 CNN과 BBC 등을 항상 시청하며 발음을 연습했다.

최근 한국 기업이 ‘지문출입증’을 상용화해 세계 최초로 유엔에 납품했다. 국제통신연합(ITU)을 비롯한 30개 UN 회원 기관이 5년 동안 순차적으로 배포한다. 전 세계 20여 만 명의 유엔 직원이 사용할 예정이다. 이는 ‘글로벌 신분증 프로젝트(Global Identity Management Project)로 진행하는 것이다. 이 프로젝트는 최 교수가 유엔난민기구에서 근무할 때 추진했던 최초 제안을 채택한 게 결과로 나타난 것이기도 하다.

최 교수와 2018년 하반기부터 최근까지 여러 차례 주고받은 이야기와 메시지, e편지 등을 바탕으로 글을 구성했다. 주요 내용은 생체인증, 스마트기술, 인증 등을 중심으로 한 보안 이슈다. 특히 스마트카드를 비롯해 지문 등 생체를 이용한 인증 수단 이야기는 ‘보안’과 ‘인증’이 ‘미래 사회의 일상’을 어떻게 바꿀 것인지 생각할 수 있도록 해줄 것이다.

“PKI(Public Key Infrastructure)는 쉽게 말해 인증서를 만드는 기술이다. 우리말로는 ‘공개키기반구조’라고 번역한다. 1989년 ITU 국제표준으로 정한 후 전 세계에서 정부, 금융, 국제결제망(SWIFT), 우체국 등에서 사용하고 있다. 한국은 2001년부터 인터넷으로 금융 거래를 할 때 비밀을 보장하면서도 거래 당사자 신분을 확인할 수 있게 해주는 보안 기술을 적용해 사용하고 있다. 일반적으로 금융용 공인인증서에 사용하며, 데이터를 암호화하는 방법은 크게 ‘공개키’와 ‘개인키’ 방식으로 구분할 수 있다.

최운호 교수는 (사)국가미래연구원(IFS)에 발표한 ‘5G 시대에 생체인증 스마트키(Smart Key) 도입하자 : 정전·지진·해킹으로 인터넷 끊겨도 본인 인증’(2018.02.22)에서 “2018년부터 본격적으로 시작되는 사물인터넷(IoT) 기반 스마트홈, 스마트카, 스마트시티 등에 적용할 ‘스마트키’ 시스템을 구축해야 한다”고 밝혔다. 대규모 정전이나 지진이나 해킹 등으로 인해 5G 등 모든 인터넷이 마비돼도 이용자 본인을 인증할 수 있는 전자신분증을 발급해 운영해야 하는 것이 필요하기 때문이다.

미국과 일본 정부는 물론 UN 본부와 글로벌 금융기관 등은 생체 정보를 기반으로 ‘지문스마트카드’를 확산시키고 있다. 신용카드 업계의 최강자인 비자카드, 마스터카드도 일반 신용카드를 지문 센서가 달린 ‘생체인증카드’로 보급하겠다고 밝히고 미국, 영국, 그리고 유럽 은행에서 발급을 시작했다.

정보통신기술(ICT) 융합이 핵심인 4차산업혁명 시대에 모든 것이 연결된 사회다. 그런데 ‘블랙아웃(대규모 정전 사태)’이나 사이버 테러가 발생하면 어떤 상황이 벌어질까? 연결이 돼 있을 때 작동하던 것들이 연결이 끊어지면 어떻게 될까? 본인을 인증할 수 있는 수단이 모두 차단된 이용자는 인터넷을 복구할 때까지 스마트홈 도어록, 생활가전, 자율주행차 등을 제어할 수 없게 될 것이란 관측이 있다. 상상만 해도 끔찍한 현상이 현실에서 영화처럼 벌어지는 것이다.

최 교수는 이와 관련 “온라인은 물론 오프라인 환경에서도 지문, 홍채, 안면인식 등 강력한 생체 정보를 기반으로 이용자를 입증할 수 있는 사회적 시스템을 구축해야 한다”고 밝혔다. 그는 “지문 등 생체 정보를 등록한 사람만 이용할 수 있는 스마트폰이나 스마트카드를 대안으로 생각할 수 있다”며 “그렇지 않으면 IoT로 모든 것을 연결하는 작업을 마친 후 5G 기반 스마트시티에서 보안 시스템을 재구축하는 사태가 발생할 수 있다”고 설명했다.

