실패했다고평가돼전체가실패한것처럼평가받는것은안타까운현실이다. 2002년보급당시에는좋은 기술이었고, 지금도 당장 추방해야할정도의기술은아니다.그럼에도불구하고공인인증서자체가 공공의 적인 것처럼 생각되는이유를객관적인시각으로분석하고반성할필요가있다.그이유는다음과같다.

공인인증서도입의한계■비표준기술사용공인인증서를담아보급한 기술이 MS 기술에의존적이고비표준 기술이었던액티브X였다. 당시당국은 특정 회사의비표준기술에집중하는 것이 얼마나 위험한도박인지 인식해야 했다.결과적으로공인인증서는단기적인 성과를 거뒀다는 점은 분명하다. 액티브X는 국가적으로 선택하기에는 가장 열악한기술인셈이다.

■진화발전계획전무

대체기술이 불분명한 시점에서 비표준기

술사용은충분히이해할수있다. 그러나

공인인증서와 그 매체인 액티브X를 채택

할 시작단계부터 분명한 진화발전 전략이

필요했다.영구적인기술은없다.더군다나

인증시스템은자물쇠를만드는기술이다.

■시장경쟁구조의철저한배제인증체계를 표준화하는 것은 산업발전을위해 당연한 일이다. 그러나 마찬가지로시장경쟁구조를 배제한 표준화는 필연적실패를 야기한다. 금융당국은 시장경쟁을철저히 배제한 채 전문영역별로 소수의사업자에게공인인증기관으로서의독점적

지위를 부여했다.독점 사업자들은기술 개발이나 적극적 마케팅의 동기가 부여되지 않는다.

공인인증서와 관련해 공인인증서를 사용하는 인증기

술의 글로벌 시장 진출 시도가 없었다는 점은 가장 아쉽다. 많은 전문가가2000년대 초 당시로서는 공인인증서가상당히진보된기술이었으므로글로벌시장 진출과 함께 세계적 표준화도 가능했을것이라는데동의할것이다.정부의편의에 따라 지정된 사업자들은 기술 개발이나 글로벌 시장 진출 등에는 소극적일수밖에없었다.

■기술규제의문제기하급수적으로 발전하고 있는 기술발전을법이따라가는것은한계가있다. 대부분의 하이테크 기술발전은 진화적 개혁(Evolutionary Innovation)이나혁명적개혁(Revolutionary Innovation) 두가지형태로 변화하는 특성을 갖는다. 진화적 개혁은 점진적이고 존속성인 반면 혁명적개혁은급진적이며와해성이다.이러한기술 개혁에 의해 과거의 기술은 폐기되는

특성을갖고있으므로모든법규제는기술중립적이어야 하고 동시에 자동일몰적이어야 한다. 또한 새로운 방식의 하이테크 기술 진입을 위해 네거티브 방식으로규제돼야 한다. 공인인증서는 기술의존적이었고, 일몰하지도 않았으며, 포지티브방식으로 규제해 모든 형태의 개혁을 차단했다.

시장친화적이고,기술중립적인정책과거의 뼈저린 실패를 생각해볼때 현재 금융당국이 추진하는 비대면실명확인제도의 허용 정책은상당히긍정적인부분이있다. 과거와는 달리 금융당국이 매우 시장친화적으로움직이고있어서다.금융위원회는지금까지허가된본인인증기관만이 할 수 있었던 본인인증사업을유권해석을통해본인인증기관이아닌기관도허용할수있도록했다.과거소수의독점기관에 의해 반시장적이고, 반기술혁신적으로형성돼있던시장이

K뱅크와 카카오뱅크가 인터넷 전문은행 예비인가를 획

득했다.인터넷전문은행은무점포혹은극소수의물리적인영업점을가지고운영비용을획기적으로절감하면서지역적한계없이업무영역을확보하는비즈니스모델이다.인터넷전문은행은오버헤드를대폭줄임으로써대출금리를낮추고예금금리를높이는등경쟁력을갖출수있게된다.비대면인증의안정적구현이성공적비즈니스모델로정착할수있는지름길이다.

