공인인증서 무작정 없애면 어떡하냐고?…인증서 논란유감

기자가 일주일전 쓴 칼럼 '도대체 공인인증서 왜 못없애는 걸까요?'에 대해 많은 분들이 의견을 보내주셨습니다.

칼럼은 정부의 공인인증서에 대한 과도한 집착이 결국 오늘날 왜곡된 전자상거래, 인증환경을 만들었고 이를 바로잡는 해법도 공인인증서 의무화 조치 폐지에 있다는 내용이었습니다. 또 단순히 액티브X 제거나 공인인증서 의무화 폐지만이 아니라 다양한 인증서를 사업자들이 자유롭게 선택할 수 있는 체제를 만들어야한다는 것이 골자입니다.


이에 대해 많은 분들이 '속시원하다', '지지한다'며 찬성입장을 보내주셨습니다. 그런데 일부에서는 공인인증서 의무화 폐지만이 능사가 아니라는 지적도 제기했습니다.

멀리 스위스에서 국제전화를 걸어오신 UNHCR(유엔난민기구) 소속 최고정보보호책임자인 최운호 박사님이 대표적인 분입니다.

최박사와 장시간 통화를 했는데, 요약하자면 공인인증서자체는 훌륭한 기술인데 우리나라에서 잘못 사용하기 때문이라는 것입니다.

UNHCR이 나이지리아 정부와 함께 발급하는 전자주민증. 지문인식정보와 공인인증서를 IC칩에 저장한다.

최박사는 “국제통신연합(ITU)가 정한 공인인증서는 본래 개인·금융·생체 정보 등 최소한 두세 가지 암호를 알고리즘으로 보호해 저장하고 원천정보는 공유하지 않는 인증코드만 제공한다”고 말했습니다.

최박사는 또 “우리도 공인인증서에 지문 등 생체정보 데이터를 결합하면 각종 해킹과 개인정보 유출사고를 막을 수 있는데 현재는 지나치게 공인인증서 자체만 의존한다”고 강조했습니다.

나아가 "10여년이상 투자된 우리 공인인증서 인프라는 세계 최고 수준인 만큼 이를 버리자는 주장은 맞지 않으며 오히려 더욱 발전시켜 수출모델로 활용해야 한다"고 주장했습니다.

실제 세계 40개국이 생체인증과 공인인증서 기술을 쓴 다목적 전자신분증을 준비 중이며 오는 4분기에 사우디, 케냐, 탄자니아 등이 16~17가지 기능을 한 장에 넣은 전자신분증을 발표할 예정이라는 것입니다.

이를 각종 공직선거나 부동산거래, 전자정부서비스 이용시 인증목적은 물론 전자상거래나 금융결제에까지 활용한다는 것입니다. 애플이 최근 신형 아이폰에 지문인식 기능을 넣은 것도 장기적으로 공인인증서와 결합해 스마트폰을 인증기기로 활용범위를 확대하기위한 포석이라는 관측도 내놨습니다.

최박사는 과거 한국인터넷진흥원과 금융결제원에 근무하며 공인인증서 제도 도입에 관여했던 보안전문가입니다. 금융결제원은 공인인증서 이슈의 중심에 있는 기관입니다. 따라서 그의 주장을 100% 받아들이기 어려운 측면도 있습니다. 그러나 최박사 역시 공인인증서가 우리나라에서 잘못 활용되고 있다는 주장에는 맥을 같이했습니다.

최 박사는 “해외는 공인인증서에 생체정보나, OTP(원타임패스워드)를 혼합해 보안에 활용하는데 한국은 공인인증서를 단순 비밀번호만으로 사용해 취약점을 노출했다”면서 "공인인증서 도입초기 금융당국에 다른 보안기술과의 혼합활용을 요구했지만 예산이 부족하다는 이유로 묵살당했다"고 말했습니다.
결국 정부가 공인인증서를 중심으로 한 보안정책 수립과정에서 그 한계를 알고 있었다는 뜻입니다.

나아가 최박사의 주장에 일부 반론을 제기하자면, 과연 공인인증서만이 훌륭한 기술일까 하는 점입니다. 기자는 보안전문가는 아니지만, 설령 공인인증서가 지문 등 각종 생체기술과 결합시 완벽에 가까워질 수 있는 최박사의 주장을 곧이곧대로 받아들인다 해도 그게 과연 경쟁보안기술의 진입을 가로막는 이유가 될 수는 없다는 생각입니다.

