ⓒphoto 최준석 선임기자
ⓒphoto 최준석 선임기자

한국전자통신연구원(ETRI)의 조상래 책임연구원은 2000년 인터넷 공인인증서를 만든 주역 중 한 명이다. 그를 지난해 11월 23일 대전 대덕연구개발특구에 있는 ETRI에서 만났을 때 “공인인증서를 19년 전에 개발했다”는 얘기를 듣자 묘한 느낌이 들었다. 공인인증서는 온라인 상거래 이용을 불편하게 하는 장치로 많은 이용자의 지탄을 받고 있다. 문재인 대통령은 ‘공인인증서 폐지’를 대통령 선거 공약으로 내건 바 있다. 심지어 전임 박근혜 대통령도 공개 회의에서 당시 주무장관에게 ‘올해 안에 액티브X를 없애라’라는 주문을 한 적이 있었다.

공인인증서와 액티브X는 한국의 인터넷 사용자에게는 끔찍한 이미지로 남아 있다. PC 환경에서 온라인 거래를 하기 위해 웹브라우저(인터넷 익스플로러)를 화면에 띄우면 새로운 창이 뜨고 관련 파일을 내려받도록 한다. 이게 액티브X다. 액티브X를 실행하고 공인인증서에 아이디와 비밀번호를 입력하는 절차는 번거롭기 짝이 없었다. 지금도 나무위키 사이트에 가면 액티브X가 상거래를 얼마나 불편하게 했는지를 잘 보여주는 그래픽이 있다. 한국의 상거래 사이트와 미국의 대표적인 상거래 사이트인 아마존닷컴을 비교하는데, 로그인부터 상거래가 끝나기까지 한국은 11단계를 거치는 반면 아마존닷컴은 4단계만 거치면 된다.

조상래 책임연구원에게 ‘박근혜 대통령이 액티브X를 없애라’라는 지시를 했을 때 어떤 생각이 들었느냐는 질문을 했다. 그는 “이런 말 어디 가서 하면 난리 나는데” 하며 겸연쩍은 표정으로 이렇게 말했다. “공인인증기술은 당시에는 매우 앞선 기술이었다. 웹 인증 표준을 만든 미국표준기관(NIST) 사람들도 한국이 그런 기술을 국가적으로 보급했다는 얘기를 듣고 놀랍다는 반응을 보였다.” 그는 “미국은 지금도 공인인증기술을 사용할 수 없다”고 강조했다. 당시 주로 사용하던 웹브라우저인 인터넷 익스플로러는 ‘플러그인’ 기술을 자체적으로 제공하지 않았다. 그래서 웹에서 공인인증기술로 사용하기 위해 당시만 해도 핫(hot)한 기술인 액티브X를 한국이 쓰게 됐다는 것이다.

조 책임연구원에게 ‘미국에서는 액티브X 기술을 사용하지 않아 온라인 상거래를 편하게 하지 않느냐’고 묻자 그는 “나라마다 사용자 아이디 인증 기술이 다르다. 미국은 USB보안토큰을 많이 사용한다”고 답했다. 개인이 USB보안토큰을 갖고 다니면서 온라인 거래 등을 할 때 컴퓨터에 꽂아 쓴다고 했다. 한국은 왜 USB보안토큰을 보급하지 않았을까. 조 책임연구원은 “한국과 미국의 분위기가 다르다. 한국인에게 USB보안토큰을 휴대하고 다니라고 한다면 ‘어떻게 그렇게 귀찮은 일을 하느냐’며 부정적이었을 것”이라고 했다. 그래서 공인인증서 제도가 한국에 보급되었다는 것이 그의 설명이다.

공인인증서는 2000년 전자서명법이 발효되면서 보급됐다. 전자상거래가 확대되면서 안전한 온라인 거래를 위한 사용자 인증 시스템의 구축이 요구되었기 때문이다. 당시 ETRI는 전자서명법 발효를 앞두고 공인인증 시스템을 개발했다. 국가가 필요로 하는 기술을 개발하는 게 정부출연연구기관의 임무이기도 하다. 조 책임연구원은 ETRI가 공인인증 시스템을 개발하는 정부 과제로 분주할 때인 1999년에 입사했다. 그는 영국에 유학, 런던의 임페리얼칼리지에서 공부하고, 석사는 정보보안 연구에 강한 로열홀로웨이대학원에서 마쳤다. 이후 1997년 11월부터 LG종합기술원에서 1년 반가량 일하다가 ETRI로 옮겨왔다. “LG에서 정보보안 연구팀은 소규모였다. 나는 좀더 본격적이고 대규모로 정보보안 일을 하는 곳은 없나 찾아보다가 ETRI가 PKI(Public Key Infrastructure·공개키 인프라) 쪽 인력을 채용하는 걸 알았다. 내가 런던의 대학원에서 관심 갖고 공부한 게 PKI였다. 전화로 물어보니 ‘대규모로 정부 과제를 맡아 하고 있다’고 해서 ETRI에 들어오게 됐다.”