특히 현재 인터넷 환경에서 이뤄지는 ‘아이디(ID)’와 ‘비밀번호(Password)’를 기반으로 한 본인 인증은 해킹에 취약할 뿐만 아니라 초연결사회의 수단이 될 수 없다. 이에 따라 미국 정부는 오는 2021년까지 ‘노 패스워드(No Password, 비밀번호 미사용)’ 환경을 구축키로 했으며, 인도 정부는 10억 장의 신분증을 지문 등 생체인식카드로 전환하는 프로젝트를 완료했다.

‘전 세계 전자신분증 시장’에 한국 기술을 알린다

UN과 58개 산하기관은 지문을 등록한 사람만 이용할 수 있는 스마트지문카드(OneUNCard)를 2019년 1월부터 사용하기 시작했다. 이 카드는 물리적인 건물 출입증과 컴퓨터 접속을 ‘1장’의 카드로 이용할 수 있도록 한 것이다. 지문형 스마트카드는 생체 정보에 기반을 두기 때문에 잃어버리거나 도난을 당해도 다른 사람이 절대 이용할 수 없다. 현재 삼성페이, 애플페이, 구글페이 등이 모두 동일한 국제표준을 쓰고 있다. UN은 또 임직원뿐만 아니라 6,800만 명의 난민을 위한 난민카드도 도입할 예정이다. 비자카드와 마스터카드는 2018년 하반기부터 ‘지문 센서 기반 신용카드’를 전 세계에 보급하기 시작했다. 이는 생체카드 1장으로 아파트, 컴퓨터, 전자신분증, 보험, 바우처, 자율주행차키, 주차, 공공자전거, 전자투표 등 ‘일상의 거의 모든 것’을 ‘카드 1장’으로 이용할 수 있다는 이야기다.

한국의 상황은 어떨까? 만약 한반도에 돌발 사태나 준전시 상태에서, 즉 인터넷이 없는 상황에서 피난민과 일반 시민은 어떻게 구별할 수 있을까? 최 교수는 유엔난민기구 재직 당시 스마트카드 등에 지문을 접목하는 인증 방식을 제안한 바 있다. 다행히 이 제안이 최근 결실을 보게 됐다. 한국이 공인인증서에 사용하는 PKI(공개키기반구조) 기술을 생체정보인 지문과 접목한 것이다. 2012년 10월에 출발했기 때문에 2013년 시작한 국제생체표준(FIDO, Fast IDentity Online)보다 더 빠른 것이다. 이 인증 방식은 배터리를 내장한 USB를 이용해 컴퓨터를 연결할 수 있다. 이에 대해 최 교수는 2020년부터 시작하는 ‘전 세계 전자신분증 시장’에 한국 기술을 알릴 수 있는 기회라고 평가했다.

“7년이 지난 2019년 1월, 국제통신연합(ITU) 전 직원을 대상으로 1,200장을 보급해 시범사업을 시작했다. 시범이 끝나면, 국제표준을 만드는 국제전기통신연합(ITU)을 방문하는 수만 명의 전문가에게 출입 카드와 향후 국가 간의 표준 채택 투표용으로 사용할 예정이다. ‘전 세계 전자신분증 시장’에 한국이 개발한 지문인증카드 기술을 자연스럽게 알릴 수 있는 기회다. 비자와 마스터카드가 지문카드를 발표한 게 2017년이지만 상용화에는 앞선 것이다. 중소기업인 KSID(한국스마트아이디, KOREA SMART ID)와 담당자의 노고에 감사를 드린다.”

공인인증서를 없애면 어떻게 될까?

