[이지경제] 문룡식 기자 = 은행권에서 공인인증서를 대체할 새로운 인증수단인 ‘뱅크사인(BankSign)'을 야심차게 내놨다. 하지만 실효성 여부에 대한 의구심이 증폭되고 있다.

은행들은 뱅크사인이 안정성과 편의성을 높인 우수한 인증 서비스라고 추켜세우고 있다. 하지만 기본적으로 스마트폰이 있어야만 사용할 수 있다는 치명적인 한계가 있다. 또 발급 및 금융서비스 이용 시 인증 과정도 기존 공인인증서와 별반 다르지 않아 소비자들이 체감하기 어려울 것이라는 지적이 나온다.

더욱이 공인인증서 자체보다는 번거로운 인증과정에 불만의 목소리를 높였던 소비자가 많은 만큼, 뱅크사인의 도입은 그저 이름만 바뀐 또 다른 공인인증서로 받아들여질 가능성도 높다.

20일 은행권에 따르면 다음 달부터 뱅크사인의 대고객 상용서비스가 실시된다.

뱅크사인은 은행연합회와 18개 회원은행이 구성해 준비해온 전자인증 수단이다. 지난해 11월 개발에 착수해 올해 4월말부터 일부 은행 임직원을 대상으로 한 실거래 환경에서 테스트까지 마친 상태다.

뱅크사인의 핵심은 블록체인(Blockchain) 기술을 기반으로 개발됐다는 것. 블록체인은 중앙집중기관 없이 시스템 참가자들이 공동으로 거래정보를 기록․검증․보관해 신뢰성을 확보하도록 설계된 분산장부 기술이다.

즉 이용자가 은행 한 곳에서 뱅크사인을 발급받으면 이 정보는 사업에 참여한 모든 은행이 함께 공유하게 된다. 다른 은행을 이용할 시 별도로 공인인증서를 새로 발급받거나, 타행 인증서 등록 등의 과정을 생략할 수 있다는 의미다. 덕분에 이용자의 편의성을 높였다는 설명이다.

뱅크사인을 이용하려면 별도의 어플리케이션(앱)을 스마트폰에 설치해야 한다. 다운로드․설치 및 이용은 무료다. 유효기간은 3년으로 공인인증서(1년)보다 훨씬 길다. 인증방식은 개인식별번호(PIN)이며, 여기에 패턴이나 지문 등을 추가할 수 있다. 스마트폰 인증을 통해 모바일과 PC 양쪽 모두에서 이용 가능하다.

차별성?

그러나 일각에서는 기존 공인인증서와 별반 다를 것 없다는 비판이 나온다. 더 긴 유효기간과 다른 은행에서도 간편하게 사용할 수 있는 것은 강점이다. 그러나 이외에는 기존에 공인인증서를 채택하던 은행들도 지원하는 기능이라 차별성이 부족하다는 것.

일례로 인증방식을 보면 공인인증서는 뱅크사인이 채택한 PIN번호보다는 조건이 까다로운 패스워드를 쓴다. 그러나 대다수 은행 앱에서는 이미 지문․홍채 인식 등으로 패스워드를 대신할 수 있는 기능을 제공하고 있다. 또 뱅크사인은 무료라는 점을 강조하고 있는데, 공인인증서 역시 범용(4400원)을 제외한 은행․카드․증권용을 발급받을 때는 비용을 지불하지 않는다.

오히려 한정된 인증수단(스마트폰)으로 인한 한계는 더욱 뚜렷하다. PC와 스마트폰 모두에 저장할 수 있는 공인인증서와는 달리, 뱅크사인은 앱 형태라 스마트폰에만 보관 가능하다. 때문에 스마트폰을 이용하지 않는 고객, 주로 고령층에게는 언감생심이다.

