“공인인증서 폐지됐다더니…” 연말정산이 두려운 이유 (feat. 공동인증서)
매년 이맘때면 직장인들은 ’13월의 월급’을 기대합니다. 하지만 동시에 깊은 한숨부터 나옵니다. 바로 연말정산과 공동인증서 때문이죠. “공인인증서 폐지됐다더니…”라는 푸념이 저절로 나오고있습니다.
분명 ‘공인인증서’는 2020년 12월, 전자서명법 개정으로 폐지되었습니다. 하지만 우리의 현실은 크게 달라지지 않았습니다. 여전히 정부24나 홈택스에 접속하면 복잡한 인증 절차를 거치고있습니다.
바로, 이름만 바뀐 ‘공동인증서’와 ‘금융인증서’가 그 자리를 대신하고 있습니다. 심지어 네이버, 카카오, PASS 등 ‘간편 인증’까지 등장하며 선택지는 더 복잡해졌습니다.
우리가 겪는 이 ‘인증 지옥’의 근본적인 원인을 분석하고, 그리고 진정한 편의성이 언제쯤 찾아올지 전망을 살펴보겠습니다.
이름만 바뀐 공동인증서 vs 금융인증서
가장 큰 혼란은 기존 ‘공인인증서’가 무엇으로 바뀌었는지 명확히 알기 어렵다는 점입니다. 현재 시장은 크게 ‘공동인증서’와 ‘금융인증서’로 나뉘어 있습니다.
1. 공동인증서: 이름만 바뀐 ‘구 공인인증서’
우리가 가장 불편해하던 바로 그 인증서입니다. ‘공인’이라는 단어만 ‘공동’으로 바뀌었습니다.
- 정체: 기존 공인인증서와 거의 동일합니다.
- 특징: 여전히 1년마다 갱신해야 합니다.
- 불편함: 인증서 파일(.pfx, .der)을 USB나 PC에 저장하고 복사해야 합니다.
- 용도: 정부24, 홈택스 연말정산 등 공공기관 업무에 여전히 필수적입니다. 법적 효력이 가장 강력하기 때문입니다.
결국 ‘공인인증서 폐지’는 독점적 지위가 사라졌다는 의미이고, 인증서 자체가 사라진 것이 아닙니다.
2. 금융인증서: 은행권의 반격
‘공동인증서’의 불편함을 개선하기 위해 금융결제원과 은행권이 합작해 만들었습니다.
- 정체: 은행권에서만 사용하던 ‘뱅크사인’의 확장판입니다.
- 특징: 3년마다 자동 갱신됩니다.
- 편의성: 인증서가 금융결제원의 클라우드 서버에 저장됩니다. 파일 복사가 필요 없습니다.
- 한계: 이름처럼 주로 금융 거래에 집중됩니다. 공공기관 사용 범위가 ‘공동인증서’보다 제한적일 수 있습니다.
한눈에 보는 인증서 비교
| 구분 | 공동인증서 (구 공인인증서) | 금융인증서 | 간편 인증 (네이버/카카오 등) |
| 발급 기관 | 한국정보인증 등 6개 기관 | 금융결제원 (은행 발급 대행) | 민간 기업 (네이버, 카카오 등) |
| 유효 기간 | 1년 (매년 수동 갱신) | 3년 (자동 갱신) | 1~3년 (정책에 따라 다름) |
| 저장 위치 | PC, USB, 스마트폰 (파일) | 금융결제원 클라우드 | 각 기업 서버 (PKI 기반) |
| 사용 편의성 | 낮음 (파일 복사, 암호) | 보통 (클라우드, 6자리 비번) | 높음 (생체 인증, PIN) |
| 주 사용처 | 공공기관(정부24, 홈택스), 금융 | 금융, 일부 공공기관 | 로그인, 본인 확인, 일부 금융/공공 |
불편함의 원흉: 보안 플러그인, 웹 표준
사실 인증서 파일 자체는 문제가 아닐 수 있습니다. 우리를 정말 괴롭히는 것은 따로 있습니다.
끝나지 않은 ActiveX의 망령, ‘보안 플러그인’
홈택스나 은행 사이트에 접속할 때를 떠올려 볼까요?. AhnLab, nProtect, Wizvera… 수많은 ‘보안 플러그인’ 설치를 요구받았고, 이게 불편함의 핵심이었습니다.
과거 정부는 ‘보안’을 위해 PC에 특정 프로그램을 강제 설치하도록 했습니다. ‘ActiveX’ 기술입니다.
ActiveX는 특정 브라우저(인터넷 익스플로러)에서만 동작했고, 크롬, 사파리, 엣지 등 현대 브라우저에서는 호환되지 않았습니다.
공동인증서, ‘웹 표준’을 무시한 대가
‘웹 표준’은 어떤 브라우저나 운영체제에서도 사이트가 동일하게 보이도록 하는 ‘약속’입니다.
하지만 한국의 공공/금융 사이트들은 이 약속을 오랫동안 지키지 않았습니다. 비표준 기술인 ActiveX와 플러그인에 의존했습니다.
그 결과, 우리는 ‘웹 표준’을 잘 지키는 최신 브라우저로도 ‘보안’이라는 명목하에 플러그인을 설치해야 하는 아이러니를 겪고 있죠.
희망의 빛: 간편 인증과 기술의 미래
이 ‘인증 지옥’에도 변화의 바람은 불고 있습니다. 네이버, 카카오, PASS 등이 제공하는 ‘간편 인증’입니다.
간편 인증은 어떻게 편리하게 만들었을까?
놀랍게도, 간편 인증 역시 ‘공동인증서’와 같은 PKI(공개키 기반 구조) 기술을 사용합니다. 하지만 사용 방식이 훨씬 세련되었습니다.
- 공동인증서: 사용자가 [개인키+공개키] 파일을 직접 관리하고, 10자 이상의 비밀번호로 보호합니다. (파일 분실 위험, 비밀번호 분실 위험)
- 간편 인증: 사용자의 스마트폰을 ‘안전한 저장소(보안 영역)’로 활용합니다. [개인키]는 이 스마트폰 밖으로 절대 나가지 않습니다. [공개키]는 네이버/카카오 서버에 저장됩니다.
- 인증 방식: 사용자는 복잡한 비밀번호 대신, 스마트폰의 ‘생체 인증(지문/얼굴)’이나 ‘PIN 번호’로 ‘본인’임을 증명합니다. 그러면 스마트폰이 개인키로 서명(sign)을 생성해 서버로 보냅니다.
사용자는 인증서 파일을 관리할 필요가 없이, 스마트폰만 있으면 모든 것이 해결됩니다. 최근에는 이를 표준화한 ‘패스키(Passkey)’ 기술로 발전하고 있습니다.
플러그인 없는 ‘인증’ 시대를 향해
‘공인인증서’ 폐지는 시작에 불과했습니다. 진정한 변화는 공공기관과 금융권이 ‘보안 플러그인’에 대한 의존을 버리는 것입니다.
다행히 연말정산이나 정부24에서도 점차 ‘간편 인증’을 도입하고 있습니다.
우리가 겪는 ‘인증 지옥’은 낡은 IT 인프라에서 최신 기술로 넘어가는 과도기적 고통입니다. 사용자들이 계속해서 불편함을 지적하고, 기업들이 ‘웹 표준’과 ‘패스키’ 같은 신기술을 적극 도입할 때, 비로소 우리는 연말정산을 두려워하지 않게 되지 않을까요?.
이런 글은 어떤가요? -> VPN, 왜 필요할까? ‘중간자 공격’으로 알아보는 IT 보안의 첫걸음
답글 남기기