한국은 공인인증서 논란이 있는 곳이다. 그런데 공인인증서를 없애면 어떻게 될까? 산업 4.0(Industry 4.0)은 존재할 수 있을까? 앞에서 언급한 블랙아웃이 생기면 어떻게 될까? 이 같은 상황이나 문제는 인증과 밀접하다. 스마트폰으로 결제하는 삼성페이는 공인인증서 발급기관인 한국정보인증의 인증서를 사용한다. 삼성전자가 쓰는 삼성페이, 삼성페스 등 주력 사업 인증에 사용하는 것도 마찬가지다. 한국은 공인인증서 논란 때문에 없애야 한다는 주장이 많고 정부도 긍정적이다. 인증서가 없어지면 어떤 상황이 벌어질까?

최 교수는 생각해봐야 할 게 있다며, 만약 한국은 인증서를 없애고 외국 인증서를 쓸 경우를 가정해 몇 가지를 예로 들었다. 대략 △삼성전자도 외국 업체 인증서(CA)를 사용해야 한다? △국내 금융업계도 모두 외국에 의존한다? △블록체인 육성하는 SDS, LG도 외국에 의존한다? △전자주민증 등 정부 4.0도 외국에 의존한다? △사물인터넷도 외국에 의존한다? △자율주행차와 공유차도 외국에 의존한다? △스마트홈과 스마트시티도 외국에 의존한다? 등이다.

“한국정보인증은 최근 갤럭시 S8 출시와 함께 홍채를 이용한 ‘생체기반 공인인증서’를 공급했다. 애플, 구글 등 경쟁자가 공인인증서로 알려진 PKI 기술을 경쟁적으로 구축하고 있다. 한국은 ‘산업 4.0’에 가장 필수적 자산인 공인인증서 시스템을 이미 15년 넘게 전 국민이 사용하고 있다. 이는 사실이고 진실이다. 그런데 이를 제대로 알고 있는 이가 몇 명이나 되는지 궁금하다. 지난 (2018년) 5월 21일, 전자서명법 토론회에 참석했었다. ‘장님 코끼리 만지기’, ‘서로 눈치 보기’, ‘아무도 안 나서기’, 이런 느낌을 받았다. 앞으로 다가올 혼란은 안중에도 없다는 생각이 들었다. 백가쟁명(百家爭鳴), 도량형 통일, 그리고 글로벌 대세는 안중에도 없다는 것도 떠오른 생각들이다.”

스마트키를 사용하려면 보안과 인증을 빼놓을 수 없다. 하지만 국내 대기업의 경우 모든 서비스에 보안 설계가 부실하다는 지적이 많다. 생체 인증의 경우 국제표준을 무시하고 부서 협력도 미약한 편이다. 문제(해킹)가 생긴 후에 정신을 차리는 모양새가 일상이다. 스마트키 인증은 통합 신분증을 이용하는 것으로 이해할 수 있다. 2018년 KT 통신구 화재는 생체 인증과 스마트키를 설명하기에 좋은 사례로 볼 수 있다.

스마트 키(Smart Key) 도입하자

최 교수는 스마트키 시스템을 구축해야 한다고 강조한다. 왜 그럴까? 스마트시티와 4차산업혁명은 모든, 새로운 서비스를 연결할 ‘스마트키’를 출발점으로 보기 때문이다. 생체 인증은 스마트폰에서 복합 인증으로 사용하고 신용카드는 ‘다목적 지문 카드’로 만들어 향후 2018~2022까지 200억 장을 교체하는 이유도 이 같은 ‘변화’를 반영한 까닭이다. 비자와 마스터카드(EMV) 진영은 이미 일반 신용카드를 모두 교체하겠다고 선언했다. 또 애플도 2019년 3월에 새로운 ‘애플 카드’를 선언하며, 생체로 인증하는 방식을 이용한다 발표했다.

