공인인증제도 '갑론을박'
개선 필요에 공감대 형성, 방안은 의견 분분

인터넷뱅킹이나 증권거래, 카드결제 등 금융거래와 전자정부 등 각종 공공서비스의 신분확인용으로 사용되는 공인인증서. 인터넷으로 금융거래를 하는 성인 대부분이 이를 발급받아 사용 중이지만 아직까지 보안 논란은 끊이지 않고 있다.
김기창 교수가 이사로 있는 사단법인 ‘오픈넷’은 액티브X로 인한 취약점, 복사 가능성 등 공인인증서의 취약점과 공인인증제도의 문제점에 대해 문제제기를 하며 논쟁의 중심에 서있다.
지난 5월 민주당 최재천 의원과 이종걸 의원은 김 교수의 도움을 받아 각각 전자서명법 개정안과 전자금융거래법 개정안을 국회에 발의해 공인인증제도의 개선을 촉구했다. 개정안의 주된 내용은 공인인증서 사용을 강제하지 말며, 공인인증기관을 ‘허가제’에서 ‘등록제’로 변경해 확대함으로써 인증산업을 보다 시장자율경쟁체제로 바꿔야 한다는 것이다.
그러나 반대진영에서는 국가 기반이 되는 ‘전자서명법’의 틀을 한꺼번에 뒤집을 경우 여러 혼란이 야기될 수 있다는 우려를 표하며 개정안에 맞서고 있다. 공인인증서를 둘러싼 논쟁에 대해 찬반양론의 입장을 하나하나 짚어보고, 실제 공인증서를 사용하는 업계가 바라보는 시선은 어떤지 들어봤다.

연보라 기자 bora@ciociso.com

공인인증서가 뜨거운 감자로 떠올랐다.
공인인증서를 처음 논란의 도마 위에 올린 것은 김기창 고려대 교수를 위시로 한 사단법인 오픈넷이었다. 이들의 의견은 민주당 최재천의원과 이종걸 의원이 각각 전자서명법 전부개정안과 전자금융거래법 개정안으로 국회에 발의함으로써, 이에 대한 찬반양론으로 갈려 열띤 논쟁을 불러일으켰다. 이는 각 이해당사자들 간의 감정싸움으로까지 발전해 양 진영은 한 치의 양보나 타협도 보이지 않는 상황이다.
지난 8월 23일 고려대 백주년기념관에서 ‘공인인증서 개정방향 끝장토론’이 벌어져 장장 7시간에 걸쳐 열띤 논쟁이 이뤄졌으나, 여전히 큰 입장 차만을 확인한 채 결국 ‘끝장’은 보지 못하고 말았다. 더군다나 처음 이슈에 불을 지핀 장본인인 김기창 교수는 영국에서 화상전화를 통해 원격으로 참여했으나, 본인의 발표가 끝난 직후 ‘다른 용무’라는 이유로 로그아웃해, 정작 토론에는 참여하지 않아 아쉬움을 전했다. 그동안 김기창교수의 진의에 대해 궁금해 하고 첨예한 토론을 기대했던 많은 이들의 궁금증은 끝내 해소되지 못한 셈이다.

▲ “공인인증서는 본인확인 외 전자서명의 기능을 함께 갖고 있는데, 개정안에는 전자서명 기능은 아예 배제하고 있어 이 개정안이 그대로 통과될 경우 전자문서산업이 모두 무너질 것이다” 박성기 한국정보인증 전자문서팀장

“액티브X 위험” VS. “기술적 대안있다”

