공인인증서란? 총 정리

오늘은 공인인증서란? 무엇인가에 대해서 총 정리해보려고 합니다. 우리나라에서는 공인 인증서라는 단어가 마치 하나의 워딩으로 아주 당연하게 사용됩니다.

 

저 역시 마찬가지구요. 하지만 전산쟁이인 저한테는 공인 + 인증서거든요. 우선 공인인증서의 정의부터 알아보고 발급기관, 필요한 이유 등에 대해서 하나씩 알아보겠습니다.

 

공인 인증서

---

1. 공인의 정의

 

즉 공인은 국가나 공공단체에서 무엇을 인정함 이라는 뜻과 인증서가 합쳐진 말이니 국가에서 인정하는 인증서가 됩니다. 

---

2. 인증서의 정의 

2.1 일반용어의 인증서

생산, 공공 기관, 개인이 적용할 수 있는 요구사항들에 동의하는 인준 기관에 의해서 인정된 정식 인증서. 이런 과정은 적절한 과정에 의해서 주요하다고 인정된 승인서 혹은 다른 문서, 자격증, 증명서 등의 발급에 대한 요구내용의 동의와 생산물, 서비스, 조직, 개인을 검사하는 행위로 이루어짐

[네이버 지식백과] 인증서 [Certification] (ITS 용어사전, 2010., 국토교통부)

2.2. IT용어의 인증서

인증 기관의 고유 키 또는 비밀 키를 사용하여 변조를 불가능하게 한 개체의 데이터.

2.3. 인증서와 인증기관

공개키 암호가 실제로 사용될 수 있기 위해서는 공개키의 인증이라는 문제가 먼저 해결되어야 한다. 공개키 인증이란 특정한 공개키가 누구의 키인지 어떻게 확신할 수 있느냐 하는 문제이다.
 
개인키가 전자서명을 생성하는 데 사용될 수 있다고 했는데, 나의 개인키로 서명한 것이 나의 서명이라는 것을 남들이 인정하게 하려면 내 개인키와 쌍이 되는 공개키를 남들도 나의 공개키라고 인정해 줄 수 있어야 한다. 만일 다른 사람이 키 쌍을 임의로 만들어 공개키를 나의 이름으로 등록해서 사용하려고 시도하는 경우, 이것을 방지할 수 있어야 한다.
 
공개키를 분배하기 위해 초기의 연구자들은 공개키 디렉터리라고 하는 장소에 개인의 공개키를 등록함으로써 분배하는 방법을 생각했다. 그런데 여기에 공개키에 대한 무결성과 인증성이 문제가 되었다. 즉 공격자가 타인의 이름으로 공개키를 대신 등록하여 사용한다든가, 이미 등록된 공개키를 바꿔치기 한다면 공개키 디렉터리에 공개된 공개키를 신뢰할 수 없게 된다.
 
공개키에 대한 무결성과 인증성을 제공하는 현실적인 방법은 모두가 신뢰할 수 있는 권위 있는 인증기관을 도입하고, 개인의 공개키에 대해 인증기관이 전자서명을 하도록 하는 것이다. 즉 인증기관이라고 불리는 신뢰와 권위가 있는 제3자가 나의 신분을 확인한 후, 나의 공개키와 나의 신분을 확인할 수 있는 개인정보를 포함하는 문서에 서명함으로써 나의 공개키가 유효하다는 것을 인정하는 증명서인 인증서를 발급한다. 사용자가 인증기관을 신뢰한다면 인증기관이 발급한 인증서를 신뢰할 수 있고, 나의 공개키의 유효성도 인정된다.
 
현실 세계의 예를 하나 들어보자. 비즈니스 계약서와 같은 중요한 문서에는 인감도장을 찍게 되는데, 여기에 찍힌 도장이 나의 인감도장이라는 것을 증명하기 위해 정부에서 발급하는 인감증명서를 첨부한다. 정부에서 발급한 인감증명서를 통해 계약서에 찍힌 도장이 나의 신분을 확인하는 인감도장이라는 것을 남들도 인정하게 된다. 전자상거래 환경에서 공개키는 인감도장에, 공인인증서는 인감증명서에, 인증기관은 정부에 해당된다고 볼 수 있다.
 
