공인인증서는 과연 청산돼야 할 적폐인가?…“그렇지 않다” 커지는 신중론
[디지털데일리 최민지기자] '불편함'과 '불필요함'은 분명히 다른 개념이다. 불편하기때문에 불필요하다고 도식화시켜버린 오류는 과연 없었는가. 뒤집어 말하면 '불편함'이 해소되면 '불필요하다'는 주장도 수정되는가.
공인인증서 폐지 논란이 또 다시 화두다. 무조건적인 공인인증서 철폐 주장이 다시 쏟아지고 있다. 이미 유력 대선 주자의 주요 공약으로도 거론된 바 있다.
그러나 이같은 주장이 공인인증서에 대한 기본적인 오해에서 비롯된측면이 많다는 점은 분명 한번쯤 짚고 넘어가야할 부분이다.
‘이용자 불편 = 공인인증서 탓’이라는 공식만을 적용한 채 사실과 다른 주장과 마케팅이 범람하고 있다는 지적이 꾸준히 나오고 있다.
이는 주민등록증이나 여권을 반드시 제시해야 할 상황에서 개인의 헬스클럽 출입카드나 사원증도 가능하다고 인정해버리는 오류가 될 수 있다. 헬스클럽 회원증은 본인 확인이 아니라 헬스장을 사용할 권리를 따지기 위해 만든 것이다. 모바일 기기의 본인 사용(확인)을 위해 만든 생체인식 장치(프로세스)를 법적으로 전혀 별개인 '전자서명'과 동일하게 보는 것은 법적으로도 문제를 안고 있다는 지적이다.
물론 공인인증서의 폐지에 반발하는 일각의 목소리가 공인인증서가 없어지면 기존 공인인증 발급 기관들의 수익이 사라지기때문에 나타나는 '기득권의 반발'이 아닌가하는 점도 생각해 볼 수 있다. 하지만 그럴 의도가 있다고 하더라도 아직은 좀 더 차분하게 더 논쟁해 볼 필요가 있어 보인다.
일각에서는 공인인증서를 둘러싼 호도로 인해 오히려 글로벌 추세와 반대되는 행보를 보이며 ‘인터넷 후진국’으로 스스로 걸어가는 것 아니냐는 우려까지 하고 있다.
유럽·중국 등 주요 국가에서는 전자상거래 안정성을 높이기 위해 공인인증서명을 주시하고 있는데, 한국은 오히려 공인인증서 폐지만이 답인 것처럼 목소리를 높이고 있다는 이유에서다.
이와 관련 한호현 경희대 컴퓨터공학과 교수는 단편적인 공인인증서 철폐만을 논하지 말고 공인인증서명이 필요 없는 부분부터 개선한 후 ‘보안’과 ‘간편함’을 갖출 수 있도록 기술개발에 힘써야 한다고 밝혔다.
◆공인인증서, 한국만이 사용한다? = 공인인증서는 본인확인 또는 실명확인이 아닌 전자적인 행위나 문서의 정당성을 보증하는 전자서명을 위해 발급되는 증명서다. 전자적으로 작성된 문서에 암호기술을 적용해 문서의 위변조 방지, 서명자 확인 기능을 제공함으로써 전자거래 의사표시, 거래 사실 확인 등을 목적으로 하고 있다.
공인인증서는 ‘ITU-T X.509’ 국제 표준기술로, 전자문서에 기반한 전자거래 활성화를 위해 미국, 독일, 일본 등 해외 대부분 나라가 한국과 같이 정부가 승인한 인증제도를 운영하고 있다. 해외의 경우 인증서가 세금·공문서 등 특수 용도에 사용되는 경우가 많은데, 일부 국가에서는 전자금융쪽으로도 확대되고 있다.
해외 각국이 공인인증서 사용을 주시하는 이유는 안전하고 명확한 전자거래를 위해서다. 특히, 유럽연합(EU)은 개인정보보호 강화에 나선 가운데 지난해 7월1일부터 전자서명 관련법을 전면 도입, 공공·금융분야에서 공인인증서 사용을 시작했다.