금융기술산업발전을위한금융당국의의지인터넷전문은행예비인가를받은K뱅크는발빠르게비대면인증의혁신을이루겠다고선언했다.K뱅크는애플리케이션이나 ATM에서신분증사본을제출한뒤영상통화를 하고, 동시에 스마트폰 단말기

와유심(USIM)의고유번호를이용해고객이입력한정보와통신사의인적사항이 일치하는지 자동으로확인 절차를 거치면 간단히 계좌개설을할수있도록하겠다고밝혔다. 또한 금융거래 시 안면-음성-홍채인증과 신용카드를 이용한인증등을공인인증서대신사용할수있는비대면인증수단으로제시했다.이와는별도로핀테크사업자들과금융권들은이미비대면인증으로사용하는것도있고,또새로운방식의 솔루션을 속속 출시 중이다.이러한업계의움직임을제도적으로뒷받침하기위해금융당국은유권해석을 통해 신분증 사본 제출,영상통화,접근매체전달시확인,기존계좌활용,기타이에준하는생체인증등의새로운방식중에서두 가지를 의무 적용하도록 했다.이에추가로휴대폰인증등타기

관확인결과를활용하거나다수의개인정보검증을포함할것을권고했다.이번권고안은금융기술과산업을발전시키고야 말겠다는 금융당국의강력한의지를확인할수있다는 점에서 매우 고무적이다. 그러나보안성이담보되지않은비대면인증은자칫국가적재앙을초래할수있어우려섞인목소리가나오는것도사실이다.이런점에서금융당국의권고안과함께눈에띄는것이있다.비대면실명확인을위한한국은행과금융결제원의주축으로은행권이참가해만든‘바이오 인증 표준 규격(안)’이다. 이들의표준안을금융당국이제도적으로 채택하는 것은 어떤 장단점이있을까.사실상공인인증서는실패한기술이아니다.어느정도초기목표한바는 달성했으나 몇 가지 점에서

5555www.koscom.co.kr5544 Financial IT Frontier·2016 NEW

Financial ITPolicy

비대면인증제도의성공적정착을위한제언견고한보안성을담보로하지않으면위험해지는비대면거래. 이에금융당국이권고안과함께표준안을내놓았다. 기술중립의위치에서벗어나지않을때시스템의안정은더욱가속화할것이다.

글이영환건국대학교금융IT학과교수

과거의뼈저린실패를생각해볼때현재금융당국이추진하는비대면실명확인제도의허용정책은상당히긍정적인

부분이있다.

신한은행본점에서2일열린비(非)대면실명확인시연회에서임종룡금융위원장(왼쪽)이조용병신한은행장(오른쪽)과함께손바닥정맥인식본인인증서비스를선보이고있다.

변화를 통해 새로운 비대면 인증기술을 적극적으로 개발하고, 소개할수있도록하는조치다. 이를계기로 금융회사들에는 시장점유율 확보를 위해 합종연횡하며 새로운 개념의 비대면 인증기술에적극투자하고경쟁하는동기부여가될것이다. 두번째로금융당국이기술중립적정책을 펴고 있다는 것이다. 금융당국은지난1년여동안기회가있을때마다비대면실명인증을허용하겠다는입장을표명하며금융회사와핀테크기술개발업체들이신기술에 도전해 시장에 진입할 수있는토양을제공해왔다. 과거힘과 정치적 논리에 의해 결정하던기술종속적인입장과판이하게다른 형국이다. 결과적으로 많은 기술이개발돼국제콘테스트인시티모바일챌린지에서한국의기술이좋은성적을낸것은의미가있다.과거와는다른기술중립적인정책덕분이다. 세번째로금융당국이신분증사본과기존계좌활용을전제로비대면실명확인방침을정했다는것이다. 이는 금융당국의 신중한 입장을나타내는것으로최근월스트리트저널을통해알려진대로미국에서560만개의지문이이미해킹되고애플페이를통한사기거래가6%에달한다는것을고려할때다소조심스러운당국의입장이십분수긍된다. 애플페이는편의성을극대화하고동시에일회용비밀번호를 사용해 보안성을 높였다. 그럼

에도불구하고기술외적인부분에서탈취한개인정보를확보하고있는사기범은신용카드를신규발급받아 사용하는 일이 가능하다. 이는거의모든시나리오를완벽하게고려하지못했다는약점이노출된것이다. 여러 가지 촉망되는 하이테크기술이발표되고있음에도신중한입장을취하는당국의상황을이해할수있게된다.

