[디지털데일리 이유지기자] 스마트폰 확산으로 촉발된 공인인증서 의무화 문제를 둘러싼 논란이 계속되고 있다.
최근 사회적 쟁점이 된 공인인증서 문제를 진단하고 대책을 마련하기 위해 지난 25일 한국정보보호학회(회장 임종인)가 개최한 토론회에서도 기존 체계를 유지하는 것에 대한 찬성과 반대 의견을 가진 전문가들 사이에 이견을 전혀 좁히지 못했다.
현재 PC 및 스마트폰 인터넷뱅킹에서 공인인증서만을 사용토록 한 “강제 규정은 안된다”는 의견과 “11년 간 사용하면서 검증된 안전한 공인인증서의 사용 접근성 등의 문제를 개선하면 된다”는 찬반 의견이 이날 토론회 내내 팽팽하게 맞섰다.
이에 따라 정부가 국무총리실과 행정안전부, 금융위원회, 방송통신위원회, 중소기업청 기업호민관 등 관계부처·기관 간 논의를 통해 공인인증서 이외의 다른 전자금융거래 인증 방식까지 허용할 지 여부가 주목된다.
◆정부 ‘강제’ 규정 타당성 여부가 쟁점=이번 공인인증서 의무화 논란이 빚어진 것에는 스마트폰, 특히 ‘아이폰’ 열풍이 있다.
지난 1월 금융감독원이 스마트폰 전자거래 안전 대책을 통해 스마트폰에서도 PC처럼 공인인증서를 사용토록 하면서 오픈웹과 기업 호민관, 일부 사용자들이 등이 반발하고 나섰기 때문이다.
기존 국내 인터넷뱅킹 등 대부분의 전자거래서비스가 마이크로소프트 인터넷익스플로러 기반으로 제공되면서 ‘액티브X’ 방식으로 제공돼온 공인인증서체계가 스마트폰 뱅킹 등 전자거래 활성화에 걸림돌이 된다는 목소리가 터져 나왔다.
또 한국이 세계적인 전자결제 환경에 역행해 고립될 수 있다는 지적도 제기됐다.
특히, 사용자나 금융기관 등 서비스 업체 등 시장의 자유로운 선택을 방해하고 있어, 의무화 규제를 철폐해야 한다는 입장이다.
이날 주제발표 및 토론자로 참여한 김기창 고려대 교수는 “공인인증서체계를 뒤집자는 것이 아니라 전자서명법에도 없는 ‘전자금융거래에서 반드시 사용해야 한다’는 금융감독원 강제규정을 빼, 여러 인증 방식을 자유롭게 시장에서 경쟁할 수 있도록 하자는 것”이라며, “강제규정은 법·제도적으로 맞지 않는다”고 강조했다.
이민화 기업호민관도 “기술적으로 공인인증서에 문제가 있어 폐지하자는 게 아니라 다른 기술의 진입을 규제하지 말라는 것”이라며, “웹1.0 선진국인 한국이 웹2.0에서도 선진국이 되기 어려운 이유는 규제가 한축을 담당한다”고 규제 완화를 촉구했다.
결국 공인인증서 문제는 민감한 전자금융거래에서 보안성이 높고 이미 대중화된 공인인증서를 계속 사용하는 것이 더 나은 지, 아니면 정부가 강제해온 보안방식이 다양화될 수 있도록 허용해 사업자와 사용자 자율에 맡겨 선택할 수 있도록 해 그에 따른 책임을 지도록 선회하는 것이 합당한지에 대한 정부의 정책적 판단이 필요한 상태다.
◆공인인증서 ‘무용론’까지 제기, ‘오해’도 존재=공인인증서 논란이 확대되면서 급기야는 공인인증서 자체가 취약해 보안 무용론까지 제기되기도 했다.
또한 공인인증서가 ‘액티브X’ 기반 기술이고 국내에서만 통용되며, SSL(암호통신기술)+OTP(일회용비밀번호)가 공인인증서보다 보안성이 높다는 인식까지 생겨나고 있다.
국내 전자거래서비스 환경에서는 액티브X 기반의 공인인증서 사용이 일반화돼 있고, PC에 저장돼 사용자가 잘못 관리하면 실제 해킹에 무력화될 수 있다는 점에서다.
한국인터넷진흥원(KISA) 강필용 팀장은 이날 토론회에서 “최근 공인인증서와 관련해 많은 오해가 생겨나고 있고, 보안성이나 효용성이 사실과 달리 호도되고 있다”며, “공인인증서는 국제표준을 준수하고 기술중립성을 갖고 있고 해외에도 수출되고 있고, 10년 이상 사용하면서 OTP+SSL에 비해 훨씬 안전한 것으로 검증된 기술”이라고 강조했다.
