[맞짱 토론] 공인인증서 폐지해야 하나
국내에서 사이버 주민등록증·인감 역할을 13년간 맡아 왔던 공인인증서의 운명이 기로에 섰다. 빠르면 오는 9월 정기국회에서 공인인증서의 의무사용을 폐지하는 것을 골자로 한 ‘전자금융거래법’과 ‘전자서명법’의 개정안이 논의될 전망이다. 지난 5년여간 정보기술(IT) 업계와 금융업계에서 ‘뜨거운 감자’였던 공인인증서 폐지 논란에 결론이 날지 관심이다.

[맞짱 토론] 공인인증서 폐지해야 하나
공인인증서는 1999년 국내에 처음 도입돼 현재까지 3000만건이 발급된 ‘사이버 주민등록증’이다. 인터넷 뱅킹이나 증권거래 등 각종 전자금융거래에 쓰이며 온라인으로 조달·세금·보험·어음을 처리할 때도 이용된다. 병무청 업무나 주택청약 등에까지 쓰이는 등 사이버 세상에서 본인인증을 하는 데 두루 사용된다.

이 공인인증서를 금융결제원, 코스콤, 한국정보인증, 한국전자인증, 한국무역정보통신 등 5개 기관만 발급할 수 있어 독과점 문제가 지적돼 왔다.

해킹에 취약하다는 비판도 꾸준히 제기됐다. 2007년 5000여장, 지난 2월 700여장의 공인인증서가 유출되는 사고가 일어났다. 이 같은 공인인증서에 대한 불만은 5월 최재천·이종걸 민주당 의원이 전자금융거래법과 전자서명법 개정안을 발의하면서 급물살을 타는 모양새다.

하지만 생활과 밀접하게 연관된 공인인증서를 폐지하면 사회적 혼란이 발생할 수 있다는 반론도 거세다. 공인인증서가 폐지론자들의 주장처럼 ‘IT 갈라파고스’를 초래하는 기술이 아니라 오히려 필리핀 이란 인도네시아 등에 수출되는 ‘IT 한류’ 기술이란 주장도 나온다. 국내 인터넷 경제 ‘세계 2위’를 견인할 주역이라는 설명이다.

공인인증서 논란은 현재 보급된 공인인증서를 이용하기 위해 필요한 기술인 마이크로소프트(MS)의 ‘액티브X’ 기술 사용여부에 대한 논란도 달구고 있다.

김보영 기자 wing@hankyung.com

찬성 인증서시장 국가가 독점…‘액티브X’ 보안에 취약

[맞짱 토론] 공인인증서 폐지해야 하나
인터넷을 통해 금융거래를 하거나, 물건을 사거나, 전자민원 서비스 등을 이용할 때 우리는 마치 오프라인에서 신분증을 제시하듯 공인인증서를 써왔다. 온라인 서비스를 이용하려면 이걸 써야 한다고 해서 어쩔 수 없이 쓰고 있다. 공인인증서 개인이용자 발급 건수가 작년 말 기준으로 2558만건에 이른다. 사실상 경제활동인구 전부가 공인인증서를 쓰고 있는 것이다.

문제는 이 공인인증서가 기술적으로는 딱 한 가지 종류밖에 없다는 점이다. 또 인증서를 승인하는 기관도 국가기관 한국인터넷진흥원 딱 한 곳뿐이다. 공인인증서를 서비스하는 업체는 금융결제원, 코스콤, 한국무역정보통신, 한국전자인증, 한국정보인증 등 5개이지만 인증서비스 시장은 금융결제원 한 곳이 75%의 시장을 독점하고 있다. 한 곳에서만 승인하고 한 가지 종류의 인증서만 쓴다는 사실 자체만으로도 이 같은 인증서가 보안에 취약하리라는 것은 상식에 속한다. 하지만 이 딱 한 가지 종류의 인증서를 PC에 설치하는 기술도 이미 그 기술을 만들어 보급했던 업체조차 보안상 문제가 있다는 이유로 이미 수년 전부터 쓰지 않는 액티브엑스(Active X)라는 사실도 놀랍다.