조성훈 자본시장팀장

해외 많은 사이트들이 공인인증서 없이 다른 보안기술을 도입해 안전한 상거래를 유지해왔다는 것을 우리는 경험적으로 알고 있습니다.

게다가 공인인증서를 보완하면 된다는 주장에 대해서도 의문을 갖게 됩니다. 공인인증서는 최근 수년간 각종 해킹사태를 겪었고 전국민의 주민번호 등 개인정보가 노출돼(많은 비밀번호가 개인정보와 유사해 얼마든지 유추가 가능하다) 보안취약점이 노출된 만큼 국민의 신뢰를 잃었습니다. 정부가 공인인증서를 다른 OS나 브라우저에서도 쓸 수 있도록 하겠다는 계획이 나오자 많은 국민들이 실소를 머금은 이유도 그 때문입니다.

기자의 칼럼에 일부 네티즌들은 대책에 없이 무작정 폐지하는 것은 혼란만 부추길수 있다고 비판했습니다. 그런데 정말 대책이 없을까요?

실제론 많이 있습니다. 제가 잘 모르는 해외기술은 차치하더라도 국내에서도 이미 '정부가 인증한' 기술들이 있습니다. 대체인증수단 도입을 위해 지난 금감원원 지난 2010년부터 인증방법평가위원회를 가동해왔고 페이게이트의 금액인증 기술과 LGCNS가 스마트폰 간편결제가 '나급인증'(금감원은 30만원을 기준으로 이상은 가급, 이하는 나급으로 구분했다. 그런데 구분의 근거는 뚜렷하지 않아 논란이 많았다)을 받았습니다.

국내 대표 전자상거래 업체인 지마켓과 옥션은 간편결제 시스템인 '스마일페이'를 도입했습니다. 한번 결제정보를 입력하면 추후엔 간단히 스마트폰의 문자 인증번호만으로 결제할 수 있는 방식입니다. 휴대폰결제와 카드결제를 결합한 방식인데 지금은 현대카드와 삼성카드만 지원하고 있지만 추후 확대할 예정입니다.

이번 정부의 전자상거래상 공인인증서 의무사용 폐지조치로 인해 이같은 기술들이 바로 시장에 진입(30만원이상 결제까지)할 수 있게 됐고 이미 이뤄지고 있는 겁니다.

해외의 경우 암호화인증통신(SSL)과 문자메시지(SMS) 방식, 스마트폰 보안 응용프로그램 방식의 인증을 사용하고 있다고 합니다.

따라서 공인인증서의 대안이 없다는 주장은 설득력이 떨어진다고 하겠습니다.

이제부터 전자상거래 사업자들은 자신들의 서비스나 고객성향에 따라 적합한 보안기술을 선택하면 됩니다. 물론 이제부터 책임은 기업이 지게 되는 만큼 보안성에대한 평가를 전문평가 회사들에 맡겨야할 겁니다.

결과적으로 보안성이 떨어지는 기술은 시장에서 도태될 겁니다. CEO나 CSO(최고보안담당자)의 책임도 더 커질 겁니다. 지난번 카드정보 유출사태에서 보이듯이 보안에 대한 책임은 누가 대신할 수 있는 게 아닙니다.

그게 바른길이고 이른바 글로벌 스탠더드입니다.

개인적으로 공인인증서가 단기간에 없어지리라 보지 않습니다. 이미 많은 투자가 이뤄졌기 때문입니다. 다만 공인인증서를 대체할 기술은 얼마든지 있고 또 등장할 것이라는 점은 분명합니다. 시행착오가 있더라도 서서히 바꿔가야 합니다. 대체기술을 도입하고 사용자에게 공인인증서나 대체기술 중 인증방식을 선택할 수 있도록 하면 되지 않을까요.

정부는 공인인증서 의무화 폐지를 전자상거래에 국한시켰지만 다른 분야에도 전향적으로 문호를 열어야합니다. 이제부터라도 정부가 보안에 대해 일일이 규정하고 속박해야한다는 사고에서 벗어나야한다고 봅니다. 그것 말고라도 정부가 해야 할 일은 많습니다.

PS : 규제개혁을 주장하며 액티브X 폐지를 언급해온 청와대가 규제개혁신문고 사이트를 개설했습니다. 그런데 이 사이트에 접속하자마자 각종 보안프로그램 설치를 요구합니다. (한번 해보시길, 국민신문고도 마찬가지) 도대체 언제까지 이런 부조리가 계속되어야할까요?