공인인증서를 반대하는 입장에서 가장 많이 문제제기를 하는 부분은 바로 액티브X로 인한 취약점이다. 공인인증서는 액티브X 기반으로 구동되는데 이 액티브X를 설치하는 과정 중 악성코드가 사용자도 모르게 설치될 위험성이 있다는 것이다.
이에 대해 인증기관들은 ‘공인인증서=액티브X’인 것처럼 혼동해서는 안된다고 강력히 주장하고 있다. 액티브X는 공인인증서를 구현해주는 하나의 수단일 뿐이며, 국내 대부분의 인터넷 서비스들이 액티브X를 통해 서비스되고 있어 비단 공인인증서만의 문제가 아니라는 설명이다. 게다가 NON-액티브X 기술이 이미 개발돼 있는 상태이며, 이를 선택해 사용하는 것은 전적으로 기업의 몫이라고 주장하고 있다. 최근 이니텍은 인터넷 익스플로러 기반에서 액티브X 없이 공인인증서를 구동하는 서비스를 개발, 출시한 바 있다.
더군다나 인터넷 익스플로러가 아닌 다른 웹브라우저에서는 공인인증서를 사용할 수 없다는 단점도 제기돼왔다. 박성기 한국정보인증 전자문서팀장은 “익스플로러 환경 외에 크롬, 파이어폭스 등 다양한 웹브라우저에서 액티브X 없이 구동되는 공인인증서 제품이 2010년부터 출시돼 있다. 기업들이 구매해서 적용하고 있지 않을 뿐이다. 벌써 은행 쪽은 대부분 오픈웹 환경으로 가있지만, 어차피 수익에 따라 움직이는 기업들은 대부분 IE를 사용하고 있는 사용자들에만 초점을 맞추게 될 수밖에 없다”고 주장했다.
인증기관들의 이러한 설명에 대해 반대진영에서는 “어차피 기업들이 실질적으로 쓰지 않고 있는 기술은 논할 가치가 없다”고 일축하고 있다. 과거 금융감독원 IT감독팀장으로서 금융권에 공인인증서를 도입한 장본인인 김인석 고려대 교수도 끝장토론회를 통해 “거의 모든 금융사들이 금융거래 페이지를 개발할 때 액티브X 기반으로 설계하고 있다. 공인인증서와 액티브X는 연결된 것으로 보는 게 맞다”고 설명했다.
김대영 충남대학교 교수는 “유독 우리나라만 너무 기형적인 인터넷 환경을 당연하게 사용하고 있다. 금융위원회가 특정기술을 강제하고 있어 모든 민간의 환경이 전부 액티브X-윈도우 환경으로 구성돼 있다. 그래서 우리나라 인터넷 환경이 세계 해커들의 놀이터가 됐다. 근본적 상황 개선 없이는 한국은 인터넷 보안 최악 후진국이 될 수밖에 없다”고 강도 높게 비판하면서 “발암물질과 같은 액티브X를 걷어내고 해외처럼 표준웹 환경으로 가야한다”고 주장했다.

“낙후된 기술” VS. “국제표준 앞서 가는 안전한 기술”

공인인증서 반대론자들은 국내 공인인증서 기술이 1990년대 수준의 낙후된 기술이라고 주장하고 있다. 또한 국제표준도 따르지 않고 있어 해외에서 전혀 통용되지 않는, ‘갈라파고스’ 기술이라는 지적이다.
이에 공인인증서 찬성론자들은 국내 공인인증서 기술은 해외에서도 벤치마킹해가는 등, 국제표준을 앞서가고 있다며 이를 부인하고 있다. 이동훈 고려대 정보보호대학원 사이버국방학과 교수는 “공인인증서는 기술적으로만 보면 현재 무결성과 부인봉쇄를 제공하는 가장 안전한 기술이나, 지적되는 것은 보안관리상의 문제점”이라고 설명하면서 “공인인증서 기술이 90년대 낙후된 기술이라는 주장은 너무 호도하는 것이 아닌가 싶다”며 부인했다.

저장위치 및 복사 문제…개선 필요

저장위치에 대한 위험성도 지적됐다. 현재 공인인증서 사용자들의 70% 이상이 PC의 하드디스크에 공인인증서를 저장해 사용하고 있는데, 이것이 공격에 취약하다는 것이다. 김기창 교수는 “‘NPKI’폴더에 개인인증서/개인 키를 저장하는 행위는 현재의 보안기술 수준에 비추어보면 납득이 안가는 행위다. 플러그인을 안 쓸 수 없도록 되기 때문에 온갖 사업적 제약이 따라오게 되면, 공격자가 복사해 가기 편리하게 될 뿐”이라고 지적했다.
공인인증서의 저장위치 및 복사 위험성에 대해서는 찬성ㆍ반대를 가리지 않고 개선에 대해 공감하고 있는 듯하다.