조 책임연구원과 거의 같은 시기에 ETRI에 들어와 PKI 쪽에서 일한 사람이 현재 조 책임연구원이 소속된 정보보호연구본부의 진승헌 본부장 등 4명이다. 기존 연구자 3명을 포함해 모두 7명이 한국의 공인인증서 시스템을 구축했다. 조 책임연구원은 ‘인증기술연구팀’ 소속으로 공인인증서 시스템에서도 이용자 부분, 즉 클라이언트 PC 쪽 일을 했다.

“PKI 기술은 오랫동안 잘 돌아갔다. 그런데 결정적인 변화가 스마트폰 시대가 오면서 일어났다. 2007년 애플이 스마트폰을 내놓자 모바일 장치에서 사용자 인증 시스템이 필요하게 됐다.”

PC 시대에는 공인인증서를 직장이나 집에서 사용했다. 그런데 모바일 시대가 열리면서 스마트폰과 아이패드 등 개인 모바일 디바이스를 네 개씩 쓰는 사람도 생겼다. 공인인증서를 4곳에 깔아야 한다는 얘기다. 그런데 모바일 제품에서는 액티브X가 돌아가지 않았다. 공인인증서를 이리저리 복사해 사용하다가 유출되는 사고도 발생했다. 애플 제품은 액티브X를 지원하지 않아 애플 아이폰 사용자는 전자상거래를 하지 말라는 말이냐는 불만도 제기됐다.

 ⓒphoto 삼성전자
ⓒphoto 삼성전자

모바일이 활성화되던 시기에 조상래 책임연구원은 ‘통합인증(Single Sign On) 기술 개발’이라는 다른 쪽 일을 하고 있었다. 2004년부터 2014년까지 10년간 ‘통합인증’ 기술을 개발했다. 한 번의 로그인으로 신분(아이디)이 확인되면 여러 사이트에 들어가 이용할 수 있는 기술이 ‘통합인증’이다. 가령 대기업 계열사 사이트를 한 번의 로그인으로 모두 사용하게 하는 식이다. 롯데그룹의 롯데쇼핑, 롯데호텔을 한 번의 로그인으로 사용할 수 있다면 그게 ‘통합인증’이다.

통합인증에 동원되는 신기술은 FIDO(Fast IDentity Online). 그가 이 신기술을 처음 만난 건 2014년 5월이었다. 새로운 인증 기술을 찾다가 FIDO 표준 초안을 인터넷에서 발견했다. FIDO협회는 미국 실리콘밸리의 새너제이에 있고, 온라인에서 바이오(생체)인식 정보 표준을 만들자는 목표로 관련 업계 중심으로 2012년 발족했다. “FIDO 표준 초안을 보는 순간, 이것이 인증 기술을 완전히 바꾸겠다는 걸 확신했다. 혼자 연구를 시작했다. 그리고 같은 해 12월 FIDO 1.0 표준이 발표되면서 모두 5명이 팀을 꾸렸다. 이후 내가 기술개발책임자로 계속 일하고 있다.”

조상래 책임연구원에 따르면 당시 지문인식, 홍채인식, 얼굴인식 등 소위 바이오 인식정보 기술 등은 이미 시장에 나와 있었다. 문제는 온라인 거래 사용에 한계가 있다는 점이었다. 지문이나 홍채 정보를 사용하려면, 서버에 사전등록된 바이오 정보와 사용자가 매번 기기에 입력하는 정보가 일치하는지 확인해야 한다. 사용자의 지문과 홍채 정보가 관련 기관이나 업체의 서버에 저장되어 있어야 한다는 얘기다. “생각해보라. 주민등록번호가 유출되면 얼마나 파장이 큰가. 지문이나 홍채 정보가 유출되었다고 해보자. 그건 주민등록번호보다 파장이 클 것이다. 주민등록번호나 주소지는 여차하면 변경할 수 있으나, 바이오 정보는 변경할 수도 없다. 유출 우려 때문에 바이오인증 기술이 온라인에서 사용되지 못했다.”

