간편인증서가 공공, 금융시장에 진출하면서 공인인증서를 쓰는 일은 확 줄었다. 페이코 인증서도 그중 하나다. 지난 8월 첫 전자서명인증사업자로 이름을 올렸다. 경쟁사들을 제치고 가장 먼저 공인 자격을 받았다.

페이코 인증서는 공공분야 전자서명 시범사업자로 시작해 전자서명인증사업자까지, 인증서 계의 엘리트 코스(?)를 밟은 대표주자다. 경쟁사보다 더 부지런하고 꼼꼼하게 움직인 결과다. 간편결제를 하던 페이코가 인증서 서비스로 사업을 확장한 이유는 무엇일까. 그리고 ‘1호’라는 타이틀을 얻기 위해 어떤 노력을 했을까. 진우미 NHN페이코 페이코인증센터장을 직접 만나 들어봤다.

진우미 NHN페이코 페이코인증센터장

페이코인증서 얘기에 앞서, 전자서명인증이 무엇인지 간단하게 소개해달라.

전자서명인증 서비스는 본인인증을 전자서명을 통해 하는 것이다. 쉽게 말해, 현실에서 본인이 맞다고 종이에 서명하는 것과 같이, 온라인에서 본인이 맞다고 전자서명을 하는 것과 같은 원리다. 전자서명을 하면 사용자가 특정 행위에 대해 부인할 수 없다. 전자서명 값에는 사용자가 언제, 무엇 때문에 서명을 했는지 내용이 들어가기 때문이다. 이런 전자서명인증 서비스를 하는 곳이 전자서명인증사업자다.

간편결제 사업을 하는 페이코가 인증서를 만들게 된 계기는 무엇인가?

모회사인 NHN은 계열사들이 많다. 계열사 대부분이 사용자들에게 휴대폰 인증을 제공했는데, 이때 인증 수수료 비용이 꽤 들어갔다. 내부적으로 수수료 비용절감을 위해 어떻게 해야 할지 고민한 끝에 자체인증서를 개발하기로 했다. 인증서가 기술 기반인 만큼 만들어놓기만 하면 계열사들이 무료로 쓸 수 있다고 생각했다. 그렇게 2019년 페이코 인증서 태스크포스팀(TF)을 신설, 본격적인 개발에 착수했다. 약 1년 4개월 간의 개발 끝에 페이코 인증서를 만들었다.

페이코 인증서를 NHN계열사뿐만 아니라, 공공서비스에도 사용할 수 있는 것으로 안다.

그렇다. 작년 12월 (공인인증서의 독점적 지위를 폐지하는 내용의) 전자서명법 개정안 시행을 앞두고, 정부에서 연말정산 인증서에 대한 고민이 있었던 것으로 안다. 정부에서 여러 업체 중 보안, 기술적으로 문제가 없는 간편인증 사업자들에게 공공분야 인증 서비스를 제안했다. 당시 공공분야 전자서명 시범사업 후보사업자였던 페이코 인증서는 제안을 신청, 통과해 국세청, 정부24 등 공공기관에 서비스를 시작했다.

그렇다면 어떻게 ‘1호’ 전자서명인증사업자가 됐는지?

올 초 마이데이터 가이드라인이 나왔다. 통합 표준 API 규격을 보면, 전자서명인증사업자의 인증서도 마이데이터 서비스에 들어갈 수 있다고 명시되어 있다. 당시에는 마이데이터 서비스가 7월 시행 예정이었기 때문에 빨리 준비해야겠다고 판단했다. 곧바로 평가기관의 심사를 받았고 약 4개월만인 지난 8월, 1호 전자서명인증사업자가 됐다.

1호 사업자가 되겠다는 목적이 있었는지?

1호 전자서명인증서비스를 목적으로 준비한 것은 아니지만, 다른 기업들보다 어느 정도 준비가 됐었기 때문에 빨리하면 1호가 될 수 있을 것이라는 생각은 들었다. 다행히 심사 과정에서 큰 변수가 없었고, 1호라는 타이틀을 얻게 됐다. 덕분에 페이코를 몰랐던 분들도 많이 알게 되고 사업적인 효과도 보고 있다.

매번 큰 어려움 없이 모든 심사에 통과한 비결이 무엇인가? 아마도 1호가 된 비결일 것 같기도 하다.

사설인증서가 처음 나온 시기 만해도 사설인증에 대한 법적 기준이 전혀 없었다. 기술 규격, 법적 규약 등이 없는 대신, 인증기관이 모든 책임을 지고 서비스하면 됐다. 그래서 당시 어떤 인증기관에서는 3개월 만에 서비스를 만들기도 했다.

반면, 페이코가 인증서를 개발하기까지 약 1년 4개월이 걸렸다. 다른 업체들에 비해 시간이 걸린 것은 인증센터부터 만들었기 때문이다. 즉, 모든 것을 공인인증서 정책을 기준으로 했다. 공인인증서가 사용한 기술, 정책을 기반으로 센터를 운영하고 서비스를 개발했다. 아마도 이 부분이 심사 과정에서 플러스 요인이 된 것 같다. 당국에서도 “이렇게 만든 사설기관이 없었다”며 좋게 봐주셨다.


