[디지털데일리 이민형기자] 지난 23일 공인인증제도 개선방향을 모색하기 위해 고려대 백주년기념관에서 개최된 ‘공인인증서 개선방향 끝장토론회’가 아쉬운 결과로 마감하게 됐다.

전자서명법 개정안 관련 각자의 입장만 고집해 모두가 만족할 만한 결론을 도출해내지 못했다.

이날 토론회는 충남대학교 김대영 교수, 경북대학교 배대헌 교수, 페이게이트 이동산 이사, 한국정보인증 박성기 부장, 한국인터넷진흥원 이정현 책임연구원이 토론자로 참석했으며 좌장은 고려대 이경호 교수가 맡았다.

이날 토론자들은 ‘현재 공인인증제도(전자서명법)은 개선돼야 한다’는 항목에 대해서는 동의했으나 그 수준과 정도에 대해서는 상당한 이견을 보였다.

김대영 충남대 교수는 “공인이라는 딱지를 붙인 공인인증서라는 것이 우리나라 표준웹 환경을 방해하고 왜곡하는 주범”이라며 “이를 개선하기 위해서 다양한 인증수단을 인정해달라는 것이 전자서명법 개정안의 취지”라고 강조했다.

이에 대해 박성기 한국정보인증 부장은 “공인인증서는 수단에 불과하며 이를 강제하는 조항은 없다”며 “선택을 하는 건, 기업과 정부의 몫”이라고 전했다.

약 6시간동안 진행된 이번 토론회는 현재 공인인증제도의 장점과 단점을 지적하는 것에 대부분의 시간을 소비했으며 개선안에 대한 논의는 일부에 그쳐 아쉬움을 더했다.

◆“정부 주도 공인인증제도는 개선돼야”=전자서명법 개정안 찬성측은 현재 공인인증제도는 정부 주도로 만들어진 것으로 경쟁력이 떨어지고 국내 시장환경을 망쳐놨다고 주장했다.

이날 영상회의로 토론회에 참석한 김기창 고려대 교수는 “현재 공인인증제도는 정부가 만들고 정부가 쓰도록 강제하고 있는 상황으로 기술 경쟁력이 없다”며 “우리나라 전자상거래 시장 초기부터 이런 상황(공인인증서 강제사용)이었기 때문에 국민들은 다른 대안을 경험하지도 못했다. 결국 자생력을 잃게 된 셈”이라고 강조했다.

김대영 교수는 공인인증서 때문에 액티브엑스와 같은 플러그인이 범람했고, 결국 지금의 상황이 도래했다고 주장했다.

그는 “공인인증서와 액티브엑스는 묶여있는 상황이며, 이를 악용하는 이익집단이 시장의 발전을 저해하고 있다”며 “근본적인 상황을 해소하지 않으면 한국 인터넷 환경은 최악의 후진국이 될 것”이라고 전했다.

김대영 교수는 전자서명법 개정안의 핵심 중 하나인 ‘다수 최상위인증기관의 인정’에 대해서도 찬성의 입장을 나타냈다.

그는 “한국인터넷진흥원(KISA)만을 최상위인증기관으로 정하는 것은 빅브라더적인 발상”이라며 “다수의 최상위인증기관을 허용해 권리가 남용되지 않길 바란다”고 전했다.

◆“공인인증서와 액티브엑스는 별도”=박성기 부장은 공인인증서와 액티브엑스는 관련이 없으므로 공인인증제도에 대한 공격을 멈추라고 주장했다.

그는 “금융서비스 사용을 위해 설치되는 액티브엑스와 공인인증서는 관련이 없다”며 “금융회사에 접속하면 설치해야하는 6~7개의 액티브엑스 중 공인인증서와 관련된 것은 하나에 불과하다”고 말했다.

이어 “액티브엑스는 기업 선택의 문제로 최근에는 액티브엑스를 사용하지 않고도 정상적으로 공인인증서를 사용할 수 있는 기술도 나오고 있다”고 덧붙였다.

또 박 부장은 개정안 내용 중 ‘최상위인증기관의 제3자 전문기관 검증’이란 항목은 ‘무정부주의 발상’이라고 비판했다. 정부에서 운영하는 인증기관을 정부가 아닌 다른기관에게 검증받는다는 것은 매우 위험한 발상이라는 것이다.

