토스·네이버는 연말정산 인증 시범사업에서 왜 탈락했을까?

이후섭 기자I 2020.12.29 17:34:01

발표평가 심사서 5위 안에 못 들어…관리·보안 부분서 점수 밀려
수행실적 5점도 포함 안돼…“시범사업 평가를 위한 순위일 뿐”
“기술적·보안 수준 문제없어”…내년 평가인정기관 인가 신청



[이데일리 이후섭 기자] 내년 1월 연말정산을 할 때 공인인증서 대신 카카오, 패스(PASS), 페이코 인증을 이용해 국세청 홈페이지에 접속할 수 있지만, 어찌된 일인지 누적 2300만건의 인증서를 발급한 토스와 공공·금융 영역으로 빠르게 사업을 확장하고 있는 네이버는 불가능하다.

토스와 네이버는 행정안전부가 실시한 공공분야 전자서명 시범사업자 선정에서 탈락했기 때문이다.

왜 이런 일이 발생했을까. 평가 항목을 보면 인증서 및 전자서명생성정보 관리와 물리적·관리적·기술적 보안 등에 대한 배점이 높은데, 해당 분야에서 토스와 네이버는 다른 업체들에 밀려 상위 5위 안에 들지 못한 것으로 알려졌다. 양사는 일부 보완 등을 거쳐 내년에 재도전하겠다는 방침이다.

◇관리·보안 부분서 점수 밀려…“시범사업 평가를 위한 순위일 뿐”

29일 행정안전부에 따르면 지난 9월 실시한 공공분야 전자서명 확대 도입을 위한 시범사업자 모집 공고에서 발표평가 심사는 △전자서명 기술(15점) △가입자 등록(15점) △인증서 관리(10점) △전자서명생성정보 관리(15점) △이용자 권익 보호(5점) △개인정보 보호(10점) △관리적 보안(10점) △물리적 보안(5점) △기술적 보안(10점) △기타(5점) 등 10개 항목, 총 100점 만점으로 이뤄졌다. 보안 인증 분야의 학계·산업계 등 민간 전문가 8인이 매긴 점수 중에서 최저와 최고점수를 제외한 나머지 점수를 산술평균한 것이다.

심사 결과 시범사업에 신청한 9개 기업 중에서 네이버·토스·농협·기업은행 등 4개 기업이 탈락하고 나머지 카카오·KB국민은행·NHN페이코·한국정보인증·패스 등 5개가 현장점검을 거쳐 최종 사업자로 선정됐다.

네이버와 토스 등은 총 40점이 배정된 가입자 신원확인, 인증서 관리, 전자서명생성정보 관리 등 관리적인 부분과 35점이 달린 개인정보 보호 및 보안 부분에서 점수가 조금 밀린 것으로 알려졌다.

행안부 관계자는 “시범사업에 신청한 기업들을 모두 선정하고 싶었지만, 짧은 개발 기간과 한정된 예산이라는 제약으로 5개 기업으로 압축할 수 밖에 없었다”며 “시범사업을 위한 평가를 위해 계량화한 기준에 따라 순위를 매긴 것일 뿐, 선정되지 않은 기업들의 서비스에 문제가 있는 것은 아니다”라고 강조했다.

업계에서는 기존에 인증서비스를 제공하면서 안전성이 검증됐던 네이버나 토스가 시범사업에 빠졌다는 데 의아하다는 반응이 나오지만, 심사에서는 기존 수행실적 등은 5점에 불과한 기타 항목에 포함돼 큰 영향을 주지 못한 것으로 분석된다.

지난 2018년 서비스를 시작해 현재 은행, 보험 등 다양한 금융권에 도입된 토스 인증서나 출시 9개월여 만에 57곳 제휴처로 확대하고 250만건의 발급 실적을 올린 네이버에 비해 심사가 진행되던 9월 당시에는 NHN페이코나 카카오의 인증서비스는 출시조차 안 된 상황이었기 때문이다.

지난 9월 실시한 `공공분야 전자서명 확대 도입을 위한 시범사업자 모집 공고`에서의 발표심사 평가 항목.(자료=행정안전부 제공)
◇“기술적·보안 수준 문제없어”…내년 평가인정기관 인가 신청

심사 결과가 구체적으로 공개되지는 않았지만 토스와 네이버는 내부적으로 기술적인 수준이나 보안성이 부족해서 탈락했다고는 보지 않는다.

토스는 기존 공인인증서 발급 기관이었던 한국전자인증을 외부 인증기관(CA)으로 두고, 공인인증서에 준하는 표준과 기술을 활용해 보안성을 강화했다. 또 PCI-DSS, ISO 27001 등 글로벌 수준의 보안 인증을 취득한 토스의 보안 체계를 기반으로, 본인 확인에 공인인증서와 동일한 가상식별방식(Virtual ID)을 사용하고 있다.

토스 관계자는 “기술적인 수준이나 스펙, 인지도 차원에서 다른 인증서비스에 비해 경쟁력이 절대 떨어지지 않는데, (시범사업에)탈락한 것에 대해 우리도 의아할 따름”이라면서도 “내년에 전자서명인증사업자로서의 평가인정을 받아 공공 분야로도 인증서비스를 적극 확대할 것”이라고 말했다.

과기정통부는 내년에 국민들이 어떤 전자서명이 신뢰할 수 있는지, 보안은 갖춰져 있는지 등을 판단할 수 있도록 전자서명 평가·인정제도를 운영할 계획이다. 이를 위해 최근 금융보안원이 `전자서명인증업무 운영기준` 준수 여부를 평가하는 기관으로 지정됐다.

시범사업자로 선정되지 못한 토스나 네이버도 평가인정기관의 인가를 획득하면 공공웹사이트와 개별협의를 통해 연말정산이나 정부24 등에 인증 서비스를 제공할 수 있다.

네이버 관계자는 “전자서명법 개정에 의한 평가인정기관 인가 획득을 위한 준비를 마쳤으며, 내년 상반기내로 빠르게 평가가 완료될 수 있도록 진행할 계획”이라며 “이용자들이 안전하게 네이버 인증서를 이용할 수 있도록 다양한 서비스를 시장에 선보이겠다”고 말했다.

주요 뉴스

ⓒ종합 경제정보 미디어 이데일리 - 상업적 무단전재 & 재배포 금지