또 PC에서 인터넷뱅킹을 하기 위해 사용하려면 일일이 스마트폰에서 앱을 실행, 인증하는 번거로운 과정을 거쳐야 한다. 공인인증서가 PC와 스마트폰 각각 별개의 환경에서도 지원한다는 점을 감안하면 오히려 퇴보한 셈이다.

익명을 요구한 은행연합회 관계자는 이에 대해 “뱅크사인은 공개키(PKI) 기반 인증기술을 사용하는데, 이용자의 개인키(전자서명생성정보)를 스마트폰의 안전영역에 보관해 복제, 탈취 및 무단사용을 방지한다”며 “스마트폰 안전영역은 외부에서 접근이 불가능해 해킹 등에 안전하지만 PC에서는 이런 안전한 저장 공간을 사용할 수 없어 보안이 취약하다”고 전했다.

책임 전가

뱅크사인은 기존 공인인증서의 단점으로 꼽혔던 ‘금융사고 발생 시 사용자에게 보안책임을 전가’할 여지도 남겨 놨다.

공인인증서는 전자서명정보 등을 담은 인증서 파일이 이용자의 저장 공간(하드디스크, USB, 스마트폰)에 보관된다. 이곳은 보안성이 상대적으로 취약해 해킹이나 외부접근의 위험성이 높다. 이로 인해 인증서 파일이 해킹 등으로 탈취당해 무단으로 사용됐을 경우, 은행들은 이용자에게 보관 방법을 문제 삼으며 책임을 전가하는 경우가 잦았다.

때문에 은행들이 지금껏 공인인증서를 고수해온 것은 보안책임 부담을 완화하려는 목적이라는 시각도 많다.

실제로 지난해 출범한 한국카카오은행(카카오뱅크)이 공인인증서 제도를 도입하지 않은 속사정을 들여다보면 보안책임 떠넘기기에 설득력이 높아진다.

이용우 카카오뱅크 대표는 공인인증서를 도입하지 않은 이유와 관련, “보안 관련 사고에 대해 은행 스스로 책임을 진다는 자세로 공인인증서를 없앴다”고 밝혔다.

뱅크사인도 전자서명정보 등을 이용자가 보관하는 만큼, 금융사고 발생 시 은행들이 책임을 고객에게 떠맡길 핑계는 충분하다. 더욱이 외부접근이 불가능한 스마트폰 안전영역에 저장하므로, 공인인증서의 경우보다 되레 이용자에게 더 불리할 가능성도 높다.

무엇보다 카카오뱅크와 같이 공인인증서를 필요로 하지 않는 서비스를 원했던 소비자 입장에서는, 단순히 이름만 다른 새 인증서가 하나 더 나타난 셈이 됐다.

지난 3월 발표된 ‘전자서명법 개정안 입법예고’에 따르면 정부는 공인인증서가 갖고 있던 우월한 지위만 없앨 뿐, 직접적인 폐지는 하지 않는다. 그동안 전자서명이 필요한 곳에 공인인증서가 필수적으로 요구됐지만, 앞으로는 사설 인증서까지 허용하면서 공인인증서의 급을 낮추겠다는 의미다.

이렇게 되면 금융소비자 입장에서는 인증 수단 선택의 폭만 넓어졌을 뿐, 인증 과정의 간소화 등에 대한 체감은 크지 않을 것으로 전망된다.

익명을 요구한 은행연합회 관계자는 “인증에는 본인확인과 전자서명 두 가지가 있는데 본인확인은 단순히 로그인 등으로 확인 가능하지만, 전자서명은 본인확인 외 전자문서 등의 진위도 판별한다”며 “인증서는 본인확인과 전자서명이 모두 가능한 수단”이라고 설명했다

이어 “최근 무서명 거래가 증가하고 있지만 서명이 요구되는 거래와 계약도 여전히 많다”며 “이럴 때 전자서명이 필요하므로 인증서 제도를 아예 없앨 수는 없다”고 덧붙였다.

문룡식 기자 bukdh@ezyeconomy.com