한 곳서만 승인 … 해킹 위험, 설치 복잡하고 ‘다운’ 잦아

아니나 다를까, 지난 6월 초 한국인터넷진흥원은 국내에서 인터넷뱅킹을 쓰는 이용자라면 모두 개인 PC에 필수적으로 설치하고 있는 ‘제큐어웹’과 ‘nProtect Netizen’ 버전에서 외부공격에 의해 원격코드가 실행되는 취약점이 발견됐으니 최신 버전으로 패치하라는 소식을 조용히 공지했다. 인터넷뱅킹 등 온라인으로 공인인증서를 사용하는 모든 이용자의 PC는 좀비PC가 될 수 있는 통로가 활짝 열려 있으니 닫으라는 공지다. 올해 초 3·20 해킹사건 때 문제가 됐던 일부 금융권과 방송사들의 해킹 경로로 확인된 것도 문제의 ‘제큐어웹’의 원격코드 실행 취약점이었다. 바로 그 취약점을, 어떤 이유로든 공인인증서를 설치한 PC라면 모두 갖고 있다는 사실을 뒤늦게나마 시인한 것이다.

공인인증서에 대한 소비자 불만은 아주 단순하다. ‘쓰기 불편하다’ ‘뭘 자꾸 설치하라고 한다’ ‘인터넷익스플로러가 아닌 다른 브라우저로는 쓸 수도 없다’ ‘컴퓨터가 자꾸 다운된다’ 등이다. 이 같은 불만은 몇몇 컴퓨터 마니아의 불만이 아니다. 누구라도 단 한 번만이라도 공인인증서를 써 본 사람이라면 모두 알고 있는 문제다. 이 문제는 또 공인인증서 도입 초기부터 지금까지 10여년 동안 제기됐지만, 해결되지 않은 문제다. 어떤 온라인 서비스가 10년 넘게 소비자 불만을 해결하지 않고 있다면 그런 서비스는 시장에서 퇴출되는 것이 당연하다. 한데 공인인증서의 경우에는 그렇지 않다. 애초 우리 공인인증 시장은 국가가 독점 승인한 업체들만이 국가가 제시한 인증서비스기술에 따라 서비스하면 그것으로 충분했다. 소비자들의 요구와 불만은 전혀 아랑곳하지 않아도 되는 국가가 승인한 독점시장이기 때문이다.

전자서명법은 국가가 독점 승인한 국가공인인증서만이 각종 법령에서 요구되는 전자서명의 법적 효력을 갖도록 규정했고(전자서명법 제3조 제1항), 금융감독위원회는 다시 전자금융거래법에서 이 문제의 국가공인인증서라는 특정 인증방식을 안전성과 신뢰성을 담보하는 것으로 제시(전자금융거래법 제21조 제3항)했으며, 고시(전자금융감독규정)로 의무화했다. 얼마든지 다른 기술과 다른 방법에 의한 인증서비스가 가능함에도 불구하고 원천적으로 법정 인증서이자 법적 의무인 국가공인인증서만이 시장을 독점할 수 있는 여건을 만들어 놓은 것이다. 따라서 그 해결책 또한 독점을 경쟁으로, 의무를 선택으로 바꾸는 것일 수밖에 없다.

물론 공공부문에서 국가가 정한 방법에 따라 특정한 공공서비스를 제공하는 것은 필요하다. 그러나 그렇다고 국가가 공공서비스를 위해서 허가한 사업자들만이 일반 서비스시장에서 국가가 정한 방법으로만 서비스를 하도록 한다는 건 시장의 자율경쟁과 경쟁을 통한 기술혁신을 포기하는 일이다. 10년이 넘는 국가공인인증서의 독과점 결과는 단일 기술, 과점 사업자, 소비자 불만과 요구에 무감각한 최악의 서비스, 관치보안으로 인한 전반적인 보안 약화, 보안 취약점으로 인한 소비자 피해의 소비자로의 책임전가, 모든 이용자 PC의 보안위험 노출이었다.

민간서비스 시장 경쟁 필요…소비자에 선택권 넘겨줘야

국가공인인증서의 기술적 우수성을 아직도 주장하는 이들은 이 인증서비스의 기반기술인 공개키기반구조(PKI)의 특성 중 전자서명과 부인방지 같은 기술은 다른 대체기술이 없다는 점을 유난히 강조한다. 그러나 실제로 공인인증서가 해킹, 유출되고 인증서의 암호가 유출돼 본인이 아닌 침입자가 그 공인인증서를 사용했을 경우 침입자는 인증서를 해킹당한 원래 이용자의 이름으로 전자서명을 남기게 되므로 부인방지는 아무런 의미가 없다. 오히려 이러한 특성은 사법분쟁에서 인증서를 해킹당한 이용자가 꼼짝없이 모든 책임을 지도록 소비자에게 책임을 전가하는 근거로만 이용되고 있을 뿐이다.