유럽 중앙은행은 2013년 중앙은행결정을 통해 유럽중앙은행 공개키기반구조(PKI) 구축 필요성을 제기하고 시스템을 운영 중이다.
중국은 지난해 11월 기준 약 3억5000만장 공인인증서가 발급됐다. 중국은 지난해 7월1일부터 비은행계 지급수단에 대해 일정규모 이상의 금액을 이체할 경우, 공인인증서 사용을 의무화했다. 비은행계 지급수단은 알리페이와 같은 결제수단을 말았다. 1000위안 이상 거래의 경우 공인인증서와 다른 인증수단을 사용해야 하고, 5000위안 이상 거래는 반드시 공인인증서를 사용해야 한다.
일본은 지난해부터 마이넘버카드 도입을 계기로 공공서비스·금융결제 등에 공인인증서(JPKI) 사용을 본격화하고 있다. 에스토니아는 공공분야와 인터넷뱅킹 등 민간분야에 공인인증서를 보편적으로 사용하고 있다. 특히, 전자주민증인 e-레지던시 카드에 공인인증서가 탑재돼 있다.
한 교수는 “EU는 전자서명법을 발효하면서 신원확인 체계를 강하게 드라이빙 걸고 있는데, 이는 자금세탁과 세금 문제를 해소하기 위한 법체계를 구축하기 위한 것”이라며 “인터넷 상거래 관련 세계적 추세는 고려하지 않고 불편함만을 앞세워 호도해 폐지하려는 것은 정치적 표몰이일뿐”이라고 경고했다.
이어 “해외 각국에서도 사용하는 공인인증서를 한국만의 갈라파고스 정책이라 호도한 것이 오늘날의 상황을 악화시킨 것”이라며 “전자상거래 안정성을 높이기 위해 전자서명법, 공인인증 서명 추세로 세계 흐름이 변화하고 있는데, 한국만 폐지를 논한다면 인터넷 후진국으로 갈 가능성을 높이는 것”이라고 지적했다.
◆공인인증서, 보안사고 책임 전가수단으로 잘못 인식 = 또한, 공인인증서는 보안사고 책임 전가 수단으로 오해를 받고 있다. 이와 관련 KISA는 보안사고 발생 때 이용자에게 책임을 부담할 수 있도록 한 것은 전자금융제도와 관련된 사항으로 공인인증 제도와 무관하다고 설명했다.
KISA 측은 “전자금융거래법에 따르면 금융회사가 제공하는 추가적인 보안조치를 이용자가 거부하는 행위를 이용자 고의 또는 중대한 과실 사항으로 정하고, 이 경우 이용자에게 책임을 부담할 수 있도록 규정한 것”이라며 “공인인증제도가 아닌 국내 전자금융제도가 외국과 차이가 있는 것으로, 제도 개선이 필요한 상황”이라고 부연했다.
전자서명법에서는 공인인증서를 사용해서 전자서명을 하면, 본인이 한 것으로 추정한다는 추정적 효력을 부여하고 있다. PC 해킹에 의해 전자서명생성정보를 상실한 상황에서 의사표시가 된 것이 입증되면 부인방지 법적 효력은 상실된다. 다시 말해, 해킹 등으로 인해 탈취된 상황이라면 이용자에게 책임이 없으며, 손해배상 책임을 금융사 등에 물을 수 있다.
여기에 더해 최근 은행들은 해킹, 피싱, 파밍 등 전자금융거래 사고 때 고객에게 손해보상을 하겠다는 내용을 담은 개정된 표준약관을 적용키로 했다. 이에 전자금융거래에서 발생한 사고에 대한 이용자 책임이 줄어들고 은행의 손해배상 책무가 확대됐다.
◆불편함 벗으려 공인인증서 폐지 외쳤는데… 소비자 부담 증가? = 물론, 공인인증서와 관련된 이용자 불편함은 존재한다. 공인인증서 자체에서 발생하는 문제라기보다 액티브X·보조 프로그램 설치 및 플러그인 구동방식으로 인해 수반되는 불편함이다.