“5G 시대에 생체 인증을 이용한 ‘스마트키(Smart Key)’를 도입해야 한다. 정전·지진·해킹으로 인터넷이 끊겨도 본인 인증이 가능하기 때문이다. 2018년부터 본격적으로 시작한 사물인터넷(IoT) 기반 스마트 홈, 스마트 카, 스마트 시티 등에 적용할 스마트 키 시스템을 구축해야 한다. 인터넷이 마비돼도 이용자 본인을 인증할 수 있는 전자신분증을 발급해 운영해야 하는 것이 필요하기 때문이다. 문득 생각나는 게 있다. 스마트키 이야기를 하다 보니, 페이스북에서 ‘혼자 걷는 길을 여러 사람을 거쳐서 사람들이 다니는 인도가 된다’는 글을 봤다. 그리고 UN에 있을 때 느낀 것인데, 한국 사람은 국제무대에서 장점이 있다고 생각한다. 다른 국가 직원들은 세부적인 것에 집중해서 전체를 보는 시각이 모두에게 요구되지 않고 일부 시니어에게만 있지만, 한국 사람들은 전체적인 시각을 보는 방법을 직장생활에서 익혀서 상대적으로 장점이 있다고 본다.”

스마트키를 사용하려면 보안과 인증을 빼놓을 수 없다. 하지만 국내 대기업의 경우 모든 서비스에 보안 설계가 부실하다는 지적이 많다. 생체 인증의 경우 국제표준을 무시하고 부서 협력도 미약한 편이다. 문제(해킹)가 생긴 후에 정신을 차리는 모양새가 일상이다. 스마트키 인증은 통합 신분증을 이용하는 것으로 이해할 수 있다. 2018년 KT 통신구 화재는 생체 인증과 스마트키를 설명하기에 좋은 사례로 볼 수 있다.

KT 통신구 화재는 ‘일시적인 통신 불통-정전-인터넷 단절’ 등이 얼마나 중요한 것인지 보여줬고 ‘오프라인 서비스 대책’이 필요하다는 것을 알게 해줬다. 통신구 화재는 전화·인터넷·IPTV 사용 불가, 은행 영업점 전용회선과 현금 자동 입출금기(ATM, Automated Teller Machine) 수백 곳 장애, 신용카드 결제 마비, 의료기관 의료진 전화 불통으로 응급상황 교신을 원내방송 사용, 경찰 통신망 장애 등 불편을 낳았다. 그런데 최 교수는 이 같은 문제는 기존 기술로 대책과 서비스 구현이 가능하다고 말한다.

“IoT 시대에서는 온·오프라인을 넘어 모든 것을 연결해 다양한 서비스에서 사용할 수 있는 멀티인증을 만들어내고, 편리하고 보안성이 높으면서 경제성도 갖춰 가장 활발히 사용할 수 있는 방법이 생체인증, 특히 지문·음성인증이며, 안전한 방법을 지원하는 것이 바로 PKI 인증서 기술로 구현할 수 있다. 이미 설명했듯이 우리가 공인인증서로 사용하고 있는 기술이다. IoT 기반 스마트 홈, 스마트 카, 스마트 시티 등에 적용할 ‘스마트키’ 시스템을 구축해야 하는 이유다. 생체 인증은 온라인은 물론 오프라인에서도 모두 사용할 수 있기 때문이다. 생체 인증은 스마트폰, PC, 노트북, 태블릿, 브라우저에 이르기까지 다양한 곳에서 사용할 수 있다.”

생체 인증과 스마트키를 움직이는 힘 ‘PKI’

2019년은 스마트폰 화면에 지문 인식 기능을 사용할 수 있게 된다. 삼성전자, 애플, 구글 등 모든 스마트폰이 지문 인증을 도입하고 있다. 지문을 여러 개 등록할 수 있고 그 중 특정 등록 지문은 경찰 신고 전용이나 오프라인용으로 지정해서 사용할 수도 있다. 생체 인증과 스마트키를 묶어 온·오프라인에서 사용할 수 있도록 해주는 게 PKI인데, 얼마나 유용할까? 최 교수와 PKI 이야기를 나눴다.

“스마트키를 사용할 때 필수라 할 수 있는 PKI는 무엇인가?”

“PKI(Public Key Infrastructure)는 쉽게 말해 인증서를 만드는 기술이다. 우리말로는 ‘공개키기반구조’라고 번역한다. 1989년 ITU 국제표준으로 정한 후 전 세계에서 정부, 금융, 국제결제망(SWIFT), 우체국 등에서 사용하고 있다. 한국은 2001년부터 인터넷으로 금융 거래를 할 때 비밀을 보장하면서도 거래 당사자 신분을 확인할 수 있게 해주는 보안 기술을 적용해 사용하고 있다. 일반적으로 금융용 공인인증서에 사용하며, 데이터를 암호화하는 방법은 크게 ‘공개키’와 ‘개인키’ 방식으로 구분할 수 있다.