“공인인증서 폐지 아닌 의무화 폐지일 뿐”

VS. “전자서명기능 배제한 사실상 폐지안” 지난 5월 최재천 민주당 의원이 발의한 전자서명법 개정안의 주요내용을 살펴보면, ▲‘전자서명’과 ‘공인전자서명’을 구별하지 않을 것 ▲‘공인인증기관 지정’에 있어, 허가제에서 등록제로 변경할 것 ▲‘행정기관, 공공기관 인증서 발급 인증기관’에 대해, 독립적 제3자의 점검을 받을 것 등을 담고 있다.
이는 전자거래 당사자들이 전자서명을 사용할지 말지를 자유롭게 결정하도록 하고, 국내 인증기관들의 국제시장 진출 및 국제 경쟁력 확보를 위한 것이라고 개정안을 발의한 최 의원 측은 설명하고 있다.
이 개정안은 ‘공인인증서 폐지를 위한 개정안’으로 인식돼 인증기관을 비롯해 공인인증서 찬성진영으로부터 극렬한 반대에 부딪혔다.
이에 대해 최 의원을 도와 개정안 발의를 주도한 김기창 교수를 비롯한, 이른바 ‘오픈넷’진영에서는 ‘공인인증서 폐지를 주장한 적은 없으며, 다만 공인인증서를 의무화하는 제도를 폐지하자는 것뿐’이라고 해명하고 있다.
그러나 반대진영에서는 전자서명법 개정안은 분명 공인인증서 폐지의 내용을 담고 있다고 반박하고 있다. 공인인증서의 법적효력을 부여한 조항이 모두 생략돼 사실상 폐지나 다름없다는 것이다. 박성기 한국정보인증 전자문서팀장은 “공인인증서는 본인확인 외에 전자서명의 기능을 함께 갖고 있는데, 개정안에는 본인확인 기능에만 초점을 맞추고 있어서 전자서명 기능은 아예 배제하고 있다”면서 “이 개정안이 그대로 통과될 경우, 전자문서산업이 모두 무너질 것”이라고 경고했다.
또한 박 팀장은 “김기창 교수는 2004년부터 꾸준히 인증서 폐지를 주장해왔으며, 지난해 한 포털사이트를 통해 서명을 받은 일도 있다. 개정안을 대표 발의한 최재천 의원 블로그에도 분명 공인인증서 폐지라고 적혀있다”고 제시하면서 “반대주장에 부닥치니 폐지를 주장한 적 없다고 발뺌하고 있다”고 비난했다. 또 그는 “공인인증서 폐지에 찬성하는 대학교수 등 300명의 서명을 받았다고 주장하는데, 과거 포털사이트에서 받은 서명을 말하는 것 아닌지 모르겠다”라며 의문을 제기했다. 기자가 오픈넷에 명단공개를 요청했으나 15명 외에는 공개가 불가하다는 뜻을 전달 받았다.

