머니투데이

머니투데이 페이스북 머니투데이 트위터
통합검색

오늘의 증시

오늘의 증시
코스피 코스닥 원/달러
2068.05 671.56 1134.30
보합 3.18 보합 0.71 ▲1
-0.15% +0.11% +0.09%
메디슈머 배너 (7/6~)KMA 컨퍼런스 배너 (11/9~11/22)
블록체인 가상화폐

공인인증서 도대체 왜, 못 없애는 걸까요?

[조성훈의 테크N스톡] 공인인증서 의무화 폐지논란, 정부의 태도와 인식변화서 시작되야

조성훈의 테크N스톡 머니투데이 조성훈 기자 |입력 : 2014.03.29 13:19|조회 : 32546
폰트크기
기사공유
박근혜 대통령이 지난 20일 오후 청와대 영빈관에서 열린 '제1차 규제개혁 장관회의 및 민관합동 규제개혁 점검회의'에서 모두발언을 하고 있다. (청와대 제공) ⓒ News1 박철중 기자
박근혜 대통령이 지난 20일 오후 청와대 영빈관에서 열린 '제1차 규제개혁 장관회의 및 민관합동 규제개혁 점검회의'에서 모두발언을 하고 있다. (청와대 제공) ⓒ News1 박철중 기자


27일 정부는 외국인이 인터넷으로 물건을 살때 공인인증서를 사용해야하는 규제를 5월까지 없애기로 했다고 발표했습니다. 중국인들이 드라마 '별에서온 그대'의 주인공 천송이가 입었던 코트를 전자상거래로 구입할 수 없다는 지적이 일자 규제를 폐지하겠다는 겁니다.

정부는 또 현재 공인인증서 설치시 필수적인 플러그인 기술인 '액티브X'를 대체하는 기술을 개발하고, 국내 소비자들도 인터넷쇼핑몰에서 30만원이상 결제시 공인인증서를 의무사용하도록했던 금액규정도 풀겠다고 했습니다.

지난 20일 대통령이 주관한 규제개혁 끝장토론 뒤 관료들은 부랴부랴 현장에서 제기된 규제이슈에대한 해법찾기에 나섰고 액티브X와 공인인증서에대해서도 이같이 방향을 잡은 겁니다.

지난 10년간 우리 IT산업 발전의 최대 걸림돌로 꼽히던 액티브X와 공인인증서에대한 규제완화 논의가 이렇게 빠르게 이뤄진것을 보면 국가지도자의 관심이 얼마나 중요한지 새삼 깨닫게됩니다.

그동안 기자를 포함해 많은 IT전문가들이 액티브X로 도배되고 공인인증서에 발이 묶인 우리 IT환경을 개혁해야한다고 입이 닳도록 지적해왔지만 당국은 요지부동이었습니다. 현재 기술만한 보안기술이 없고 자칫 혼란이 초래될 수 있다는 논리였습니다.

일단 이처럼 빠르게 규제완화 논의가 이뤄진 것 만으로도 괄목상대할만하다 하겠습니다.
조성훈 자본시장팀장
조성훈 자본시장팀장

그러나 정부가 내놓은 대책이 과연 실효성이 있을 지에대해서는 의아해하는 목소리가 많습니다. 많은 전문가들은 정부가 이번 사안의 본질을 잘못이해하고 있다며 우려를 표합니다.

실제 처음부터 핀트가 잘못 맞춰졌습니다. 미래창조과학부는 외국인 전용 온라인 쇼핑몰을 제공하고 액티브X없이도 공인인증서를 발급해 사용하는 기술을 개발하겠다는 대책을 발표했습니다.

그런데 사실 액티브X가 보편화된 것은 인터넷익스플로러에 대한 의존도도 문제이지만, 본질적으로 우리나라가 공인인증서라는 독특한 인증기술을 채택한 때문입니다.