이미 국가공인인증서가 보편적으로 보급돼 있으므로 현재의 체제를 뒤흔들면 마치 엄청난 혼란이 올 것처럼 호들갑을 떠는 이들이 있다. 국가공인인증서가 정말로 그렇게 우수하고 뛰어난 인증서비스라면 도대체 왜 지금의 체제가 뒤흔들린다는 말인가. 현재 국회에 제출된 전자서명법과 전자금융거래법 개정안은 모두 현재의 국가공인인증서도 용인하고 있다. 소비자와 인증서비스를 구매하는 사업자는 새롭게 등장하는 다양한 인증서비스 중에서 결국 소비자의 요구에 부응하며 소비자에게 편리하고 보안이 우수한 솔루션을 선택할 것이다. 그것이 이제까지 소비자의 요구와 불만에 무감각했던 독과점 인증서비스 사업자와 그 인허가권과 감독권을 향유했던 규제당국에는 혼란일지 모른다.

그러나 소비자들에게는 불안하고 답답하며 불편하더라도 울며 겨자먹기로 쓸 수밖에 없었던 단일 솔루션의 포로 상태에서 해방되는 일이다.
[맞짱 토론] 공인인증서 폐지해야 하나


반대 국제 표준의 안정된 기술, 갑자기 폐지하면 시장 혼란

[맞짱 토론] 공인인증서 폐지해야 하나
대한민국은 인터넷 선진국이다. 타의 추종을 불허한다. 먼저 세계에서 가장 빠르고 편리한 인터넷 금융거래 시스템을 갖고 있다. 24시간 실시간으로 모든 은행으로의 타행이체가 가능한 유일한 나라다. 일평균 4500만건에 33조원 거래 규모로 가히 세계 최고 수준이다. 전자정부는 어떤가. 유엔에서 평가한 세계 1위다. 국민들은 집에서 인터넷으로 민원을 해결한다. 전체 민원의 52.4%다. 정부의 전자조달사업은 100% 인터넷으로 이뤄진다. 연간 158만건 규모의 계약이다. 인터넷 경제가 전체 경제규모에서 차지하는 비중은 7.3%로 세계 2위다. 세계가 부러워하는 수준이다. 이러한 성과를 이룬 바탕에는 바로 공인인증서의 역할이 컸다.

최근 국회에서 ‘전자서명법’ 관련 법안들이 발의되면서 공인인증서가 이슈의 중심에 섰다. 일부에서는 공인인증서가 보안에 취약한 낙후된 기술이라며 공인인증서 폐지를 주장한다. 공인인증서는 정말 낡은 기술인가. 그렇지 않다. 공인인증서의 근간인 PKI기술은 국제표준기술로, 성숙되고 안정된 기술로 평가받고 있다. PKI기술은 본인인증, 부인방지, 기밀성, 무결성 등 네 가지 기능을 충족하는 거의 유일한 기술이다. 아직까지 이보다 나은 기술은 나오지 않고 있다. 최근 공인인증서 해킹사고는 기술 자체의 문제가 아니다. 보관, 관리의 문제에서 발생한 것이다.

독일·日·스위스서도 시행…한국 시스템 해외 수출도

또 폐지론자들은 공인인증제도를 한국에만 있는 ‘갈라파고스적 제도’라고 공격한다. 전자서명법을 제정할 당시 정보통신부 직원이 독일에 가서 법령과 정책을 조사하고 배워왔다는 사실을 알 만한 사람은 다 안다. 독일뿐 아니라 일본, 싱가포르, 스위스 등 여러 나라에서 시행하고 있다. 그러나 한국만이 제도 정착에 성공했다. 현재 우리가 르완다, 케냐, 에콰도르 등에 PKI 시스템을 수출하고 있는 이유다. 인터넷 한류인 셈이다.

오픈넷이 주도한 ‘전자서명법 전부개정법률안’의 주요 골자는 공인인증서 폐지에 있다. 그럼에도 폐지가 아니라고 주장한다. 만일 오픈넷 주장이 진정 공인과 비공인인증서의 공존론이 맞다면 법을 고칠 이유가 없다. 현행 전자서명법만으로 충분하다. 공인인증서 사용을 강제한다고 주장하고 있지만 전자서명법 어디에도 그런 조항은 없다.

그럼에도 만일 공인인증제도를 폐지한다면 구체적으로 어떤 문제점들이 발생할까. 첫째, 공적 신뢰 기반이 무너진다. 한마디로 인감증명이 사라지는 것과 같다. 현행 전자서명법은 직간접적으로 100여개의 법령과 거미줄처럼 연결돼 있다. 인터넷시대를 받쳐주는 기본 인프라다. 공인인증서가 없다면 이로 인한 사회적 혼란은 어떻게 수습할 것인가. 국민들도 공인인증서가 없으면 인터넷 상에서 본인 여부를 누가 증명해 줄 수 있을지 의문을 제기하고 있다. 이렇게 되면 온라인으로 간편하게 해결했던 민원이나 계약을 일일이 직접 발로 찾아다니면서 해결해야 한다. 인터넷 시대에 역행하는 일이다.