최상위인증기관 KISA에 제3자검증 요구

개정안은 공인인증서 최상위인증기관인 한국인터넷진흥원(KISA)도 제3자검증을 받아야 한다는 내용을 담고 있다. 김기창 교수는 “KISA는‘한국 정부가 믿으면 됐지, 우리가 왜 제3자검증을 받아야 하느냐?’는 유아적/자폐적 발상을 그만 두어야 한다”고 비판하면서 “한시바삐 제3자 검증을 받고 버젓한 ‘국제적’인증기관으로 스스로를 업그레이드해야 한다”고 촉구했다. 그는 “세계적 인증기관인 베리사인도 매년 제3자검증을 받는다. 여러 국제적 인증기관처럼 KISA도 제3자검증을 받는다면, KISA 하위 모든 인증기관들도 자동적으로 ‘국제적’인증기관으로 인정받을 수 있다”며 “국제적으로‘인정’받게 되면 스스로 자신감이 생겨 굳이 정부가 붙여주는 ‘공인’이라는 말에 집착하거나 의지하지 않아도 될 것”이라고 지적했다.
이러한 주장에 대해 오승곤 미래창조과학부 정보보호정책과장은 “주민등록증으로 본인확인을 하는 것처럼, 온라인상에서 공인인증서를 통해 본인확인을 하는 것이다. 국가의 신분증 발급업무를 자유화하자는 전자서명법 개정안은 말이 안되며 발급기관의 제3자검증을 민간기업, 그것도 외국기업에게 받자고 하는 것은 사대주의일 뿐”이라고 일축했다.
KISA가 제3자검증을 받아야 한다는 주장에 대해 “해외와 국내 전자서명인증관리체계의 차이점을 모르고 있다”는 반대견해도 있다.
전자서명인증관리체계는 크게 규제모델, 시장모델, 혼합모델로 구분되는데, 규제모델은 서명기술과 인증기관을 규제하는 모델로 미국 유타주, 독일 등에서 사용하고 있는 체계이며, 시장모델은 특정 기술적 규제나 인증기관 요건 등이 없이 자유로운 시장경쟁 논리에 따른 체계로 영국과 미국 등에서 사용 중이다. 혼합모델은 두 가지 모델이 혼합된 것으로, 특정기술을 지정하기 보다는 인증기술의 고유한 특징만을 법률에 제공하고 있다.
규제모델 상에서는 하나의 최상위인증기관(Root CA)이 하위 다수의 인증기관을 관리하는 시스템으로 각 인증 간 연계성이 보장된다.
반면에 시장모델에서는 각 분야별로 다수의 인증기관들이 있으며 이들 간 연계성은 각 인증기관이 서로 별도의 연계 협약(bridge cross certificatepair)을 맺어야만 인정되며 이들은 루트 CA가 없는 대신 매년 제3자검증을 받아 행정기관에 제출한다.
우리나라의 전자서명체계는 미국 유타주와 독일의 규제모델을 기반으로 제정된 것으로 현재는 혼합모델에 가까운 형태라고 전문가들은 설명한다.
박성기 한국정보인증 전자문서팀장은 “독일을 비롯해 규제모델을 사용하고 있는 세계 어느 나라도 루트CA가 제3자검증 받는 곳이 없다”고 반박하고 있다. 그는 “김기창 교수가 국회회의에서 일본의 루트CA 제3자검증의 사례라며 제출한 문서는 루트CA가 아니라 일반 인증기관의 제3자검증에대한내용이었다”고밝히면서, “일본의경우 루트CA가 없이 각 인증기관들이 루트CA를 겸하고 있으며 3자검증을 받아 결과를 총무성에 제출하고 있다”고 설명했다.

당사자인 KISA도 동일한 입장을 표명했다. 임진수 KISA전자인증팀장은 “신뢰기관으로서 가장 정점에 있는 최상위인증기관이 별도로 제3자검증을 받을 필요는 없다”면서도 “필요하다면 얼마든지 제3자검증 받을 수 있다. 문제될 것 없다. 그러나 그 제3의 사설인증기관에 대한 신뢰성은 어떻게 검증할 것인가? 옥상옥(屋上屋)일 뿐이다”라고 말했다.

▲ “공인인증서는 주민등록증처럼 온라인상 본인확인을 하는 신분증이다. 국가의 신분증 발급업무를 자유화하자는 것은 말이 안되며 발급기관의 제3자검증을 민간기업, 그것도 외국기업에게 받자고 하는 것은 사대주의일 뿐이다” 오승곤 미래창조과학부 정보보호정책과장