“키를 구분하는 것, 그러니까 ‘공개키는 은행에 보관하고 ‘개인키’는 개인의 스마트폰이나 PC 등에 보관해 보안을 강화하기 위해 쓰는 방식인 것 같은데, 어떻게 작용하나?”

“공개키 방식은 데이터를 암호화하고 이를 다시 풀 수 있는 열쇠가 다르기 때문에 거의 완벽한 보안이 가능하고 정보 유출 가능성을 줄일 수 있다는 이점이 있다. 공개키 암호의 상용화를 위해서는 키의 생성과 인증이 필요하다. 이런 과정을 안전하게 관리할 수 있는 체계를 PKI이고 국제표준을 따르는 기술이다.”

“한국은 인증서를 사용하고 있기 때문에 장점이 있다고 했다.”

“PKI는 공인인증서를 쓰기 위해 채택한 기술이다. 계속 보안 사고가 일어나기 때문에 절차를 세분화했다. 그래서 부정적인 인식도 있는 게 사실이다. 하지만 가장 광범위한 분야에서 오랫동안 활용한 인증 기술이다. 애플페이, 구글페이, 그리고 요즘 AI 스피커나 사물인터넷, 암호화페, 블록체인 등도 모두 PKI를 사용하고 있다. 뿐만 아니다. 온라인 신원 확인, 전자서명, 사물인터넷 기기 인증도 이 기술을 이용한다. 특히 차세대 인증 기술로 손꼽는 FIDO 기반 생체 인증과 PKI 인증서가 융합돼 있어 보안 인증 시장에서 파급력은 더욱 커질 전망이다.”

“한국에 실제 사례가 있나?”

“우리은행은 2017년 8월 홍채 인식으로 공인인증서 암호를 대신해 스마트뱅킹 거래를 할 수 있는 ‘홍채 기반 공인인증서 서비스’를 선보였다. IBK기업은행도 이와 유사한 ‘바이오 정보 기반 공인인증 서비스’를 발표한 바 있다.”

“금융권을 중심으로 잘 하고 있는 것 같다.”

“KB금융그룹도 그룹 통합 사설인증서 플랫폼 구축에 나서는 등 인증서를 준비하고 있는 곳이 늘고 있다. 삼성전자, LG전자 등 대기업도 관심이 많은 것으로 알고 있다. 그런데 개별적으로 할 경우 통신사업자 등 (인증서 외의) 다른 분야 시스템도 구축해야 한다. 따로 따로 만들면 예산은 몇 십 배로 늘어날 수 있다. 2002년 만든 공인인증서는 본래 ‘공동인증서’로 사용하기 위해 구축한 것이다. 여러 여건을 감안할 때 공동으로 이용하는 것이 더 편하다고 판단했기 때문이다.”

“국내 사물인터넷은 인증서가 없어서 후진국으로 전락하고 있는 중이다. 삼성전자는 독자적으로 칩과 인증서를 가전제품에 설치하고 있다. 모든 통신사업자나 중소 사물인터넷 업체는 어디서도 공급을 받고 못하고 있다. 4차산업혁명의 하나로 구축 중인 스마트시티는 온·오프라인 설계 개념 없이 구축 중이며, 생체 인증(음성)과 스마트폰 지문 등 글로벌하게 대중화된 인증 기술이 없다. 현재 스마트폰은 삼성 S9처럼 홍채+안면, 그리고 S10은 음성+지문으로 설계돼 멀티인증이 새로운 추세가 되고 있다. 구글, 아마존의 인공지능 스피커는 집안의 모든 사물인터넷을 이용하기 위해 주인의 ‘스마트폰+스피커+사물인터넷’이 ‘생체인증+인증서(PKI)+사물인터넷(IoT)’이라는 일치점이 있다. 그런데 한국은 업계도, 정부도 모르고 있다. 따라서 일반 시민들은 생체 인증과 TV, 냉장고 등 연결이 늘어날수록 가전제품에 대해서 피로감을 보이고 있다. 그런 만큼 쉽게 연결하고 해제하는 기능이 필요하다. 가장 대중화된 스마트폰의 지문 5개와 주민등록 데이터베이스에 있는 ‘국민 전체의 10개 손가락 지문’을 잘 활용하면 4차산업혁명을 선도하는 국가를 구축할 수 있을 것으로 본다.”