지식정보화 사회에서 공개키는 인증기관이 발급하는 인증서를 통해 유효성이 확인된다. 국가에서 인정하는 인증기관을 공인인증기관, 이것이 발급하는 인증서를 공인인증서라고 부른다. 반면 개인이나 회사와 같은 조직이 정부의 인증을 받지 않고 자신들의 필요에 따라 인증서를 발급해서 사용할 수도 있는데 이것을 사설인증기관, 사설인증서라고 부른다. 공인인증서는 그 사회 전체에서 유효성을 인정받지만, 사설인증서는 해당 그룹에서만 인정받을 뿐 공인인증서와 같이 모두에게 인정받을 수는 없다.

[네이버 지식백과] 인증서와 인증기관 (훤히 보이는 정보보호, 2008. 11. 25., 정교일, 이병천, 진승헌, 조현숙)

 

마지막 2.3의 인증서와 인증기관에 있는 밑줄과 강조를 한 문구를 이해하면 공인인증서를 완벽하게 이해한다고 생각합니다. 

 

공개키를 인감도장에, 공인인증서는 인감증명서에, 인증기관은 정부에 해당된다고 볼 수 있다. 

 

와 이거 미친 비유입니다. 제가 지금까지 본 공인인증서에 관련된 내용들은 어렵게 되어있었는데 이렇게 가까운데에 이렇게 쉬운 설명이 있었을줄은 몰랐거든요. 공인인증서를 제대로 이해하려면 공개키 방식을 완벽하게 이해해야 합니다. 

---

3. 공인인증서 발급기관, 공인인증기관( Certificate Autherity : CA )은?

 

현재 한국정보인증(주), (주)코스콤, 금융결제원, 한국전자인증(주), (주)한국무역정보통신, 이니텍(주) 6곳이 공인인증서

비스를 제공하고 있습니다. 현재 자료들을 찾아보면 비교적 최근에 지정이 된 이니텍(주)가 빠져 있고 한국정보화진흥원이 포함된 자료들이 많으니 착오없길 바라겠습니다. 

 

공인인증기관( Certificate Autherity : CA)이란 전자서명에 따라 거래사실을 공정하게 관리 보증할 수 있는 공신력과 인증시스템을 안전하게 구축 관리할 수 있는 인력, 기술력, 자금력을 갖춘 기관을 말하며, 현재 6개의 공인인증기관이 공인인증서 발급 서비스를 제공할 수 있습니다. 

 

3.1 공인인증기관의 지정

 

전자서명법으로 지정된 것으로 내용은 아래와 같습니다. 과학기술정통부에서 전자서명법 시행령 제3조의3제4항 및 동법 시행규칙 제4조의2 규정에 의하여 전자서명 공인인증기관을 신규 및 갱신지정 하고 있습니다. 고시 내용의 예시는 아래와 같습니다.

 

◉과학기술정보통신부공고 제2018-0284호

「전자서명법」제4조(공인인증기관의 지정) 및 동법 시행규칙 제4조의2(공인인증기관 지정 등의 고시) 규정에 의하여 전자서명 공인인증기관을 다음과 같이 신규지정 하였음을 고시합니다.
2018년 6월 14일
과학기술정보통신부장관
 
이니텍㈜ 전자서명 공인인증기관 신규지정
 
o 지정번호 : 제2018-1호  
o 기관명 : 이니텍㈜  
o 대표자 : 장 홍 식  
o 주소 : 서울 구로구 디지털로26길 61 에이스하이앤드타워2차 11층  
o 제공역무 : 전자서명 인증역무 및 그 부대업무  
o 지정일 : 2018년 6월 14일  
o 지정유효기간 : 2018년 6월 14일 ∼ 2021년 6월 13일(3년)

 

이니텍이 공인인증기관이 되다니... ㅠㅠ ( 이니텍으로 갔었어야... )

---

4. 공인인증서는 왜 필요한가?