인증기관 ‘허가제’에서 ‘등록제’로

또한 개정안에서는 인증기관을 허가제에서 등록제로 바꿀 것을 요구하고 있다.
공인인증 발급기관 지정 및 관리는 미래창조과학부에서 관할하고 있으며 전자서명법 시행령에 따라 시설 및 장비 운영인력, 재정능력 등 자격요건 제한을 두고 지정하도록 하고 있다. 현재 금융결제원, 코스콤, 한국정보인증, 한국전자인증, 한국무역정보통신 등 5개
의 인증기관이 인증업무를 수행해오고있다.
개정안을 발의한 측에서는 국가에서 인증기관을 지정하는 제도 때문에 새로운 업체가 진입하지 못하고 있어 자율경쟁체제를 거스른다는 의견이다. 이에 현행의 ‘허가제’에서 ‘등록제’로 전환해 인증기관 수를 늘려야 한다고 주장하고 있다.
그러나 인증기관 수를 국가에서 제한하지 않을 경우 업체 난립으로 인한 사용자들의 피해발생을 우려하는 목소리도 있다. 현재 인증에 대한 제3자검증을 10년 이상 효력을 유지하도록 돼 있는데, 만약 영세업체가 중간에 도산하게 되면 더 이상 효력을 가질 수 없기 때문이다.
그러나 미래부에서도 원칙적으로는 공인인증서 발급 시장이 시장경쟁체제 방향으로 가야한다는 데에 대해서는 공감하고 있다. 이에 미래부는 현행 허가제인 공인인증기관 지정 제도를 일정 요건만 충족하면 시장진입을 허용하는 등록제로 전환한다는 내용의‘전자서명법 개정방향’을 공개했다.
오승곤 미래부 정보보호정책과장은 “인증업체 허가 기준이 너무 높아서 문제가 될 수 있다면 이 기준을 좀 더 완화해서 너무 심각한 결격사유가 아니고는 허가해주는 방향으로 가고자 한다”면서 “보다 시장경쟁체제로 갈 수 있도록 환경을 만들어갈 방침”이라고 밝혔다.
그러나 이러한 미래부의 발표에 김기창 교수는 “허울만 바뀌었지 여전히 공인인증기관을 심사할 권한을 관청이 쥐고 있다. 전자서명법 전부개정법률안의 동력을 한풀 꺾어보겠다는 기만적인‘꼼수’”라며 불만을 나타냈다.
한편 박성기 한국정보인증 전자문서팀장은 개정안에 대해 ‘국민의 희생을 강요하는 법’이라고 비난했다. 현행 전자서명법에 따르면 공인인증서 유출로 인한 사고에 대해 인증기관이 과실여부를 입증하고 손해배상 하도록 돼있는데, 개정안에는 이러한 조항이 모두 빠져서 개인들이 과실여부를 입증해야 한다는 것이다.
더불어 전자서명법과 연관된 법들이 90여 개가 있는데 이 법들에 미칠 영향에 대해서도 심도 있는 검토가 이뤄져야 한다는 주장이다.
한편 공인인증서 존폐를 논하는 데 있어 다양화와 더불어 통일성과 연계성도 간과해서는 안된다는 의견도 있다.
공인인증서가 발급이 까다롭고 액티브X 설치로 인한 불편함도 있지만, 하나의 인증서로 모든 분야에서 연계해 사용이 가능하다는 편리성도 분명 있다는 것이다. 인증서가 다양화됐을 경우, 각 은행별로 제각각 다른 인증서를 발급받아 관리해야 하는 불편함과 비용은 감수해야 한다는 설명이다.
오승곤 과장은 “시장경쟁체제를 통해 다양한 인증수단이 경쟁·발전하는 방향으로 가야한다는 생각에는 동의한다. 그러나 새로운 인증체계를 도입하는 데 드는 투자비용과 소비자들이 여러 개의 인증수단을 겸비해야 하는 불편 등 여러 사회적 비용도 고려해야 할 것”이라고 지적했다.

▲ “정부로서는 기술중립성에 대해 반대할 이유가 없다. 다양한 인증수단들이 시장논리에 의해 경쟁적으로 개발돼 제공돼야 하지만 일정수준에 대한 제재는 필요하다” 전요섭 금융위원회 전자금융과장

“공인인증서 강제 말라” VS. 금융위 “선택권 이미 보장…심사 유지돼야”

이종걸 민주당 의원이 발의한 전자금융거래법 개정안의 주요골자는, 금융기관에 공인인증서 사용을 강제하지 말라는 것이다.
그러나 금융위원회에서는 이미 인증수단 선택의 자율성은 법적으로 보장돼있다고 주장한다.
현행 전자금융거래법 감독규정 17조에 따르면 ‘공인인증서 또는 이와 동등한 수준의 인증수단을 사용하도록’돼 있다. 또한 그 인증수단을 평가하는 것은 금융감독원에서 운영하는 ‘인증수단평가위원회’가 평가하고 있다. 따라서 보안수준만 적합하다면 어떠한 기술이든 사용할 수 있도록 돼있기 때문에 전자금융거래법이 기술중립성을 훼손하고 있는 상황은 아니라는 것이 금융위 측 설명이다.
인증수단 평가는 가군과 나군, 두 가지 보안등급으로 구성되는데, 공인인증서가 속해 있는 것이 가군, 그보다 한 단계 낮은 보안수준이 나군이다. 나 군 등급을 통과하면 30만원 이하의 금융거래에 한해 사용할 수 있다.
현재까지 단 두 개의 기술이 나 군의 심사에 제출돼 통과한 바 있다.
개정안 찬성론자들은 법적으로는 문제가 없더라도, 실질적으로 새로운 업체가 진입하기 어려운 구조이기 때문에 평가심사 자체를 폐지해야 한다고 주장하고 있다.
전요섭 금융위 전자금융과장은 개정안에 대해 “인증수단을 다양화하고 경쟁체제로 가야한다는 방향에 대해서는 전적으로 동의한다. 이미 법적으로는 기반이 돼있지만, 공인인증서라는 문구가 문제시된다면 이를 삭제할 용의도 있다. 하지만 인증기술에 대한 심사는 유지돼야할 것”이라고 못 박았다. 현재 금융위는 공인인증서 대책을 위해, 해외사례 및 국내도입안 등 연구용역을 진행 중에 있으며 용역 결과에 따라 전자금융거래법 개정방안을 내놓을 계획이다.