공인인증서는 사이버 인감인데, 일종의 암호화된 파일에 불과합니다. 언제든 복사해갈 수있어 실제 유출사고도 종 종 벌어졌습니다. 이미 전국민의 개인정보가 유통되는 상황이고 비밀번호는 얼마든지 유추가 가능한만큼 공인인증서의 보안 취약성은 두말할 나위가 없습니다.

게다가 공인인증서를 불러오기위해서 쓰이는 기술이 액티브X인데, MS 스스로 인정할 정도로 보안취약성이 큽니다. 무심코 액티브X 설치 버튼을 누르는 게 습관화되다보니 악성코드 확산을 부추겼고 누더기가 된 개인PC는 좀비화되어 해커의 공격에 속수무책으로 당하며 3.20 사이버대란 같은 국가적 사고로까지 확산된 겁니다.

거슬러올라가면 이런 기형적 환경은 정부가 공인인증서를 유일무이한 인증기술로 채택하고 이를 위해 MS의 브라우저와 액티브X를 사용하도록 강제하면서 타 보안 기술의 진입을 막은 탓입니다. 그같은 판단은 2000년대 초반 인터넷확산기에는 유효했겠지만 멀티 OS, 멀티플랫폼, 멀티디바이스를 논하는 현재는 오히려 소비자 불편을 키우고 기술발전의 장애물이 된다는 사실을 모르는 이가 없습니다.

결국 정부주도로 공인인증서를 다른 브라우저에서 쓰도록 한다는 발상이나 외국인 전용 쇼핑몰을 만들어 내외국인을 차별하는 것도 또다른 기형적 환경을 만들어내는 것일 뿐입니다.
더군다나 IT정책을 수립하는 미래부가 이런 어처구니없는 정책을 내놨다는 것을 이해하기 어렵습니다. 수년전 구글 안드로이드와 애플 iOS가 경쟁하자 정부주도의 새로운 모바일운영체제(OS)를 만들어내겠다는 발상과 일맥상통하는 대목입니다.

해법은 간단합니다. 결국 공인인증서를 대체하는, 액티브X를 쓰지않아도 되는 그런 우수한 보안·인증기술을 업체들이 자율적으로 선택하도록 하면 되는 겁니다.
공인인증서 화면
공인인증서 화면
이와 관련해서 이미 지난해 해법이 도출됐습니다.

민주당 이종걸 의원이 발의한 전자금융거래법 개정안은 정부가 보안 기술이나 인증 기술 선택에 개입하거나 간섭해서는 안 된다는 것을 핵심으로 하고 있습니다. 이 법안은 여야합의로 국회통과가 유력시됩니다.

문제는 그 이후입니다. 과연 법률하나 고쳤다고해서 과연 우리 IT환경이 바뀔까요. 많은 이들이 고개를 가로젓습니다. 가령 정부가 온라인 쇼핑몰에서 공인인증서 의무사용을 금액한도를 폐지해 길을 터줬지만 본질적으로 결제수단을 제공하는 카드사가 공인인증서 대체기술을 사용하도록 하는 유인책에대한 고민은 없었다는 지적입니다.

공인인증서 사용여부를 카드사나 전자지급결제대행(PG)업체에 맡겼기 때문인데, 이들이 소비자들의 편의를 위해 공인인증서를 사용하지 않기로 하더라도 기존 공인인증서 기반 시스템에 엄청난 투자가 이뤄진 만큼 현실적으로 이를 전환하기 어렵습니다. 게다가 자칫 다른 기술을 사용하다 사고라도나면 그 책임을 몽땅 떠안게 될 가능성이 큽니다. 이는 은행 등 다른 금융권도 마찬가지입니다.

현행 보안규정상 공인인증서의 경우 일정한 보안수준만 갖추면 사고책임이 면제됩니다. 지난해초 일부 은행의 고객PC에서 공인인증서 수백여건이 해킹되는 사고가 발생하면서 은행권에서 공인인증서의 보안취약성에대한 논의가 분분했지만 결국 아무런 변화를 이끌어내지 못한 것도 이때문입니다.