이에 일부 이통사와 금융사는 공인인증서를 대체하는 수단을 내놓았다는 선전에 공을 들이고 있다.
하지만 엄밀하게 말하면, 공인인증서를 대체하는 것이 아닌 본인 인증 확인 수단을 갖고 사실과 다른 마케팅을 하는 곳이 대부분이다.
실제로, 공인인증서를 대체하는 인증수단을 갖추려면 공인인증서 수준의 보안이 동반돼야 한다. 간편하고 사용하기 편리하다에서 그치게 되면, 각종 보안위협 발생 때 사고의 책임에서 벗어나기 어렵다. 이는 오롯히 이용자 피해로 이어질 수밖에 없다.
한 교수는 “미국의 경우 간편함에 대한 대가로 신용카드 거래 수수료와 금융거래 비용 등이 한국보다 비싸다”며 “한국은 금융거래 비용을 줄여 저렴하게 유통시키고 있으며, 소액결제도 가능하게 하고 있다”고 말했다.
그는 또 “간편결제 등으로 인해 보안사고가 발생하는 사례가 늘어난다면 금융회사는 결과적으로 수수료를 올릴 수밖에 없을 것”이라며 “사고 발생에 따른 은행 부담이 늘어나게 되면, 이를 소비자에게 전가하는 구조가 될 것”이라고 덧붙였다.
간편함에 따른 보안 위험이 결국 비용 부담으로 이어지고, 이는 이용자 주머니에서 충당할 수밖에 없다는 설명이다. 편리함에 대한 뒷감당에 나서야 할 때가 된 것. 불편함을 줄이면서 안정성을 강화하는 방안을 강구해야 할 시점이다.
◆편리함+보안, 두 토끼 잡아야 = 이에 대해 KISA는 편리함과 안정성을 갖출 수 있도록 힘쓰고 있다고 밝혔다. 앞서, KISA는 별도 프로그램 설치, 복잡한 비밀번호 입력 등 공인인증서 불편사항 개선을 위한 관련 기술 개발 및 가이드를 공개했다.
스마트폰 내 안전한 저장소 트러스트존과 생체인식 장치가 기본 탑재됨에 따라 스마트폰 환경에서 공인인증서 이용 때 생체인식을 활용해 간편하고 안전하게 이용할 수 있는 기술 개발도 포함돼 있다.
운영체제와 웹브라우저 종류와 상관없이 가입자 컴퓨터에 별도 프로그램을 설치하지 않고 중계서버를 통해 스마트폰에서 전자서명을 수행하는 방식도 제안했다. 안전한 저장매체에 공인인증서를 발급받을 경우 유효기간을 최대 5년으로 확대했다.
우리은행은 공인인증서 암호를 대신해 스마트폰 뱅킹 거래가 가능한 홍채기반 공인인증서 서비스를 실시했고, IBK기업은행은 지문인식을 활용한 바이오정보 기반 공인인증 서비스를 시행했다. KB국민은행도 지문으로 스마트폰뱅킹 공인인증서 암호를 대신키로 했다.
한 교수는 “공인인증서가 필요 없는 부분에는 적용하지 않는 방안도 고려할 수 있으며, 단계적인 개선방안에 초점을 맞춰야 한다”며 “공인인증서 의무 이용 규제가 폐지된 만큼, 전자서명이 필요한 서비스에 대해서는 불편사항을 줄이면서 보다 안전하고 간편한 결제를 할 수 있는 좋은 상품을 만들어내는 발전적 방향으로 가야 한다”고 제언했다.
<최민지 기자>cmj@ddaily.co.kr
주파수 재할당대가, 정부가 부르는게 값? “산정방식 검토 필요”
2024-11-22 18:23:52네이버페이, 한국재무관리학회 ‘상생금융 우수기업상’ 수상
2024-11-22 16:44:59케이‧토스‧카카오뱅크, 3분기 중저신용대출 비중 30% 상회
2024-11-22 16:41:56