관련 통계자료 다운로드 통신사가 공개한 습마트 인증 구성도
증권업계가 범용가입자식별모듈(USIM)을 공인인증서 저장매체로 한 모바일 증권거래서비스를 시작한다. 해킹에 의해 복사되지 않고 스마트폰을 분실해도 보안 위협이 낮아 USIM 공인인증서가 새 대안으로 부상할 것이라는 기대다.
10일 금융투자업계에 따르면 한국투자증권은 증권업계 최초로 USIM 기반 공인인증서 서비스인 ‘모바일 토큰’을 이달 중 개시한다. 하나대투증권과 삼성증권도 도입을 위한 검토 단계에 있어 증권가의 움직임이 빨라질 전망이다.
한국투자증권 관계자는 “8월 중 서비스를 시작할 계획으로 공인인증서 발급 기관들과의 시스템 연계 작업을 진행 중”이라고 말했다. 삼성증권 관계자는 “향후 보안이나 관련 기술이 안정화되면 검토할 예정”이라고 설명했다.
모바일 토큰은 한국인터넷진흥원(KISA)이 내놓은 공인전자서명인증 기술규격으로 가입자 정보 등을 저장하는 USIM 속 빈 보안 공간에 금융 서비스용 공인인증서 정보를 저장하는 방식이다. 지금까지 모바일 증권 거래에 사용하는 공인인증서는 주로 모바일 기기에서 스마트폰 내장·외장메모리에 저장됐다.
지난 달 중순 국내 3대(SK텔레콤·KT·LG유플러스) 통신사가 USIM 기반 공인인증서 ‘스마트인증’ 서비스를 공식화하면서 금융업계도 빠르게 움직였다. 앞서 신한은행 등이 USIM 기반 공인인증서 서비스를 발빠르게 개시했다. 구글스토어 앱장터에서 앱을 내려받으며 990원 수준의 이용료가 있다.
현재 사용 중인 모바일 공인인증서는 휴대폰 메모리에 저장된 인증서 자체를 금융사의 인터넷뱅킹으로 전달해 서명하면서 인증서 로그인을 완료하는 식이었다.
문제는 공인인증서 정보가 네트워크를 거쳐 은행 등 금융사로 전달되는 과정에서 종종 해킹의 목표물이 됐다는 점이다. 스마트폰 악성코드가 모바일뿐 아니라 PC까지 공격해 공인인증서 정보를 탈취해가고 잇따른 전자 금융사기의 온상으로 부각됐다.
업계는 USIM에 공인인증서 정보를 저장할 경우 복제가 어렵고 단말기 분실 시에도 정보를 읽을 수 없게 된다는 점이 보안에 유리하다고 보고 있다. USIM에 공인인증서를 저장할 경우 공인인증서 정보가 USIM 밖으로 나가지 않은 채로 서명까지 완료되며 서명을 완료했다는 결과값만 금융사 네트워크로 전달되는 식이다.
반면에 이 같은 금융사의 공인인증서 저장방식 변화가 정부의 공인인증서 폐지 정책과 엇박자를 내고 있다는 지적도 있다. IT업계 관계자는 “전자상거래 공인인증서 의무화 폐지 정책에 반해 금융업계 공인인증서는 더욱 공고해지고 있어 반쪽짜리 공인인증서 정책이라는 논란도 꺼지지 않을 것으로 보인다”고 설명했다.
유효정기자 hjyou@etnews.com