불멸의 공인인증서, 드디어 죽다
안돼, 그건 부활 주문이야!
드디어 공인인증서가 죽었다.
그동안 엄청난 탱킹을 자랑하던 공인인증서가 폐지된 것이다.
이 공인인증서는 1999년 일반인은 전혀 알 필요가 없는 X.509 v3 기반으로 만들어진 전자서명을 위한 도구이다.
인터넷 뱅킹을 이용하기 위해 발급받다보면 yessign이라는 곳에서 발급받을 텐데
이 곳이 바로 나의 2019년도 주적이었던 금융결제원이다.
전자서명법 개정되고 나선 신규 발급을 할 순 없지만..
오늘은 이 강려크 그 자체인 공인인증서의 사망 플래그에 대해 알아보자.
ActiveX의 등장
사용자에게 진정한 고통을 주는 것은 공인인증서의 존재가 아니라 공인인증서의 사용을 위한 ActiveX다.
이 ActiveX는 놀랍게도 우리의 상식과는 달리 윈도우에 종속된 기술이 아니다.
다만 대부분의 컨트롤 파트가 x86 CPU 기반으로 컴파일되면서 Windows API에 의존성을 가지고 있을 뿐이다. 그래, 똑같은 말이다
아무튼 이 ActiveX를 쓰게되면 금융 거래상의 책임을 개개인에게 전가할 수 있게 된다.
기업체 입장에선 매우 좋은 시스템이라고 해야하나?
초창기의 공인인증서는 TLS의 기술적 한계로 인해 역시 일반인들은 알 필요없는 56-bit 길이의 암호 키만 사용할 수 있었기 때문에 ActiveX 를 이용할 수 밖에 없었다.
이 첫 단추를 재빠르게 풀고 다시 잠궜어야 했는데..
우리나라 특유의 Windows와 Internet Explore의 높은 점유율로 인해 티가 나지 않게 갈라파고스화가 된 상태로 2015년까지 유지되게 된다.
정리하자면, 개발자 입장에서야 ActiveX도 훌륭한 기술 중 하나임은 확실하고, ActiveX가 자체가 나쁜 게 아니고 초창기 환경과의 괴리로 점점 나빠지게 되었다가 더 맞는 말이다.
박근혜 정권의 규제 완화
2012년 18대 대선에서도 사용 의무화 폐지가 안철수의 공약으로 나오곤 했었다.
웃긴 건 공인인증서 폐지에 부정적이던 박근혜가 당선되었고, 더 웃기게도 2014년 박근혜 정권의 경제 민주화의 첫 희생양이 되었다.
결국 동년 10월 쯔음 전자금융거래법 개정안이 통과되어 공인인증서 의무 사용 조항이 폐기되었다.
동시에 스마트폰의 보급으로 드디어 ActiveX가 불편하다는 걸 깨달은 시민들의 퇴출 요구가 빗발치기 시작한다.
그리고 마침내 2015년 8월 19일, 정부 발표로 ActiveX 없이 공인인증서를 발급 받을 수 있도록 하는 것이 공식화되었고, 마이크로소프트의 엣지가 등판하면서 ActiveX의 관뚜껑에 못질을 하게 된다.
뭐 대충 아래 느낌?
Microsoft : 이번에 새로 브라우저 만듦ㅋㅋ
ActiveX : 왔구나 형제여!
Microsoft Edge : 난 ActiveX 지원 안하는 데?
Google Chrome : 야 NPAPI도 빼잨ㅋㅋㅋ
ActiveX : 아 ㅋㅋ (사망)
최악의 자충수 EXE
당시엔 아마 이렇게 생각했을 것이다.
??? : 방금 HTML5 기반으로 공인인증서 개발되는 상상함ㅋㅋ
EXE : 어림도 없지!
그렇다. 다시는 IT강국 대한민국의 갈라파고스를 얕보아선 안되겠다.
젊은 동년배들은 모르겠지만.. 사용자들의 자신의 기기를 정말 정말 정말 자주 바꾸지 않고 오래 오래 쓴다.
위의 ActiveX와 함께 EXE에게 사망선고를 했지만, 대부분의 사용자들이 Internet Explore 11 이상을 쓰려면 아직도 멀지 않았을까..?
사실 공인인증서는 좋은 녀석이었어!
평소에 브라우저 재부팅의 원흉이자 컴퓨팅 속도의 파괴자이기때문에 취급이 매우 좋지 않다.
또, 공인인증서는 40년이 넘은 기술인 PKI 기반의 공개 키 방식의 인증서인 것은 맞다.
허나, 매우 보수적으로 접근하는 보안 측면에서 볼때 이 공인인증서는 40년이 넘게 검증된 매우 좋은 기술이다.
또한 정부가 보증하는 것이므로, 외국에 비하면 엄청나게 발전된 시스템을 구축할 수 있는 것이다.
생각해보라. 공인인증서를 전자서명 용도로 썼는가? 아니면 본인의 신분 증명 용도로 썼는가?
후자가 더 많을 것이다.
공인인증서 폐지의 진실
2020년 5월 20일.
21년만에 공인인증서가 폐지되었다.
정확히는 ‘공인인증서 제도’의 폐지가 아니라 ‘공인’ 인증서의 공인을 제거한 것으로 해석하는 게 맞다.
이제 사용자들은 대 인증서 시대를 맞이하게 될 것이다.
네이버 / 카카오 / 페이코의 삼파전이 더 치열하게 진행됨은 물론 다른 금융권 회사들의 진입도 가속화될 것이다.
개인적으로 토스의 엔지니어를 갈아서 만드는 듯한 속도의 서비스 품질이 기대된다.
기존의 불편하게 사용한 공인인증서 하나의 역할을 편하게 사용할 수 있는 여러 개의 인증서가 나눠가지게 되므로 되려 파편화가 된 것처럼 보일 수도 있겠지만..
네이버의 인증서나 카카오페이의 인증 서비스나 페이코의 인증 서비스 셋 다 너무 잘 만든 서비스들이기 때문에
자신에게 잘 맞는 플랫폼을 골라서 잘 발급해보고, 고지서 및 지로 등을 놓치지않고 수납할 수 있는 플랫폼을 고르길 권장한다.
마무리
이렇게 주절 주절 떠든 이유가 뭘까?
내가 열심히 뚝딱거렸기 때문이다.
그래서 이런 별거 아닌 지식들이 점칠된 똥글을 쌀 수 있었다.
PKI 덕분에 1년이 훅…
이젠 난 또 무슨 과제를 하게될까…