그는 “우리같은 공인인증기관이 제3자 공인인증을 받는 것으로 아직까지 세계적으로 최상위인증기관이 제3자 공인인증을 받는 경우 없다”고 단정지었다.

박 부장은 개정안이 전자서명에 대한 부분이 없다고 지적했다. 전자금융거래시엔 본인확인을 위한 ‘인증’과 부인방지를 위한 ‘서명’이 모두 포함돼야 한다.

그는 “개정안이 통과될 경우 우리나라에는 인증만 존재하고 서명은 사라지게 된다. 인증과 서명을 분리하지 않았기 때문”이라고 설명했다.

이와 관련 배대헌 교수는 “현재 공개키기반구조(PKI)는 전자서명과 인증방식을 분리할 수 없는 기술이기 때문에 전자서명법에도 공인인증서 규정을 둘 수 밖에 없었다”며 “기술의 발전으로 전자서명법 개정이 필요한 것은 사실이며 이를 어떻게 할지 고민이 필요하며, 단순히 공인인증제도의 존폐는 핵심이 아니다”고 강조했다.

전자서명법 개정은 필요하지만 현재 발의된 전자서명법 개정안대로 바뀌는 것은 문제가 있다는 주장이다.

◆현재 공인인증제도의 대안은?=현재 시행되고 있는 공인인증제도 대안에 대해서도 논의됐다. 개정안 찬성측에서는 웹표준을 언급했고, 반대측에서는 하드웨어시큐리티모듈(HSM)과 같은 인증서 저장소 보안의 강화를 강조했다.

이는 공인인증서가 로컬 ‘NPKI’ 폴더에 저장돼 복제가 매우 쉬운 상황이기 때문이다. 이는 인증서 탈취로 이어진다.

이동산 이사는 “공인인증서의 문제로 액티브엑스를 지적하는 사용자가 지속적으로 등장하면서 액티브엑스 없이 공인인증서를 사용할 수 있는 기술이 나오고 있다. 그러나 이는 근본적인 해결책이 될 수 없다”고 말했다.

최근 금융회사들은 액티브엑스 대신 플러그인 통합 설치 프로그램을 내려받게 하고 이를 통해 보안솔루션을 내려받게 한다. 형태만 달라졌을 뿐 플러그인을 설치한다는 점은 동일하다.

이 이사는 “근본적인 해결을 위해서는 웹표준으로 가야한다”며 “웹크립토워킹그룹에서는 인증서 저장소를 브라우저나 클라우드(공인인증기관)로 지정하고 인증서비스를 사용할 수 있는 기술을 개발하고 있다”고 설명했다.

현재 웹크립토WG에서는 이와 관련된 기술초안이 나와있으며 웹애플리케이션시큐리티WG, 시스템애플리케이션WG과 함께 플러그인 없이 보안, 인증 등의 서비스를 브라우저에서 사용할 수 있는 기술을 개발 중이다.

박 부장은 공인인증서 복제, 탈취를 막을 수 있다면 보안에 대한 우려가 줄어들 것이라고 주장했다.

그는 “HSM에 공인인증서를 저장해 복제가 불가능하게 한다던지, 스마트폰 등을 활용해 다른 인증방법을 추가로 도입하면 보안에 대한 우려가 줄어들 것”이라며 “발급기준 등을 까다롭게 만들어 제3자가 공인인증서를 발급받지 못하도록 하면 문제는 해결될 것”이라고 말했다.

이외에도 인증수단 다양화, 공인인증서 도입배경 등이 주제로 논의됐다.

토론회를 마치며 이경호 교수는 “이번 토론회로 공인인증서와 관련된 논쟁을 끝내려고 했던 것은 다소 성급했던 것 같다”며 “하지만 긴 시간 많은 논의를 통해. 현재 전자서명법이 개정돼야한다는 부분에 대해서는 합치를 이뤘다. 향후 서로 이해하고 협업하는 노력이 지속되길 바란다”고 전했다.

현재 공인인증제도 개선안을 담은 전자금융거래법과 전자서명법 개정안은 지난 임시국회에서 계류된 상황이며 오는 9월 정기국회에서 상정이 예정돼 있다.

<이민형 기자>kiku@ddaily.co.kr