- 전자금융거래법 개정안 발의 등 관련법 개정 움직임 급물살, “폐지·개정·존속·신중” 여전히 입장차 뚜렷 

[디지털데일리 이유지기자] 지난 13년간 독보적인 전자금융거래 인증수단으로 사용돼온 공인인인증서가 기로에 섰다.

마이크로소프트 윈도 인터넷익스플로러에서 사용되는 보안플러그인인 ‘액티브엑스(ActiveX)’ 종속성 심화, 이로 인한 이용자 보안수준 약화, 공인인증체계와 기술의 보안 취약성 등 공인인증서 의무 사용 강제로 빚어진 논란이 거세지면서, 정치권이 급기야 법개정에 나섰다.

국회 이종걸 의원(민주당)은 23일 특정한 보안·인증 기술사용을 강제하지 않는다는 내용을 담은 전자금융거래법 개정안을 대표 발의했다.

최재천 의원(민주당)은 정부주도의 ‘공인인증’ 제도와 ‘공인인증기관’도 사실상 없애 전면 개방하는 것을 골자로 한 전자서명법 전부개정안을 마련해, 조만간 국회에 제출할 예정이다.

공인인증제도를 사실상 폐지하는 전자서명법 전면개정 법안 발의를 앞두고 23일 이종걸·최재천 의원과 오픈넷이 공동 개최한 공청회에서는 여러 토론자와 참석자들 간에 치열한 공방이 오갔다.

공인인증제도 개편과 폐지를 주장·동조하는 토론자들과 정보보호학계, 공인인증제도를 운영해온 정부기관과 공인인증기관 관계자들은 상당한 입장차를 보였다.

◆“특정기술 사용 법적 강제 풀고 국제 인증기준·감사제 도입해야”=토론에 앞서 발제에 나선 김기창 고려대 교수(오픈넷)는 “공인인증 기술은 유저 권한의 개념이 없던 ‘윈도98’ 시절의 낡은 기술”이라며, “보안성을 높인다고 하지만 액티브엑스와 같은 보안플러그인에 설치하도록 하는 등 이용자를 위험하게 만들고 면피용 보안, 규정 보안을 만든다”고 지적하면서 법 개정 필요성을 제기했다.

김 교수는 “지난 13년동안 정부주도의 ‘관치 보안’을 해왔지만 결과는 ‘북한이 그랬어요’ 말고는 할 말이 없는 것이 현실 아니냐”며 “전자금융거래법이 개정돼 특정 기술을 강제하지 않는다는 것을 법에 명시해야 한다”고 말했다.

전자서명법 개정과 관련해서는 “‘공인’이라는 명칭을 폐지하고, 일방적인 전자서명 사용 강요를 중단해 거래 당사자 간 합의에 의해 사용토록 해야 한다 또 국제 인증업무수행 기준을 인정해 국내에도 반영해야 한다”고 고 강조했다.

김 교수는 특히 “루트인증기관에 대한 제3자 검증제도를 도입하는 것이 중요하다”며 “공인인증기관의 신뢰성 검증은 한국인터넷진흥원(KISA)이 수행해 왔지만 루트인증기관인 KISA는 제3자에 의해 검증받지 않는 상황에서 인증체계를 믿을 수는 없을 것”이라고 지적했다.

이날 토론자로 참여한 이주혁 플래티푸스소프트 대표는 “공인인증서와 같은 한국적 보안의 특징은 적은 비용으로 안전하고 편리한 시스템을 구현하자는 것”이라며, “안전하게 하려면 상당히 많은 비용 투자와 불편함이 수반되는 것처럼 현실적으로 전혀 교집합이 없는 것을 규정해 강압적으로 진정한 솔루션인 것처럼 강조하고 있다”고 지적했다. 

이 대표는 “공인인증서는 안전하지 않고 보안 문제가 많은 체계로 폐지해야 한다”며 “정부는 특정 솔루션을 강제하면 안되고, 보안성 심사나 가이드라인은 최소의 규정으로 만들어야 하며, 그것이 면책의 기준이 되어서는 안된다”고 강조했다. 

◆“공인·사설인증 공존 필요, 액티브엑스는 금융당국이 규정 변경해야”=김승주 고려대 정보보호대학원 교수는 공인인증서 폐지가 아니라 이를 강제하는 법조항을 바꾸는 것에 초점을 둬야 한다는 입장을 나타냈다. 그는 “공인인증서를 폐지한다고 액티브엑스가 사라지지 않는다”며, 전자금융거래 보안 기술의 액티브엑스 종속성 탈피 해법도 제시했다. 

김 교수는 먼저 “공인인증서를 없앤다고 액티브엑스가 과연 사라지나”고 의문을 제기하고 “공인인증서를 폐지시켜 액티브엑스를 없앤다는 관점은 문제가 있다”면서 “인감도장인 공인인증과 막도장인 사설인증은 공존해야 한다”는 의견을 밝혔다.

그는 “액티브엑스 사용은 전자금융감독규정에 국가기관(국가정보원)에서 평가·인증한 정보보호 제품이나 암호프로그램을 사용하도록 명시해 국내 표준 암호화 알고리즘 SEED가 사용되고 있기 때문”이라고 설명했다. 국가정보원이 국가·공공기관만 의무화하고 있는 규정을 금융위원회와 금융감독원이 금융권에 그대로 적용토록 해 나타난 결과라는 의미다.