▲ “3천만 명 이상이 여러 분야에서 사용하고 있는 것을 제도적으로 완전히 틀을 뒤집기보다는 개선·보완해 가는 방향이 맞지 않을까? 전자서명법은 그대로 존속되되, 전자금융거래법은 개정해 신기술 도입, 인증기관 확대 등 새로운 변화가 필요할 것이다” 임진수 한국인터넷진흥원 전자인증팀장

자율경쟁체제로 전환, 보안기업 자생력 키워야

다양한 인증수단을 사용하자는 것에 대해서도 산·학·관이 모두 동의하고 있는 바이다. 심지어 인증기관 관리감독 책임을 갖고 있는 미래창조과학부과 최상위검증기관인 한국인터넷진흥원 그리고 금융위원회까지 동일한 입장을 피력했다. 인증수단을 다양화함으로써 경쟁시장 기반을 갖춰 국내 인증기관들이 국가의 비호 없이도 자생할 수 있는 경쟁력을 갖춰가도록 해야 한다는 것에는 이견이 없다.
그러나 최소한의 규제는 유지해야 하는지, 완전히 시장을 개방해 민간영역에 맡길 것인지에 대한‘개혁의 정도와 방향’에 있어서는 의견이 갈리고 있다.
전요섭 금융위원회 전자금융과장은 “정부로서는 기술중립성에 대한 부분을 반대할 이유가 없다. 다양한 인증수단들이 시장논리에 의해 경쟁적으로 개발돼 제공돼야 한다”면서도 “하지만 일정 수준에 대한 제재는 필요하다”는 입장을 밝혔다.
임진수 한국인터넷진흥원 전자인증팀장은 “3천만 명 이상이 여러 분야에서 사용하고 있는 것을 제도적으로 완전히 틀을 뒤집기보다는 개선·보완해 가는 방향이 맞지 않겠느냐”며 “전자서명법은 그대로 존속되되, 전자금융거래법은 개정해 신기술 도입, 인증기관 확대 등 새로운 변화가 필요할 것”이라고 말했다.
반면 김기창 고려대 교수는 “한국 인터넷기업은 정부에 기생해서 정부가 기술을 강제해주기만을 바라지 기술자생력이 없다. 또 공인인증서 발급관리서부터 시작해 보안감사 등 모든 고부가가치의 보안사업을 정부가 직접 수행하기 때문에 이런 분야의 보안산업이 생겨날 기회조차 박탈하고 있다”며 완전 시장자율경쟁체제로 전환해야한다고 강조했다.

▲ “한국 인터넷기업은 정부에 기생해서 정부가 기술을 강제해주기만을 바라지 기술자생력이 없다. 또 공인인증서 발급관리서부터 시작해 보안감사 등 모든 고부가가치의 보안사업을 정부가 직접 수행하기 때문에 이런 분야의 보안산업이 생겨날 기회조차 박탈하고 있다” 김기창 고려대 법학대학원 교수

금융계 “당분간 공인인증서 유지”