사실 공인인증서는 새로운 전자금융거래 인증 대안으로 제안된 ‘SSL+OTP’는 기밀성과 무결성, 인증서비스는 제공되지만 ‘부인방지’ 기능이 부재한 것이 사실이다.
전자인증 정책업무를 담당하는 행정안전부와 KISA, 보안업계 뿐만 아니라 학자 등 전문가들도 ‘부인방지’ 기능 제공으로 공인인증서의 보안성이 높다는 점을 인정하고 있다.
이날 토론회 발표자로 나선 단국대 박창섭 교수는 “SSL+OTP는 기밀성과 무결성, 인증서비스를 제공하지만 사이버상의 인감도장이라고 할 수 있는 전자서명이 제공하는 부인방지가 안된다”며, “기술적으로 부인방지는 어떻게 할지와 함께 문화·사회·정치적인 상관성을 따져 결정해야 할 문제”라고 설명했다.
이에 관해 KISA 강필용 팀장은 “전자금융거래에서 SSL+OTP를 사용하자는 것은 부인방지 기능을 포기해 전자금융거래 보안 수준을 오히려 낮추자는 것 아니냐”라며, “수표거래 보다는 현금이 통용되고 대규모 실시간 계좌이체가 활발히 이뤄지는 국내 환경을 고려하지 않고 공인인증서를 사용하지 말자는 것은 해외처럼 이체거래에 1~3일의 추심기간을 두거나 실시간 거래에는 비용을 받자는 것인지 묻고 싶다”고 목소리를 높였다.
그러나 기술적 쟁점이 된 ‘부인방지’ 제공 여부에 따른 보안성 문제 논란과 관련해, 공인인증서 전자서명이 완벽한 부인방지를 제공할 수 있는지에 대한 의문도 제기됐다.
김기창 교수는 “공인인증서와 SSL+OTP 방식에서는 기밀성과 무결성, 인증 기능이 제공되므로 차이는 전자서명이 제공하는 부인방지에 있다”며, “그런데 과연 전자서명이 완벽한 부인방지를 제공할 수 있냐”는 의구심을 나타냈다.
김 교수에 따르면, 전자서명법에 따라 전자서명이 부인방지 효과를 완벽하게 거두려면 그 서명에 사용되는 개인키가 유출되지 않았다는 전제가 미리 충족돼 있어야 한다. 서버가 전자서명을 받더라도 공격자가 고객의 서명을 빼돌린다면 부인 방지에 의미가 없다는 결론을 내렸다.
인증서 저장 위치도 웹브라우저가 인식하지 못하는 위치에 저장하기 때문에 해커가 얼마든지 빼낼 수 있다고 지적하고, “인증서 저장위치도 다시 고민해 봐야 한다”고 제안했다.
또한 “공인인증서나 OTP도 모두 완벽한 보안 기술은 아닌 건 맞다”고 전제하고, “하지만 PKI가 마치 안전과 신뢰를 확보하는 유일한 기술적 수단이라고 하는 것은 편향된 시각으로, 다양한 기법을 인정하지 않는 것”이라고 재차 강조했다.
한편, 공인인증서는 액티브X로만 구현할 수 있다거나 국내에서만 통용된다는 인식에 대해 KISA 강필용 팀장은 “공인인증서 기술규격은 기술 중립적으로 구성돼 있고 국제표준을 준수한다”며, “시장에서 액티브X를 적용하고 있지만 자바 등 다양한 기술로 구현할 수 있고, 아이폰에서도 가장 먼저 공인인증서 기반 뱅킹·증권 서비스를 제공하고 있다”고 설명했다.
이어 “공인인증서는 전세계에서 사용할 수 있는 기술로, 국내 공인인증기술은 우수성을 인정받아 개발도상국 IT지원 일환으로 세계로 수출되고 있는 대표 브랜드”라고 덧붙였다.
현재 필리핀, 베트남, 파나마 전자정부에 이미 구축돼 있고 이집트, 인도네시아, 카메룬, 코스타리카에서도 구축이 추진되고 있다는 것이 KISA의 설명이다.
공인인증서 개인키 유출로 전자서명이 의미가 없다는 지적에 대해서는 “개인키를 이용한 전자서명 사용과 개인키의 안전한 관리는 구분될 필요가 있다”며, 인감이 위조되거나 도용되더라도 인감을 폐지하지 않는 것과 같다고 비교했다.