 

아까 위에서도 나왔지만 전자적 인감증명서로 생각하면 됩니다. 전자거래에서 사용하기 위한 인감도장이죠. 온라인 상의 신분증이자 인감도장이 되는거니까요. 

책임 전가

실질적으로는 공인인증서를 사용하여 발생한 어떤 문제도 전부 사용자의 책임으로 돌릴 수 있기 때문입니다. 만약 내 PC나 USB가 도난되어 공인인증서가 유출되어 해킹을 당했다면? <== 물론 비밀번호가 있긴 하지만 비밀번호 마저 유출되었다면 ? 모두 사용자의 책임으로 전가된다는 말입니다. 

 

2014년에 공인인증서 의무사용이 폐지되었지만 금융권이 공인인증서를 꿋꿋하게 사용해온 이유가 될 것 같습니다. 요즘에 들어서야 인터넷은행 카카오뱅크가 공인인증서가 없는 뱅킹으로 돌풍을 일으키자 은행들이 따라서 움직이는 모습을 보여주는게 겨우 1년 정도가 된 시점이지요. ( 역시 고인물만 있으면 썩는... )

 

결국 사용자를 위해서가 아니라 정부나 금융권을 위한 공인인증서였다는 말이 됩니다. 해외에서는 아이디/패스워드와 OTP로 거래가 끝나거든요. 거래를 해보신분들은 알겠지만 뭘 설치할 필요도 없고 아주 심플합니다. 

---

5. 공인인증서 기타 지식

5.1 공인인증서와 SSL은 비슷하다.

공인인증서의 공개키 방식과 SSL의 공개키 방식은 같은 방법을 사용합니다. 자세히 얘기하려면 너무 길어서... 또 같은 얘기인데요. 공개키 방식을 이해하는 것이 좋습니다~

 

공개키 비밀키 암호화 방식

---

5.2 공인인증서 별도 프로그램 설치없이도 가능하다.

공인인증서 브라우저만으로 가능

공인인증서를 브라우저 프라이빗 공간에 저장하는 방식으로 사용하는 기술은 이미 2015년에 상용화된 적 있으나, 국내에 아직 활성화가 되진 않고 있습니다. 최근 1년정도 들어서야 브라우저 인증서라고 조금씩 도입하여 활성화가 되고 있는 것 같습니다. ( 이제 곧 보안 프로그램 설치 지옥에서 벗어나는건가? )

---

5.3 사설인증서?

원래 한 단원을 잡아야 하나 했는데 공인인증서와 반대로 사설인증서 또한 많이 사용되고 있죠. 우리가 요즘 많이 사용하는 카카오 인증이나 네이버 인증서, 은행에서 사용하는 지문인증, 패턴인증, FACE ID를 통한 인증들은 다 사설인증서를 사용한다고 생각하시면 됩니다.

 

카카오 인증시 사용하는 사설인증서

 

발급 주체가 자체 서비스 회사인 경우입니다. 카카오 페이 인증이면 카카오페이에서 발급한 인증서를 사용하는 것이고, 네이버 인증서는 네이버페이에서 사용하는 인증서, 각 은행들... 모두 각자가 발급하는 인증서를 사설인증서라고 부릅니다. 

 

발급주체가 공인인증기관이 아닌것만 빼면 나머지는 모두 같습니다. 

---

5.4 액티브X의 역사, 동작 원리 그리고 생존 전망

 

제가 좋아하는 고지식 거니님 채널입니다. 관련된 내용이라 추천하는 영상입니다.

 

---

공인인증서와 관련해서 넣을 건 넣고 뺄껀 빼고 했는데도 상당히 긴 내용이 들어간 것 같습니다. 이정도만 알아도 공인인증서에 대해서 전문가 수준은 아니더라도 어디가서 아는 척은 충분히 할 수 있지 않을까 생각합니다. 감사합니다.