다시, 공인인증서다!

최 교수는 공인인증서를 다시 생각해야 한다는 입장이다. 특히 손가락 지문 10개를 활용한 스마트키를 이용하면 한국은 4차산업혁명을 선도하는 국가를 구축할 수 있다고 본다.

“가장 중요한 점은 글로벌 경쟁자인 구글. 애플, MS, 아마존 등은 이미 2016년부터 사물인터넷에 연결하기 위해 만든 특별한 칩에 PKI를 배포하고, 생체 인증과 결합하는 것을 추진하고 있다. 국내 사물인터넷 업계 대부분은 칩도, 인증서도 없이 스마트시티를 건설 중이다. 그런데 문제는 만들고 나서 생긴다. 글로벌 호환성이 없어서 전체적으로 재구축해야 한다.”

새로 다시 지어야 한다는 말은 무슨 뜻일까. 최 교수의 설명에 따르면, 공인인증서 문제에서 답을 찾아야 한다. 애플, 구글, 아마존, MS 등이 자율주행차, 스마트홈, 사물인터넷 등에 국제표준으로 활용하는 ‘인증서 기술, 즉 PKI라 부르는 공인인증서를 없애고 나면 앞으로 외국에서 사다가 써야 한다는 것이다.

“국내 사물인터넷은 인증서가 없어서 후진국으로 전락하고 있는 중이다. 삼성전자는 독자적으로 칩과 인증서를 가전제품에 설치하고 있다. 모든 통신사업자나 중소 사물인터넷 업체는 어디서도 공급을 받고 못하고 있다. 4차산업혁명의 하나로 구축 중인 스마트시티는 온·오프라인 설계 개념 없이 구축 중이며, 생체 인증(음성)과 스마트폰 지문 등 글로벌하게 대중화된 인증 기술이 없다. 현재 스마트폰은 삼성 S9처럼 홍채+안면, 그리고 S10은 음성+지문으로 설계돼 멀티인증이 새로운 추세가 되고 있다. 구글, 아마존의 인공지능 스피커는 집안의 모든 사물인터넷을 이용하기 위해 주인의 ‘스마트폰+스피커+사물인터넷’이 ‘생체인증+인증서(PKI)+사물인터넷(IoT)’이라는 일치점이 있다. 그런데 한국은 업계도, 정부도 모르고 있다. 따라서 일반 시민들은 생체 인증과 TV, 냉장고 등 연결이 늘어날수록 가전제품에 대해서 피로감을 보이고 있다. 그런 만큼 쉽게 연결하고 해제하는 기능이 필요하다. 가장 대중화된 스마트폰의 지문 5개와 주민등록 데이터베이스에 있는 ‘국민 전체의 10개 손가락 지문’을 잘 활용하면 4차산업혁명을 선도하는 국가를 구축할 수 있을 것으로 본다.”

스마트사회는 온·오프라인 모두 필요

최 교수는 생체 인증 등을 비롯해 스마트키는 앞으로 4차산업혁명을 이끌어가는 핵심 축을 이루는 요소라고 설명한다. 그는 “경주 지진을 예로 들자면, 지진이 나면, 국민들이 겪는 불편을 해결하기 위해 해야 할 일들이 있다”며 “ATM에서 돈도 찾아야 하고, 가게 문도 열어야 하고, 자율주행차도 운전해야 하고, 집안 사물인터넷 장비도 조작할 수 있어야 하는데, 현재 사물인터넷으로 연결된 스마트사회에서 온라인이 중단되면 어떤 일이 벌어질까?”라고 반문한다.

