빠르면 오는 7월부터 공인인증서 없이도 인터넷 뱅킹을 할 수 있다.

국무총리실과 방송통신위원회, 금융위원회 등 관계 부처는 31일 '전자금융거래 인증방법 안전성 가이드라인'을 확정했다. 이에 따라 금융기관이나 전자상거래 관련 기업이 공인인증서 외에 SSL(암호통신기술), OTP(1회용 비밀번호 발생기), SSM(단문메시지), 아이핀, 생체인식 등 다양한 인증 기술을 도입할 수 있는 길이 열렸다.

전자결제 인증방식 선택권 금융기관으로 넘어가

이는 지난 3월 31일 당정협의에서 모든 금융거래에서 공인인증서를 의무적으로 사용하도록 한 규정을 10년 만에 고치기로 한 데 따른 것이다. 당장 MS '액티브엑스'에 묶인 공인인증서는 MS 인터넷익스플로러를 제외한 다른 웹브라우저에선 사용할 수 없고, 아이폰 등 스마트폰을 통한 모바일 전자결제 활성화에도 걸림돌로 작용했다.

이날 확정된 가이드라인에 따르면 금융기관이나 전자금융 사업자는 기술 중립성 원칙에 따라 각자 전자금융거래에 적합한 인증방법을 자율적으로 고를 수 있다. 또 이들 업체가 선택한 인증방법이 안전한지 여부를 평가할 '인증방법평가위원회(아래 평가위원회)'도 금융감독원에 두기로 했다.

평가위원회에서는 ▲ 이용자 인증 ▲ 서버 인증 ▲ 통신채널 암호화 ▲ 거래내역의 무결성(위변조 여부 확인) ▲ 거래내역 부인 방지 등 5가지 기술적 요건을 고려하여 안전성을 평가한다. 다만 전자금융거래 방식이나 거래 한도 등에 따라 기술적 요건들을 선택적으로 적용할 수 있다.

예를 들어 5가지 가운데 이용자 인증, 서버 인증, 통신채널 암호화 등 3가지 요건만 갖춘 인증방법도 거래 한도에 따라서는 안전성 평가를 받아 금융 거래를 할 수 있다. 위원회에서는 전자금융거래 유형별 보안 강도, 신규 인증방법 보안 등급 등 세부평가기준을 마련해 공개하도록 했다. 금융감독원에선 평가위원회뿐 아니라 다른 공인 기관의 평가를 거친 인증방법도 보안성 심의를 간소화하기로 했다.

공인인증서 없는 전자결제, 유선에서도 가능할까

당장 모바일 쪽에선 다양한 인증방법이 도입될 것으로 보이나 유선 쪽 전망은 엇갈린다. 지난 10일 국회 정책토론회에 참석한 국민은행이나 BC카드 등 금융기관 실무자들은 이미 기존 공인인증서 체제에 막대한 투자가 이뤄진 상황에서 다른 인증 방법을 도입하기는 어렵다고 밝혔기 때문이다.  

홍진배 방통위 인터넷정책과장은 "이번 가이드라인은 스마트폰으로 구현하는 기술적 어려움을 해소하려는 목적이 강하기 때문에 유선쪽 인증 기반까지 바꾸는 건 제한적일 것"이라고 전망했다.

반면 공인인증서 의무화 폐지를 꾸준히 주장해온 '오픈웹' 대표 김기창 고려대 교수는 "당장 스마트폰 통한 전자결제부터 시험적으로 적용되겠지만 모바일에서 공인인증서 없어도 편하다는 인식이 퍼지면 곧 유선 환경으로도 옮겨갈 것"이라고 전망했다. PC 환경과 동일한 스마트폰 특성상 유무선간 기술 장벽은 무의미하다는 얘기다.

한편 김기창 교수는 이번 가이드라인에 대해 "유무선 관계없이 서비스 제공자 스스로 가장 안전하고 유리한 방법을 자율적으로 선택할 수 있도록 한 걸 높이 평가한다"면서도 "이제 공은 그동안 법적 근거도 없는 보안성 심의제도로 다양한 인증 기술 발전을 막아온 금융위원회와 금감원으로 넘어갔다"고 밝혔다. 지난 10년 공인인증서를 강요해온 것처럼 금융기관의 자율적 선택에 금융감독당국이 참견해서는 안 된다는 일종의 경고다.   

금융위와 금감원은 6월 중 전자금융감독규정과 전자금융시행규칙 개정을 마무리한 뒤 7월부터 평가위원회를 구성해 금융기관 등이 요청하는 인증방법을 평가할 예정이다.