BUT 규제 중심 보안정책 완화돼야 실제 공인인증서를 사용 중인 금융업계에서는 이번 공인인증서 이슈에 대해 어떻게 느끼고 있을까?
대부분의 금융사들은 개정안에 대해 한 발 물러서 중립적인 입장을 보이고 있다. 어떠한 기술이든 안전하고 편리하기만 하면 얼마든지 도입할 용의가 있다는 것이다. 그러나 아직은 공인인증서 외에 별다른 대안이 없다는 게 공통적인 의견이다.
한 카드사 CISO는 “최근 해킹기술이 발전하면서 공인인증서의 취약점이 발견된 것이므로 이를 보완해나가면 되는 것이지 아예 공인인증서를 폐기할 문제는 아니다. 게다가 전자서명 기능에 대한 대안이 현재까지는 없다”라면서 “공인인증서, 액티브X를 쓰느냐, 안쓰느냐가 문제가 아니라, 어떠한 기술이든 소비자들이 안전하고 편리하게 사용할 수 있는 것이면 어떤 것이든 환영”이라고 밝혔다.
또 다른 은행 IT 부서장은 “업계야 다양한 대안이 나오면 안전한 방식을 선택해 사용할 뿐이다. 앞으로 인증업체들이 보다 R&D를 활발히 해서 새로운 인증기술을 선보여 다양한 선택을 할 수 있기를 바란다”는 뜻을 전하면서도 “하지만 획기적인 무언가가 나오기 전까지는 공인인증서를 유지하는 것이 바람직할 것”이라고 말했다.
공인인증서 의존도를 낮춰야 한다는 의견도 있었다. 한 CISO는 “사실 공인인증서를 진짜 사용해야만 하는 환경은 현재의 절반도 되지 않을 것”이라며 “굳이 실명확인이 필요치 않은 단순 로그인에까지 무차별적으로 공인인증서를 사용하는 행태가 문제”라고 지적했다.
사실 금융사들이 정작 문제시하는 부분은 공인인증서 자체가 아니다. 금융사들은 공인인증제도와 마찬가지로, 모든 보안규제가 지나치게 세세하고 엄격한 것에 대해 어려움을 호소하고 있다. 김기창 교수의 공인인증서 관련한 주장 중에 ‘관치보안’의 문제제기 부분에 대해 크게 공감하는 모습을 보이고 있는 것이다.
한 은행 IT 부서장은 “보안관련 법령이나 규준이 너무 많다. 보안전문가가 보안에 신경 쓴다기보다는 법에 얽매이는 경향이 있다. 보안을 위한 보안이 아닌, 컴플라이언스를 위한 보안이 될 수 있는 것”이라고 지적하며 “7월에 금융위가 발표한 보안강화대책에 이어, 올해 안으로 상세 가이드라인이 또 나올 예정이다. 망분리 사업을 추진해야 하는데, 상세 가이드라인을 기다리느라 미루고 있는 상황이다. 가이드라인이 포괄적인 것이 아니라 너무 상세하게 돼 있어서 기업의 선택권을 가로막고 있는 상황”이라고 하소연했다.
또 다른 은행 관계자는 “보안기술의 발전을 위해서는 통제나 규제보다는 경쟁을 유도하는 방향이 바람직하다. 금융분야에 있어서 삼성과 같은 글로벌 기업이 나오지 않고 있는 이유도 너무 규제가 심해서다”라고 비판했다. 또 그는 “금융권은 시스템 하나 개발할 때도 일일이 모든 것을 보안성 검토를 받는다. 국가에서 하라는 대로 따라가면 되기 때문에 오히려 기업들은 편할 수도 있다. 하지만 결국 수동적인 자세만 학습시키기 때문에 장기적인 발전에는 도움이 안될 것”이라고 지적했다.
반면 국내 환경에서 규제 중심의 보안정책은 어쩔 수 없는 부분이라는 주장도 있다.
한 은행 IT 관계자는 “제1금융권 등 대기업들이야 강제하지 않아도 보안투자를 할 조직과 역량이 있지만, 중소업체는 강제하지 않으면 그럴 역량이 없기 때문에 어느 정도 규제가 필요할 것”이라며 “보안이 타율보다는 자율개념, 비용이 아닌 투자 개념으로 바뀌어야 한다”는 의견을 전했다.
전요섭 금융위 전자금융과장은 “해외의 경우, 사고 발생시 이용자들이 거래를 끊고 손해배상 소송도 일어나는 등 기업이 보안에 신경을 쓰지 않으면 안되는 시장구조를 갖고 있지만, 우리나라는 그보다는 빠르고 편한 서비스를 강점으로 이용자들을 끌어들이고 있는 환경이기 때문에 최소수준을 규정으로 정해줘야 한다”면서도 한편으로 이러한 규제방식에 분명 부작용이 있음을 시사했다. 그는 ”규정을 상세히 내려주면 그 이상은 안하려는 경향이 생길 수 있다. 따라서 장기적으로 불필요한 규제들은 정리해 나가는 것이 맞다. 너무 상세한 규정은 좋은 것은 아니다“라고 말하며 “궁극적으로 금융사들이 자율적으로 보안을 강화해가고, 그렇지 않으면 기업존폐가 어렵다는 인식이 있어야 이런 규제가 필요 없을 것”이라고 전했다.
또 전 과장은 “금융사들이 과잉 규제를 호소하고 있는 것에 대해 충분히 인지하고 있다”며 “규제안을 만들 때 규제수용성을 중요하게 여기고 있다”고 말했다. 그는 “예를 들면 ‘CISO전임제’같은 경우도 중소기업들이 CISO를 임원으로 두는 것을 부담스러워할 수 있어, 자산규모 10조원 이상만 대상으로 하도록 했다. 또 취약점 분석평가도 전문기관이 7개로 한정돼 수용이 어려워서 스스로 평가할 수 있는 간이평가제도를 만드는 등, 최대한 시장상황을 감안해서 만들어가려고 하고 있다”고 설명했다.