FIDO 표준안의의미그러나 이같이 다수의 긍정적인측면에도불구하고금융당국의정책에우려할만한점이있다는것도사실이다. 그중첫번째는당국의 각종 규제가 아직도 관행적으로포지티브방식으로취해지면서네거티브방식을사용하겠다는당국의 의지가 사라진 것은 아닐까하는의구심이든다는점이다. 특

히인터넷전문은행선정과정이나2016년 1월말부터시행되는지분투자형크라우드펀딩법규시행과관련해 생각해볼 때 관행적인 포지티브 방식이 얼마나 많은가 하는 점을 실감할 수 있다. 예컨대자본금 및 인적·물적 여건과 함께영업행위까지도깨알같이적시하고있다.이를테면 크라우드펀딩 사업자는SNS에서단순링크가아닌방법으로 청약 권유를 한다면 불법이다.이렇듯포지티브방식을탈피하겠다는천명과는달리과거의방식으로그대로회귀하는부분들이여러곳에서보인다. 포지티브규제로의회귀는비대면실명확인과관련해서도 포지티브 형식의 규제가 될수 있어 우려되며, 또한 포지티브규제를펴는순간또다른공인인증서의 전철을 밟는 것이 아닌가하는걱정때문이다. 이와 관련해우려되는또한가지는비대면인증표준안으로국내외에서만들어지는표준안이다. 그중하나가페이팔, 레노보, 구글, 삼성등 국제적 기업들의 연합체인FIDO(Fast Identity Online) 표준안이다. FIDO 표준안은서비스사업자가소유한서버에저장하기보다개인이소유한단말기에개인키를저장하고서비스사업자와의통신에는공개키를이용하는방식을채택하고 있다. 이와는 달리 국내에서는서비스사업자나개인단말기등여러곳에분산저장하고, 제3자인증(TPA) 서비스를이용하는

방식을 제안한 바 있다. FIDO의표준안은국제적표준안이라는큰장점이 있다. 문제는 개인이 키를소지하고있으므로금융기관간정보공유가쉽지않다. 반면한국은행과금융결제원등이만들어낸바이오생체인식표준안은금융기관간정보공유가쉽도록분산저장하는방법을사용하므로정보공유가원활할수있다. 금융당국이 두 가지 표준안에대해특정표준안을 지정하는것은공인인증서에서 경험한 실패를 다시 범할수 있다. 금융당국은 기술중립적인입장을고수하면서시장에서두가지방식이사용될수있도록하고, 시장이더나은솔루션을선택할수있도록 생태계를 유지하는 것이절대적으로 중요한 시점이다. 왜냐하면 또 다른 공인인증서와 같은뼈아픈실패를할수없기때문이다. 게다가두가지표준안이생체특징에 기반한 비대면 인증을 하는반면 생체 행위에 기반한 비대면인증이오히려좀더나은새로운인증기술로각광받고있다는점도간과할수없다. 두가지표준안보다 오히려 행위기반 인증 표준안이 나온다면 더욱 안전한 솔루션으로 글로벌 표준이 될 가능성도있는것이다.

결론적으로최근비대면인증시스템을정착시키기위한금융당국의정책은매우긍정적이다. 그럼에도불구하고 포지티브 규제방식으로돌아가지않기위한노력과기술중립적위치를벗어나지않는금융당국이 되길 바라는 바다. 공인인증서의뼈아픈경험을반복하지않도록노력해야만하는시점이다.금융당국이 기술중립적 위치를

벗어나지 않는다는 것은 금융회사들에게어려운선택을강요한다. FIDO가내세우는글로벌표준과 한국은행과 금융결제원이 내세우는 국내표준은 둘

중 어느 것도 포기할수 없다. 또한 기술적으로 우

월하므로 미래기술로 생각할 수있는생체행위에기반한인증시스템도 당연히 도입을 검토해야 할대상이다. 모두다장단점이있다.그런 점에서 금융회사의 대응 전략은매우중요하다. 게다가이제는 금융회사들이 타율적이 아닌자율적 전략이 설정되어야 하는시점임을 인식하는 것도 매우 중요하다. 따라서 금융회사들은 자체적으로본인인증기술및시스템진화발전계획을설정하고신중하지만명확하게 장단기적인 전략을 세우고대응하는 것이 가장 필요한 시점이라고할것이다.

5577www.koscom.co.kr5566 Financial IT Frontier·2016 NEW

Financial ITPolicy

비식별확인키가인증용은행간호환키

자료: 금융결제원

바이오정보시스템

규격분류

금융회사주도

[서버온]바이오정보복수서버저장

[티켓온]바이오정보들서버와디바이스에나누어저장

[센서온]바이오정보

디바이스에저장

개인주도

금융당국이기술중립적위치를벗어나지않는다는것은

금융회사들에게어려운선택을강요한다.