그런데 FIDO 1.0 기술은 바이오 정보의 유출과 같은 일이 아예 없도록 만들었다. 지문이나 홍채 정보를 아예 서버에 저장하지 않기 때문이다. “바이오 정보 인증 과정의 앞단과 뒷단을 분리시킨 게 FIDO의 특징이다. 사용자를 인증하는 로컬 인증 부분인 ‘앞단’과, 스마트폰을 통해 서버와 프로토콜을 주고받으며 사용자를 인증하는 ‘뒷단’의 연결고리를 끊었다. 뒷단은 여전히 PKI 기술을 쓴다.”

FIDO 기술을 채택한 회원사들. ⓒphoto FIDO
FIDO 기술을 채택한 회원사들. ⓒphoto FIDO

바이오인증 기술 PC에도 적용

조상래 책임연구원이 설명하는 FIDO의 새로운 인증 프로토콜 개념은 알쏭달쏭했다. 그는 “FIDO가 내놓은 스펙 내용이 매우 난해하다. 내가 그걸 이해하고 한국 인증 업계를 대상으로 앞으로 FIDO로 간다고 설명하고 다닐 때도 사람들이 개념을 이해하기 힘들어했다”고 말했다.

조 책임연구원은 2014년 5월 FIDO 초안을 발견했을 당시 BC카드와 모바일 신용카드 결제 서비스를 개발하고 있었다. 조 책임연구원은 BC카드와 FIDO를 통한 전자상거래 서비스를 개발, 몇 달간 시범 서비스하는 데 성공했다. FIDO 1.0 표준이 나온 뒤에는 동료 4명과 팀을 꾸리고 본격적으로 기술 개발에 들어갔다.

“힘든 시기였다. 삼성전자가 갤럭시6 출시를 앞두고 있을 때였는데 여기에 FIDO 기술을 얹을 수 있도록 해야 했다. 삼성은 삼성페이를 국내에 내놓으면서 바이오인증 서비스를 하려고 했다. 수원에 있는 삼성전자 개발팀과 연락을 하면서 FIDO 기술을 완성하기 위해 많은 날 땀을 흘려야 했다. 갤럭시에 FIDO 기술이 쉽게 붙지 않았기 때문이다.”

FIDO협회는 FIDO 1.0 표준을 내놓고 반년도 지나지 않은 2015년 4월 첫 번째 상호운용성 실험을 했다. 한국에서는 ETRI, 삼성전자가 참가했다. 사용자 인증 서버, 사용자 인증 장치, 사용자 인증 클라이언트를 만든 기관이나 기업이 참여한 것이다. FIDO 1.0 표준에 맞춰 개발한 기술이 서로 통하는지 확인하는 자리였다.

“ETRI가 개발한 인증 서버가 상호운용성 실험을 통과해 FIDO로부터 인증서를 받았다. 그 기쁨은 말로 할 수 없었다. 한국에서는 ETRI가 선도해서 개발한 기술이다. 이후 국내에 기술을 보급했다. 특히 ‘삼성페이에 붙여 잘 돌아간다’고 설명하니까 FIDO 기술을 받아들이는 데 아무런 문제가 없었다.”

조상래 책임연구원은 2015년에만 국내 업체 10곳에 FIDO 기술을 이전했다. 분주한 나날이었다. 지금은 FIDO2 기술이 나와 그것에 대응하기 위해 분주하다. 1.0에서 업그레이드된 기술인 FIDO2 표준은 지난해 8월 나왔다. 이는 모바일을 넘어 PC 환경에서도 FIDO 기술을 사용할 수 있게 만든다. 노트북이나 PC에서 바이오인증 기술을 사용하는 것이다. 비밀번호를 입력하는 기존의 방법보다 훨씬 편하게 사용할 수 있게 하자는 취지다.

조상래 책임연구원은 “새로운 원천기술을 개발한 건 아니다. 하지만 국제 기술의 흐름을 빨리 파악해 한국에 보급해왔다는 자부심이 있다”고 말했다. 그는 “공개키인증(PKI)과 FIDO 두 개의 개인정보인증 기술을 국내에 보급하는 데 기여했다고 생각한다. 나이 든 선배들은 PKI로, 그 뒤 세대는 FIDO로 나를 기억할 것”이라고 말했다.

최준석 선임기자
저작권자 © 주간조선 무단전재 및 재배포 금지