당시 한 시중은행 IT부서 관계자는 "그동안 정부는 금융사가 고객자산을 안전하게 보호하기위해 최선을 다해야하며 공인인증서를 사용하면 그 노력을 포괄적으로 인정하겠다는 식의 면죄부를 줬다"면서 "그런데 공인인증서 역시 보안에 취약한 게 드러나자 혼란이 발생한 것"이라고 말했습니다.
전자상거래업체 아마존의 결제 화면. 한 번 카드를 등록해두면 매번 카드번호나 비밀번호 확인, 본인인증 등의 절차없이 결제가 가능한 '원클릭' 결제 시스템이다. 국내 인터넷쇼핑몰은 사용자 카드번호를 저장하지 못하고 30만원이상이면 반드시 공인인증서를 써야한다. 반면 아마존은 카드정보를 보유하지만 보안에 철저히 투자하고 수상한 거래요청은 거절하는 정교한 부정거래적발 시스템을 갖추고있다. 미국은 우리와달리 사업자가 자율적으로 보안기술을 선택하되 보안사고시 책임을 무겁게진다./인터넷 웹사이트 캡처
전자상거래업체 아마존의 결제 화면. 한 번 카드를 등록해두면 매번 카드번호나 비밀번호 확인, 본인인증 등의 절차없이 결제가 가능한 '원클릭' 결제 시스템이다. 국내 인터넷쇼핑몰은 사용자 카드번호를 저장하지 못하고 30만원이상이면 반드시 공인인증서를 써야한다. 반면 아마존은 카드정보를 보유하지만 보안에 철저히 투자하고 수상한 거래요청은 거절하는 정교한 부정거래적발 시스템을 갖추고있다. 미국은 우리와달리 사업자가 자율적으로 보안기술을 선택하되 보안사고시 책임을 무겁게진다./인터넷 웹사이트 캡처


결국 정부의 태도와 인식의 변화에 본질적 해법이 있습니다. 단순히 액티브X나 공인인증서를 안써도 된다가 아니라 실질적으로 다양한 보안기술을 금융사나 전자상거래업체가 자유롭게 선택할 수 있는 구조와 문화, 그리고 다양한 보안 기술들이 시장에서 자유롭게 경쟁하는 체제를 이끌어내야하는 것입니다.

낡고 효용성이 떨어진 공인인증서 중심의 인증체계는 반드시 개혁되어야합니다. 공인인증서가 그동안 사이버인감으로서 심리적 안정감을 주고 자물쇠를 한번 더 채우는 효과가 있었다는 것은 인정하지만 현재 인증기술로서 가치는 퇴색됐고 앞으로 더욱 약화될 것입니다.

공인인증서를 대체할 기술이나 보안방식은 얼마든지 있고 또 등장할 것입니다. 당장 공인인증서 의무화를 폐지하면 보안체계를 바꾸는데 상당한 시간과 돈이 필요하고, 혼란이나 시행착오가 발생할 수 있습니다. 그렇다고 이를 포기해서는 안됩니다.

우리는 이미 지난 10여년간 공인인증서와 액티브X로 인해 너무나 많은 기회를 잃었습니다.

조성훈
조성훈 search@mt.co.kr

조성훈 산업2부 차장.

이 기자의 다른기사 보기 >
  • 0%
  • 0%


오늘의 주요뉴스

1개의 소셜댓글이 있습니다.

댓글쓰기
트위터 로그인wlgns1232356  | 2014.04.02 15:27

공인인증서 대체할 만한게 아직 없거나 갑작스럽게 실용화될 가능성이 문제 아닐까요?

소셜댓글 전체보기



종료된칼럼

베스트클릭

실시간 급상승

10.0초

5분간 수집된 조회수 기준

오늘의 운세

많이 본 뉴스