보안 강도가 높은 공인인증서를 기준으로 정책을 만드는 과정에서, 어떻게 보안성과 편의성을 모두 가져갈 수 있었는지?

몇 가지 포인트가 있다. 기존 공인인증서의 경우 PC에서 발급해 휴대폰으로 가져오거나 이동식저장장치(USB)를 통해 인증서를 옮길 수 있다. 반면, 페이코인증서는 휴대폰을 기반으로 페이코 앱에서 인증서를 발급한다. 이때 보안을 위해 휴대폰 품종번호를 활용해 본인확인을 진행한다. 본인이 맞다면 페이코 앱의 비밀번호를 한 번 더 입력해 보안을 강화했다.

또 기존 공인인증서의 비밀번호는 문자, 숫자 등을 조합해 설정해야 했다. 하지만 페이코는 패턴 인증방식과 생체인증을 택했다. 페이코 앱에서 설정한 비밀번호 대신 패턴, 생체인증을 택한 것은 비밀번호가 노출될 경우를 고려했다.

굉장히 섬세한 관점에서 보안을 설계하신 것 같다. 페이코 인증서에 접목된 기술적인 특징이 있나?

블록체인 기술을 접목했다. 이를 기반으로 사용자가 인증서 발급이력과 이용내역을 확인할 수 있도록 했다. 지금도 페이코 인증서에 들어가면 인증서 이용내역을 볼 수 있다. 또 이용내역 하단에는 블록체인 주소도 함께 기재되어 있다.

발급이력, 사용내역에 블록체인 기술을 접목한 이유가 있나?

인증서를 삭제하면 사용자는 다시 기록을 확인하기 어렵다. 다시 보기 위해서는 관련 기관에 신청해 확인해야 한다. 반면 블록체인에 이력을 올려놓으면 평생 볼 수 있다. 사용자들에게 데이터에 대한 투명성과 언제든 확인할 수 있는 편의성을 제공하기 위해 도입했다.

주 사용자 층은 어떻게 되나?

간편결제 페이코 앱은 2030세대 사용자가 많다. 2030세대가 60%, 40대가 20% 정도의 비율이다. 페이코 인증서를 발급한 사용자 층을 조사해보니, 역시 20대~40대가 70% 정도 됐다. 사용처는 주로 공공기관으로 재난지원금, 정부24, 건강보험공단, 국민비서, 홈택스, 한국장학재단 등이다.

연말정산 등 대규모 사용자들이 한 번에 몰릴 때에는 인프라 관리를 어떻게 하나?

작년에 연말정산 서비스를 준비하면서 성능 테스트를 했다. 5차례 정도 테스트를 진행했고, 부족한 부분은 서버를 투입해 안정화시켰다. 아직까지 과부하로 인해 서비스가 중단된 적은 없다.

최근 백신접종 인증서 서비스가 활발하다. 페이코 인증서도 계획이 있는지?

정부에서 직접 백신접종 인증서 대상 사업자를 선택한 것으로 안다. 페이코 인증서도 서비스를 할 수 있는 요건이 충분하다. 정부에서 백신접종 인증서를 추가하겠다고 해서 현재 얘기 중이다.

페이코 인증서, 마이데이터 통합인증기관이라고 들었다. 어떤 서비스를 하는 것인지?

페이코가 마이데이터 사업자이기도 하지만, 통합인증기관이기도 하다. 마이데이터 서비스 시, 사용자가 흩어진 자신의 금융 정보를 가지고 올 때 본인인증을 해야 하는데, 이때 인증 서비스를 제공하는 곳이 통합인증기관이다. 현재 금융기관 11곳과의 연동을 준비하고 있다.

마찬가지로, 마이데이터 통합인증기관을 위한 준비를 빨리 시작했다. 당국이 마이데이터 API 연동 규격을 만들 때 참여했었는데, 그러다보니 빨리 준비를 할 수 있었다.

여러 측면에서 페이코 인증서가 꽤 부지런한 것 같다. 앞으로의 계획은 무엇인가?

전자서명인증 사업자 평가는 매년 이뤄진다. 즉, 매년 자격을 연장해야 하는 구조다. 통과하지 못할 경우 공공이나 금융에서 서비스를 할 수 없다. 앞으로 꾸준히 전자서명인증 사업자 자격을 유지하는 것이 목적이다. 또 새로운 인증기술, 보안기술을 만들어 순차적으로 제공할 예정이다. 개인인증 뿐만 아니라 사업자인증도 간편인증 서비스를 제공할 수 있도록 준비하고 있다.


글. 바이라인네트워크
<홍하나 기자>0626hhn@byline.network


--------------------------------------------------

[바이라인플러스 10~11월 무료 웨비나 ]

  • 제조공장, 산업기반시설 ‘OT/ICS 환경 보안’ 방안 2021 👉  사전등록 
  • 적용사례를 통해 쉽게 이해하는 프로세스 마이닝, 프로디스커버리 👉  사전등록 
  • WAF와 SWG 기반 웹 보안, 비업무 사이트 차단과 웹 애플리케이션 제어 👉  사전등록 


이전레터 보기