아울러 “KISA는 개인키를 안전하게 관리할 수 있도록 보안토큰, 스마트카드 등 개인키 유출을 원천 봉쇄하는 제품에 대한 구현적합성을 평가해 사용할 수 있도록 제공하고 있다”고 말했다.
◆공인인증서 문제 대안은 있나=공인인증서 문제를 둘러싼 논란을 해결하기 위해서는 공인인증서의 보안관리 문제와 웹 환경 종속 문제, 사용자 환경 편의 개선이 시급하다는 점에는 누구도 이견을 달지는 않은 상태다.
토론회에 패널로 참가한 김승주 성균관대 교수는 “공인인증서를 안전하게 쓰려면 스마트카드와 보안토큰을 써야하는 전제조건이 있지만 공인인증서 방식이 OTP보다는 보안성이 높은 것은 사실이지만, 스마트카드를 신속히 도입해 보안관리 문제를 해결하고 액티브X의 의존도를 낮추고, 사용자 이용 환경이 개선되는 것도 중요하다”고 말했다.
행정안전부와 KISA는 공인인증서 서비스가 대중화된 상황에서 이를 안전하게 관리하지 못해 발생하는 문제는 안전하고 편리한 보안토큰 등 저장매체를 보급하면 된다는 입장이다.
비액티브X 사용자와 장애인을 위한 개선과 재외국민 대상 공인인증서 발급 서비스를 실시해 웹접근성도 개선하겠다는 방침을 내놨다.
이미 이와 관련된 서비스는 하반기에 제공할 예정이라고 KISA는 밝혔다.
문제는 금융 등 전자거래서비스 제공기관이 저장매체 보급과 웹접근성 개선에 일정 시간이 소요된다는 것이다.
이와 함께 KISA는 스마트폰에서도 PC에서처럼 하나의 공인인증서로 자유롭게 이용할 수 있도록 인증서 저장소와 저장위치를 표준화하는 기술개발도 완료한 상태다.
특히, 아이폰의 경우 KISA와 KT가 공인인증서 공용 앱(App)을 개발 완료해 현재 보안성 검증을 받고 있고 4월에 배포할 계획이다.
그러나 이날 토론자로 참여한 페이게이트 이동산 이사는 “행안부의 아이폰 공인인증서 공용 앱은 애플의 승인이 필요하고 앱스토어 등록 규정도 지켜가 가능하다”며, “‘앱스토어’에 등록됐다 하더라도 언제든 애플이 원할 땐 등록이 취소될 수 있고 ‘리모트 킬(Remote Kill)’ 될 수도 있는데 국가 인프라를 해외 기업에 맡기는 것이며, 제2의 액티브X처럼 의존적인 상황을 만드는 것”이라고 문제를 지적했다.
김 교수는 “우리나라의 보안 기술이 특정한 인증기술, PKI(공개키기반구조)에만 치중해 있다는 것이 문제”라고 못박고, “강제규정만 뺀다면 공인인증서가 무너지는 것이 아닐 것이다. 충분히 좋은 기술이라면 강제 규정이 없어도 많은 은행이 강제 규정이 없어도 계속 공인인증서를 쓸 것”이라고 내다봤다.
현재 ‘공인인증서’, ‘SSL+OTP’ 등 인증 방식의 다양성을 허용하자는 입장이 존재하는 상황이고 부인방지 기능은 공인인증서만 갖고 있다는 점을 감안해, 일각에서는 소액결제에는 선택의 다양성을 허용하자는 의견도 제시되고 있다.
이에 대해 김승주 교수는 “소액결제에서는 두 방식을 모두 허용하는 것이 타당한 면이 있지만, 우리나라는 아직 보안 요구사항을 분석해 지켜야 할 자산의 가치와 보호책을 분석할 수 있는 연구가 이뤄지지 못하는 상황”이라며, “어느 정도 수준까지의 소액결제에서 OTP를 적용하면 되는지 분석이 안되기 때문에 결국은 가장 보안성이 높은 공인인증서만 도입되는 문제가 생긴 것”이라고 분석했다.
김기창 교수는 이에 대해 “현행 공인인증서 강제 규정이 서비스별 취약성을 제대로 분석해 선택할 수 없게 만들어 버렸다. 결국 보안전문가들이 활약할 들판도 사라지고 있는 것”이라고 토로했다.
국가 정책상 민감한 전자금융거래에 공인인증서를 사용토록 한 현행 규정을 완화해 해외에서 사용하는 SSL+OTP를 결합한 보안 방식까지도 허용하게 될지, 아니면 그대로 유지하게 될 지 귀추가 주목된다.