이 같은 문제를 해결하려면 스마트사회는 온·오프라인을 모두 갖추고 있어야 한다고 강조한다. 스마트홈, 스마트카를 비롯해 사물인터넷 장비는 인터넷이 연결돼 있어야 작동하기 때문이다. 갑작스러운 상황에서 혼란과 피해를 막으려면 온라인과 오프라인을 모두 이용할 수 있는 시스템이 필요하다는 것이다.

“스마트사회에서 스마트키는 온라인은 물론 오프라인, 특히 지진이나 재난과 같은 상황에서 사용할 수 있도록 구현해야 한다. 온라인도 오프라인도 모두 필요하다는 뜻이다. 스마트사회의 핵심인 스마트키는 온라인이 중심이겠지만 비상 상황을 대비해 평상시에 거의 사용하지 않을지라도 오프라인 때도 사용할 수 있어야 한다.”

최운호
최운호 교수는 한국, UN, 글로벌 기업 등에서 최고보안임원(CISO)으로 근무한 글로벌 정보보호 전문가다. 공인위험정보시스템통제(CRISC), 국제공인정보시스템 보안전문가(CISSP), CGEIT(Certified in the Governance of Enterprise IT) 등 IT 분야 관련 여러 국제 자격증을 보유하고 있다. 세계정보사회정상회의 2015(WSIS, World Summit on the Information Society 2015), 글로벌 컨퍼런스(ID World, 2012~2015) 기조강연(Key Note Speaker) 등 국내외에서 경험을 쌓은 보안, 결제(Payment), 블록체인, 사이버 테러 예방 전문가다. 도로교통공단 정보보호단장(CISO), 금융결제원, 인터넷진흥원 등 정보 보호 관련 주요 직책을 맡았다. 한국인으로는 최초로 유엔난민기구(UNHCR) 최고정보보호책임자(CISO)를 역임했다. 2012년 유엔 최고정보보호책임자회의에서 ‘OneUNCard’라는 유엔 신분증과 유엔 난민카드 관련 기술을 국제생체표준인 FIDO(Fast IDentity Online)보다 앞서서 설계·제안했다. 2019년 초까지 글로벌 기업인 화웨이에서 CSO로 근무했다. 현재 서강대 기술경영대학원 교수로 재직하고 있다.

함께 읽기

Industry 4.0
2011년 1월, 독일에서 공식 발의한 정책이다. 제조업과 같은 전통 산업에 IT 시스템을 결합해 생산 시설을 네트워크화하고 지능형 생산 시스템을 갖춘 스마트 공장(Smart Factory)으로 진화하자는 의미를 담고 있다. 공식적으로는 2011년 1월에 발의했고, 독일국가과학위원회(Germany’s National Academy of Science and Engineering)는 Industry 4.0을 통해 산업 생산성은 30% 늘 것으로 전망했다. 인더스트리 4.0은 계획수립 당시에는 2035년을 목표로 하였으나 최근에는 이 시점이 좀더 앞으로 당겨질 것으로 예상하고 있다. 최근 연구에 의하면 인더스트리 4.0에 의해 향 후 5년 간 독일 내에서만 1,000억~1,500억 유로의 가치 창출 잠재력이 존재하는 것으로 추정된다.
-자료=위키백과, 산업연구원(김은, ‘인더스트리 4.0 연혁, 동향과 방향 전망‘, 『산업경제』 6월, 2017)

백가쟁명(百家爭鳴)
1956년부터 1957년까지 중화인민공화국에서 전개된 정치 운동이다. 많은 학자나 논객들이 자유롭게 학설을 펴고 논쟁을 말한다. 백화제방(百家争鸣), 쌍백운동(雙百運動)으로 부르기도 한다. 1950년대 후반 동유럽에서 반공주의 운동, 유혈 폭동이 일어나자 이에 자극받은 중국 공산당이 사상의 유연함을 어느 정도 허용해야 한다고 생각해서 1957년 5월 1일부터 인민일보에 사상의 자유를 허용한다는 글을 게재했고 공산당에 대한 비판을 자유롭게 가능하도록 했으나 비판의 수준은 날로 높아졌다. 하지만 38일이 지난 1957년 6월 8일 중국 공산당은 태도를 바꿔 반우파 운동을 주도해 그동안 입을 열었던 비판적 지식인들을 탄압했다. 1966년 5월부터 1976년 12월까지 중화인민공화국에서 벌어졌던 사회상·문화상·정치상 움직임인 무산계급문화대혁명(無産階級文化大革命, 문화혁명) 기간 중 이 운동이 사라졌다가 1976년에 문화혁명 세력을 제거하기 위한 수단으로 문예·학술 분야에서 장려한 바 있다. 자료=위키백과