▲ “금융권은 시스템 하나 개발할 때도 일일이 모든 것을 보안성 검토를 받는다. 국가에서 하라는 대로 따라가면 되기 때문에 오히려 편할 수도 있지만 결국 수동적인 자세만 학습시키기 때문에 장기적인 발전에는 도움이 안될 것이다” 이종육 KDB산업은행 IT기획부장

“국민들은 새로운 인증수단을 원하고 있다”

공인인증서로 인한 사용자들의 불만은 꽤 심각한 수준으로까지 올라와있는 듯하다.
최근 벌어진 현대카드 사태는 그동안 공인인증서에 대한 사용자들의 피로도가 얼마나 극에 달해있는지를 보여주는 사례라고 할 수 있다.
지난 7월5일 이찬진 드림위즈 대표가 정태영 현대카드 대표의 SNS에 메시지를 남겼다. 공인인증서 없이 결제 가능한 ‘알라딘’에서 현대카드 결제가 불가함을 지적하는 글이었다. 이에 정대표가 ‘규제상 허용되지 않는 결제방법’이라는 답변으로 응수했고 이는 SNS를 통해 일파만파 번져 나가며 공인인증서 논란을 일으켰다. 또한 삼성카드, 비씨카드 등 타 카드사들도 잇달아 해당 간편결제 서비스인‘페이게이트’와의 제휴를 중단함에 따라 카드사와 결제대행사 간의 갈등으로까지 심화됐다.
사실 이번 사태는 30만 원 이하의 소액결제로 어차피 공인인증서가 요구되지 않는 부분이었음에도 불구하고, 페이게이트의 간편결제에 호응하는 사용자들과, 이에 대한 보안성을 우려해 도입을 거부한 카드사들의 입장차가 여실히 표면화된 사례라고 볼 수 있다.
공인인증서의 안정성 이슈, 전자서명법·전자금융거래법의 개정안에 대한 논란 등과 별개로, 사용자들은 보다 편리하고 새로운 결제수단에 대한 요구가 높아지고 있는 상황이다.
과거 전자정부와 금융실명제 등을 빠르게 확산시키고자한 정부의 강력한 드라이브에 따라 공인인증서는 현재 무려 3천만 명이 이용하고 있다. 그러나 국가의 강력한 드라이브에 의해 정책이 강요되는 시대는 지고 있다. 규제에 의한 보안보다 시장의 경쟁논리에 의해, 소비자들의 안전과 편리성에 대한 요구를 적절하게 받아들여 합의점을 찾아야 할 것이다.
현재 국회에 계류 중인 전자서명법 전부개정안과 전자금융거래법 개정안은 공급기업과 수요기업 그리고 실사용자 세 가지 측면에서 심도 깊게 검토되고 논의돼야 할 것이며, 더불어 기업들의 지혜로운 선택과 자율경쟁을 통해 글로벌 자생력을 제고할 수 있는 보안산업 기반을 다지는 것이 무엇보다 시급할 것으로 보인다.