법제도/정책

[포스트 공인인증서 ①] 역사의 뒤안길로 사라진 공인인증제도··· ‘대인증시대’의 서막

이종현
지난 10일 전자서명법 전부개정안이 시행되면서 공인인증제도가 폐지됐다. 기존 공인인증서는 ‘공동인증서’로 이름을 바꿔 여느 민간인증서와 동등한 위치에서 경쟁하는 상황이다. 장기간 한국 전자서명을 독과점하던 공인인증제도 폐지의 의미와 향후 흐름을 살펴보고자 한다. <편집자 주>

[디지털데일리 이종현기자] 공인인증제도의 시작은 전자서명법과 역사를 같이한다. 전자정부의 바람을 타고 등장한 전자서명법은 전자상거래 활성화를 목적으로 1999년 제정됐다.

당시만 하더라도 온라인상의 거래상 상대방이 거래 당사자인지 확인할 수단이 마땅찮았기에 공개키 기반 구조(PKI)에 소유자 정보를 추가해 만든 ‘전자 인감증명’을 만든 것이 공동인증서(구 공인인증서)다.

공동인증서는 전자서명법, 전자정부법, 전자금융거래법 등을 바탕으로 시장에 안착했으나 초기부터 잦은 구설수에 올랐다. 이유는 현재와 유사하다. PKI 기반 인증기술이 몇몇 국가에만 활용된다는 점, 법으로 공인인증을 강제하면서 다양한 기술 발전을 저해할 것이라는 점 등이다.

특히 공인인증제도 폐지의 결정적 계기가 된 것은 운영체제(OS)와 브라우저의 호환성 문제다. 외부 플러그인인 ‘액티브 X’ 기반 서비스로 구현되다 보니 마이크로소프트(MS) 윈도와 인터넷 익스플로러(IE)가 아닌 OS, 브라우저에서는 이용이 제한됐다. 크롬이 IE의 독점을 깨고, PC 환경에서 모바일 환경으로 전환됐음에도 윈도 PC에서, IE로만 이용 가능했던 공동인증서는 ‘적폐’로 자리매김했다.

대중이 느끼는 불편함과 동시에 ‘보안’이라는 실질적 위협도 있다. 개인이 관리하는 공동인증서는 개개인의 PC나 USB 등에 저장돼 쉽게 유출될 수 있다. 특히 보안에 책임이 있는 기업·기관이 개개인에게 책임을 전가한다는 비판도 제기됐다. 공동인증서 이용에 필요한 보안 솔루션을 실제 보안을 위해서가 아닌, 문제 발생시 회피를 위해 이용한다는 것이다.

이와 같은 공인인증제도에 대한 비판이 꾸준히 이어진 가운데 2014년 전자금융거래법 개정안이 통과되면서 공동인증서 의무사용 조항이 삭제됐다. 당시 인기 드라마였던 ‘별에서 온 그대’의 주인공 천송이(전지현)이 입었던 코트를 중국인들이 직구하려 했지만 공동인증서 때문에 살 수 없었다는 ‘천송이 코트’ 논란이 영향을 미쳤다.

의무사용이 폐지됐지만 공동인증서는 2020년까지 영향력을 이어왔다. 의무사용 조항은 없어졌으나 정부가 법적으로 ‘공인인증’이라는 지위를 부여한 인증이 있는데 별도의 인증 서비스를 도입하려는 기업이 적었기 때문이라는 것이 업계의 설명이다.

결국 ‘공인인증서 폐기’를 공약으로 내건 문재인 대통령이 당선 3년차인 올해 5월 20일 공인인증제도 폐지를 골자로 하는 전자서명법 전부개정안이 국회 문턱을 넘었다. 정부를 비롯한 업계에서는 ‘공인인증’이라는 법적 지위가 상실됨에 따라 보다 다양한 전자서명 기술이 등장할 것이라고 기대하고 있다.
PC 환경에서 은행 웹사이트 이용시 보안 플러그인 설치가 강제된다
PC 환경에서 은행 웹사이트 이용시 보안 플러그인 설치가 강제된다

공인인증제도의 폐지가 기대만큼의 효과가 나올지는 아직 확신할 수 없다. 넘어야 할 산이 여럿 있기 때문이다.

액티브 X의 계보를 잇는 보안 플러그인이 대표적이다. 정부는 올해까지 모든 공공기관 웹사이트에서 액티브 X를 비롯한 플러그인을 없애겠다고 발표했다. 기술적 어려움 등의 이유로 지연되는 몇몇개 사이트를 제외하고는 대부분 걷어냈다는 것이 행정안전부 측 설명이다.

하지만 여전히 곳곳에서는 플러그인이 잔재한다. PC 환경에서 시중은행의 서비스를 이용할 때면 보안 플러그인을 요구하는 것이 대표적이다.

이는 “아마존, 이베이 등 해외 사이트에서는 필요치 않는 인증서를 왜 국내에서만 요구하냐”는 2000년대 초반부터 제기됐던 비판의 연장선이다.

IT업계 관계자는 “해외 서비스를 이용한 적 없고 공동인증서에 익숙해진 이들은 프로그램 설치 없이 어떻게 결제가 되냐고 반문하지만 반드시 인증서를 요구하는 국내 환경이 특이한 것”이라고 전했다.

또한 의무사용 규정으로 곳곳에 보급되고 법적 지위를 누리던 공동인증서에 비해 새로운 인증서들의 사용처가 적다는 점도 문제다.

기존에는 공동인증서 하나로 공공기관, 금융, 온라인쇼핑 등 대부분의 서비스를 이용할 수 있었다. 하지만 새로운 인증서들의 경우 사용처가 제한된다. 금융서비스 이용에는 A 인증서를, 온라인쇼핑에는 B 인증서를, 공공기관에는 C 인증서를 쓰는 상황이 연출될 수 있다.

특히 어떤 인증 서비스를 선택할지에 대한 선택권이 소비자가 아닌 서비스 공급자에게 있다는 점도 되새겨봐야 할 부분이다. 소비자가 어떤 인증서를 선택하는지보다는 해당 인증서가 어디서 쓰일 수 있는지가 중요하기 때문이다.

가령 A 인증서를 이용하는 소비자가 접속한 웹사이트에서 B 인증서를 요구한다면 A 인증서는 무용지물이다. ‘선택의 자유’는 소비자가 아닌 서비스 공급자에게 주어졌다.

다수 이용자가 확보되면 해당 인증서가 활용될 확률도 높아진다. 서비스 공급자 입장에서도 더 많은 이용자를 확보한 인증서가 매력적일 수밖에 없다. 다만 여러 인증서가 서로 ‘내가 좋다’며 경쟁하는 상황이기에 사용처도 나뉠 것으로 예상된다. 과도기를 거치면서 여러 인증서가 동시에 사용되거나 인증서를 관리할 수 있는 새로운 수단이 등장하는 등의 변화가 있겠지만 당장의 변화를 기대하기는 어렵다.

혼란을 덜기 위해 공동인증서도 계속 활용된다. 그러나 ‘적폐’ 딱지가 붙여져 퇴출 수순에 들어간 공동인증서기에 점진적으로 사용이 줄어들 것으로 예견된다. 바야흐로 ‘대인증시대’의 막이 올랐다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널