공개키기반구조(Public Key infrastructure, PKI)
공개 키 암호 방식을 바탕으로 한 디지털 인증서를 활용하는 소프트웨어, 하드웨어, 사용자, 정책 및 제도 등을 총칭해서 일컫는다. 일반적 기능은 △인증서 발급 △인증서 관리 △인증서 배포 △인증서 사용 △인증서 저장 △인증서 취소 △인증서 인증(CA=Certification Authority) △인증서 등록(RA=Registration Authority) △인증서 확인(VA=Validation Authority) 등이다. 자료=위키백과

애플과 새로운 신용카드
최근 애플이 만든 신용카드가 관심을 끌고 있다. 애플의 ‘새로운 신용카드’는 전자화폐 기능은 물론 지문과 얼굴을 이용한 생체 인증을 활용하는 방식이다. 소비자 유인을 최대화한 역사적이고 기념비적인 카드라는 평가가 나올 정도다. 애플 신용카드는 소비자가 사용하면 현금을 적립하고, 모든 수수료를 없앴다. 애플현금결제(Apple Cash Pay)를 적용해 자유롭게 전자화폐 충전할 수 있고, 모든 행위는 지문이나 얼굴로 인증할 수 있도록 했다. 생체 정보는 ‘안전한 저장영역(Secure Element)’에 저장하고 결제할 때는 OTP인 ‘일회용비밀번호코드’(One-Time Dynamic Security Code)로 추가 인증을 적용했다.

인도 전자주민증사업
인도 전자주민증 사업은 4차산업혁명과 스마트키와 잘 어울리는 사례다. 인도 정부는 2010년 11월부터 ‘아드하르’(Aadhaar, ‘기반’을 뜻하는 힌두어) 프로젝트를 추진하고 있다. 아드하르는 약 12억 명에 이르는 전 국민에게 지문·홍채·얼굴 등의 정보를 담은 신분증, 즉 생체인식카드를 발급하는 프로젝트다. 2016년 11월 현재 아드하르 시스템에는 약 10억 명의 지문과 홍채 인식 정보 등이 들어 있다. 본인 확인 조회는 누적 30억 건 이상을 기록하는 등 ‘세계 최대 생체 빅데이터 플랫폼’으로 변모했다. 2020년 인도 디지털 결제 규모는 5,000억 달러(약 500조 원)로 현재의 약 10배에 달하는 규모로 성장할 전망(BCG, 2016.7)이다. 또 인도 내 디지털 결제는 2023년 즈음 현금 거래를 추월하며 고성장을 이어갈 전망이고, 디지털 경제로 변신하기 위해 정부가 적극적인 지원을 함에 따라 디지털 환경이 확산될 것으로 보인다.

미국, ‘No Password’ 선언
미국 정부는 2021년까지 ‘비밀번호 사용 금지’(No Password)를 선언했다. 미국 정부는 오랜 기간 동안 공인인증서 개념을 생체인증과 PKI에 적용한 개인ID인증(PIV, Personal Identity Verification) 기술을 사용해 전자정부, 공무원 신분증, 안전 접속 등에 사용해 왔다. 그러나 국제생체표준 FIDO가 전 세계로 확장·진행되면서 미국, 영국, 캐나다, 중국이 정부 회원으로 가입하고 FIDO 표준과 호환을 선언했다.

About 김종영™ (935 Articles)
사람과사회 발행인이자 편집장이다. ‘글은 사람과 사회며, 좋은 비판은 세상을 바꾼다’는 말을 좋아한다. weeklypeople@gmail.com

Leave a comment