둘째, 국민의 부담과 해킹의 위협이 늘어난다. 지금까지 하나의 인증서로 가능하던 일들을 적게는 네다섯 개, 많게는 몇 십 개의 인증서를 가져야 처리할 수 있다. 사용방법을 숙지해야 하고 보관, 관리의 책임도 져야 한다. 해킹의 경로도 그만큼 많아지기 때문에 사고 위험도 커질 수밖에 없다. 비용도 무시할 수 없다. 현재는 거의 미미한 부담이지만 공인인증서가 사라지면 개별 기업의 영리를 위해 몇 배의 돈을 주고 인증서를 발급받아야 한다.

셋째, 외국 기업에 안방을 내주게 될 수도 있다. 시장 자율경쟁에 의해 인증산업과 기술을 발전시키고 일자리를 창출하겠다는 주장은 현실과는 동떨어진 탁상공론에 불과하다. 글로벌하게 검증도 되지 않은 보안 제품을 어떤 기업이 사용하겠는가. 따라서 국내 인증 보안시장은 벤처가 아니라 몇몇 글로벌 기업이 장악할 수밖에 없다.

그렇다면 현재 공인인증서를 둘러싼 문제의 해법은 무엇일까. 무엇보다 전자서명법 근간과 취지는 살리고 국민의 편의성, 보안의 강화, 산업의 발전적 측면에서 보완하는 방법으로 접근해야 한다.

첫째, 편의성 중심에서 보안성 중심의 정책으로 전환해야 한다. 1999년 전자서명법 제정 당시 공인인증제도의 정책목표는 보안성보다는 편의성에 중점을 뒀다. 이제는 보안성 중심의 정책으로 전환해야 한다. 약간의 불편함을 감수하더라도 온라인 재발급 금지, 하드디스크 저장 금지 등 보관 관리의 안전성을 높이기 위한 방안을 추진해야 한다.

해킹사고는 보안·관리 문제, 기술 개발로 불편 보완해야

둘째, 본인 인증수단을 다양화하는 데 동의한다. 공인인증서는 제법 무거운 인프라 기반이다. 본인 인증 수단은 이보다 훨씬 가볍다. 소잡는 칼과 과일 깎는 칼은 구별해야 한다. 인감증명과 신분증은 역할이 서로 다르다. 공적영역은 공인인증서를, 민간영역은 당사자들이 자율적으로 선택하는 것이 바람직할 것이다.

셋째, 실시간 유효성검증(OCSP) 의무화를 적극 검토해야 한다. OCSP 검증을 통해 공인인증서가 실질적으로 어떤 사이트에서 어떻게 사용되고 있는지를 확인할 수 있다. 소비자 보호를 위한 사후조치다. 보안의 실효성을 높일 수 있다.

넷째, 액티브엑스 문제를 국가적으로 해결해야 한다. 현재 공인인증서가 액티브엑스 없는 환경에서 구동될 수 있도록 서비스, 기술적인 측면에서 다양한 기술개발이 이뤄지고 있다. 스마트폰에서 유심이나 근접무선통신(NFC)을 활용하면 액티브엑스 없이 공인인증서를 사용할 수 있다. 근본적인 방법으로는 차세대 인터넷 표준인 HTML5가 대안이 될 수도 있다.

세상에 완벽한 보안은 없다. 그러나 기술은 계속 발전하기 때문에 어떤 난점도 극복할 수 있지만 제도는 한번 망가지면 다시 회복하기 어렵다. 정책의 급회전은 신중을 기해야 한다. 세계가 부러워하는 공인인증제도를 우리가 스스로 무너뜨리는 우를 범해선 결코 안 된다.

공인인증서가 국민들로부터 더욱 사랑받는 신뢰 인프라가 될 수 있도록 꾸준히 가꿔나가야 할 것이다.
[맞짱 토론] 공인인증서 폐지해야 하나


■ 읽을 만한 자료

▷전자금융거래시 공인인증서 의무사용 규제완화 관련 주요 이슈 및 현황(지급결제와 정보기술, 제42호)
▷스마트 환경에서의 공인인증서 활용과 문제점(Internet & Security Focus, 2013년 3월호)
▷전자금융거래법 일부개정법률안 검토보고서 - 이종걸 의원 대표발의(의안번호 5067, 2013년 6월)