[디지털데일리 이민형기자] 지난 18일 국회 상임위에 상정된 전자서명법 전부개정안 내용 중 ‘최상위인증기관 제3자 검증’에 대한 찬반 논쟁이 뜨겁게 달아오르고 있다.

현재 우리나라의 최상위인증기관(Root Certification Authority, Root CA)은 한국인터넷진흥원(KISA)으로 지정돼 있다. KISA는 국가 행정기관으로 정부 이외의 제3자에게는 검증이나 감사 등을 받지않는다.

그러나 전부개정안 제4조4항1호에는 ‘인증 업무의 기술적·관리적 측면에 대하여 충분한 전문성을 가진 독립적인 제3자의 점검을 정기적으로 받을 것’이라고 명시돼 있다.

전부개정안 찬성 측의 입장은 ‘최상위인증기관이 국제적으로 공신력 있는 제3의 기관으로부터 검증을 받으면 신뢰성 향상에 도움을 준다’는 것이다.

이에 반대하는 측은 ‘우리나라의 최상위인증기관은 다른 국가와 달리 국가 인프라 중 하나로 운영된다. 즉, 제3자로부터의 검증이 필요하지 않다’는 입장을 표명하고 있다.

그러나 이번 개정안은 논란을 뒤로하고 이달 임시국회에서 법안심사소위원회에 회부되지 못해, 9월 정기국회로 미뤄질 가능성이 높다.

◆“최상위인증기관이라면 제3자 검증받아야”=김기창 교수(오픈넷 이사)는 최상위인증기관이라면 반드시 제3자 검증을 받아야한다고 주장한다. 국가 행정기관이기 이전에 인증기관을 관리하는 최상위 기관이기 때문에 이에 대한 관리적 측면의 검증이 필요하다는 논리다.

김 교수는 “검증의 기준은 크게 기술적인 측면과 관리적인 측면이 있다. 현재 발급되는 공인인증서 자체는 기술적인 문제가 없다. 중요한 것은 관리적인 측면”이라며 “국가 행정기관이라고 하더라도 제3자 인증을 통해 신뢰성을 높여야 할 것”이라고 강조했다.

일부에서 우려하는 국가 기밀정보의 유출도 기우에 불과하다고 김 교수는 말했다. 그는 “제3자 검증이라고 해서 거창한 것이 아니다. 직원 관리, 인증서의 발급내역, 하위 인증기관의 감사 검증, 로그파일의 무결성 등 관리적인 측면에서만 접근하는 것”이라고 설명했다.

최상위인증기관의 제3자 검증이 진행될 경우 인증산업의 확산으로 이어질 것이라는 주장도 제기됐다.

김 교수는 “제3자로부터 검증을 받으면, 그것을 바탕으로 ‘인증사업’을 확대 추진할 수 있다. 서버인증서, SSL인증서 등의 발급서비스를 전세계를 대상으로 할 수 있게 된다는 뜻”이라며 “이는 보안산업 중에서도 고급이고 부가가치가 높다”고 말했다.

개정안에는 최상위인증기관의 제3자 검증이 필요하나 그 방법과 기준의 설정은 국가(미래창조과학부장관)가 정한다는 내용이 반영됐다. 개정안이 일부에서 주장하는 ‘인증제도의 완전 방임’을 의미하는 것은 아니라는 조목이다.

현행 전자서명법 제18조의3에 의하면 공인인증기관은 인증업무에 관한 시설의 안전성 확보를 위해 미래창조과학부령이 정하는 보호조치를 취해야 한다.

김 교수는 “개정안 제4조 제1항은 인증업무수행 기준을 미래부 장관이 정하도록 하고 있고, 국제적으로 이미 통용되는 인증업무수행기준(WebTrust, ETSI, ISO 기준 등)에 대해서도 미래부 장관이 이를 승인할지 여부를 종국적으로 결정할 권한을 여전히 보유하도록 규정하고 있다”고 강조했다.

◆“KISA는 국가 행정기관, 자체적으로 관리감독해야”=이 같은 주장에 심원태 KISA 공공정보보호단장은 “우리나라의 최상위인증기관과 해외의 최상위인증기관은 체계가 다르다. 우리나라는 정부가 특정업무를 최상위인증기관에 지정하고, 정부의 인증업무관리 기준에 맞춰서 운영한다”며 “제3자 검증기관의 최상위는 누구인가. 이들은 신뢰할 수 있는가”라고 반박했다.

우리나라의 최상위인증기관인 KISA는 국가 행정기관으로 미래부의 관리감독하에 정부 정책을 수행한다. 한 국가의 행정기관이 상급기관이나 정부의 독립적인 기관이 아닌 제3자로부터 검증을 받는다는 것이 어불성설이라는 것이 심 단장의 주장이다.

심 단장은 “오픈넷 등에서 말하는 웹트러스트 인증은 미국, 캐나다 정부가 아닌 회계사의 인증기준이다. 그들의 검증방식을 모든 국가에서 인정하는 것처럼 주장하지만 사실은 그렇지 않다”며 “인증서관리와 같은 인프라는 국가차원에서 관리하는 것이 옳다”고 말했다.

일각에서 주장하는 ‘KISA가 검증한 인증기관에서 발급하는 인증서의 불투명한 신뢰성’ 부분도 현재는 해소가 된 상황이다. 과거에는 국내 인증기관에서 발급한 SSL인증서는 인터넷익스플로러, 구글 크롬, 애플 사파리 등에서 ‘신뢰할 수 없는 기관으로부터 발급된 인증서’라는 꼬리표가 붙었다.

이는 웹브라우저 개발사들이 국내에서 발급된 인증서를 등록하지 않았기 때문에 발생한 일이었다. 현재는 모질라 파이어폭스 이외 웹브라우저에서 정상적으로 사용이 가능하다.

심 단장은 “인증기관이 제3자 검증을 받아야만 신뢰성을 확보하는 것은 아니다. 인증기관 신뢰 여부를 쉽게 판별하기 위해 기준과 검증기관을 정한 것일 뿐, 다른 검증방식을 받았다고 인증기관을 신뢰하지 못하는 것은 아니다. 정부의 자체 감사기준에 따라 인증기관의 신뢰를 증명할 수 있다”고 말했다.

끝으로 심 단장은 “글로벌 비즈니스 등을 위해 국내 인증기관들이 제3자로부터 검증을 받는 것은 긍정적으로 생각한다. 그러나 최상위인증기관이 검증을 받는 것은 하등 상관이 없다”며 “KISA는 국가 인프라를 다루는 국가정책기관임을 알아달라”고 재차 강조했다.

한편 전자서명법 전부개정안은 최재천 의원(민주당)이 지난달 28일 대표발의 했다. 개정안을 살펴보면 ‘전자서명’과 ‘공인전자서명’의 차이를 두지 않고, 최상위공인인증기관인 ‘한국인터넷진흥원’이 매년 인증기관으로부터 검증을 받아야한다는 내용이 담겨있다.

<이민형 기자>kiku@ddaily.co.kr