그 해결 방법으로 김 교수는 “전자금융 보안과 관련한 암호화 알고리즘과 평가방법은 금융당국이 결정하면 된다”고 덧붙였다.

◆정부·금융위, 법 개정 신중한 입장 “지금도 다양한 인증방법 허용”=금융위원회와 미래창조과학부는 공인인증서 폐지나 법 개정에 신중한 입장을 나타냈다. 

오승곤 미래부 정보보호정책과장은 “공인인증서 문제가 보안성의 문제인지, 기술적 독점으로 보안산업 발전에 저해되고 있는지를 정확하게 규명해 논의해야 할 것”이라며, 법 개정의 필요성과 논의의 초점을 명확히 해야 한다는 점을 우선 강조했다.

이어 “전자서명법의 요지는 전자문서 활성화로 국민 생활 편익을 도모하기 위한 것이고, 서명하는 자가 본인이 맞는지, 정확한 문서인지를 확인하는 기술적 요구수단을 정해놓은 것일 뿐”이라며 “기술적인 구현은 다양한 방법이 있을 것”이라고 말했다. 현재의 전자서명법으로도 얼마든지 다양한 기술적 방법을 구현할 수 있다는 의미로 해석된다.

오 과장은 또 “공인인증서가 액티브엑스 문제라는 것은 오해”라며, “공인인증서가 가진 기본 요건을 충족하거나 더 안전하고 편리하고 저렴한 방식이 있다면 얼마든지 이용, 활성화할 수 있다”는 의사를 밝혔다.

전요섭 금융위원회 전자금융과장은 “공인인증서를 강제하지 말고 다른 인증 수단도 쓰도록 하자는 취지에 100% 공감한다”고 전제했지만 “현실적 대체수단이 없는 상황에서 갑작스럽게 제도가 변화되면 혼란이나 또 다른 충격이 발생할 수 있어 충분한 검토와 논의 과정을 통해 제도 개선이 필요하다”는 입장을 나타냈다.

전 과장은 “예전에는 전자금융거래법에 공인인증서만 쓰도록 돼 있었지만, 최근 동등한 수준의 다른 인증방법은 일정한 과정을 거치면 사용할 수 있도록 해, 특정 인증서 하나만 강요하는 상황은 아니다. 대체수단이 있다면 허용하도록 규정돼 있다”고 설명했다.

금융위는 현재 공인인증서 체계 개선과 관련해 연구용역을 진행 중이다. 전 과장은 하반기에 나올 이 연구결과와 전문가·공청회에서 나온 의견 등을 수렴해 제도 개선 방향을 마련하겠다는 방침도 이 자리에서 밝혔다. 

◆공인인증기관 반대 입장, “기술적 해결 가능, 또다른 폐단 부를 것”=한편, 이날 공청회에 참석한 KISA, 한국무역정보통신, 한국정보인증 등 공인인증기관 관계자들도 여러 의견을 쏟아냈다.

한국무역정보통신 관계자는 “인증서 파일 복사 등 보안성 문제는 기술로 해결할 수 있다는 점에서 법제도 변경이나 폐지가 필요한 문제가 아니다”며, "법 개정이나 폐지는 또다른 폐단을 낳을 수 있다“고 말했다.

한국정보인증 관계자는 “인증수단을 다양화하면 안전한 관리 책임이 발생하기 때문에 더 많은 안전한 보관·관리 이슈와 해킹 문제가 일어날 수 있다”고 지적했다.

KISA 관계자는 “전자서명법에 ‘공인’자를 삭제하면 정부가 지정하지 말라는 것이고, 루트 인증기관은 누구든 할 수 있다는 의미”라며, “어떤 인증기관이 믿을 만하고 어떤 방식으로 인증을 제공할 것인지 국민이 알아야 한다. 만일 은행이 실시간 이체가 아닌 1~2일 걸리는 방식으로 선택 제공하게 되면 국민의 불만이 높아질 것”이라고 제기했다.

이에 대해 김기창 교수는 “미국에는 베리사인을 비롯해 루트인증기관이 여럿있다. 왜 한국에는 하나만 있어야 하냐. 누구든지 전세계 감사기준에 따라 인증을 수행하는지 검증을 받아 제공할 수 있도록 해야 하고, KISA 역시 객관적으로 검증을 받아야 한다”반박하며 “지난 13년간 공인인증서 기술이 안전하니 믿고 쓰라고 세뇌해 왔고, 공인인증서를 강제 안하면 안되는 것처럼 공포를 조성해 왔다”고 강조했다.

법안을 발의한 이종걸 의원은 “마이크로소프트마저도 사용하지 말도록 권장하는 ‘액티브엑스’라는 낡은 방식을, 우리나라는 공인인증서 제도로 아직도 법률상 강제하고 있다는 것이 코믹”이라며 “은행이 인증방법을 스스로 결정하도록 해야 한다. 다만 그간 해온 방식을 급격히 바꾸는데 있어 저항이나 안전성 우려도 있는만큼 일단 병행아면서 풀어가는 방향에서 예고기간을 두는 것도 검토하겠다”고 밝혔다.

<이유지 기자> yjlee@ddaily.co.kr