속보
VIP
통합검색

공동인증서 '구멍'…비대면 발급 다시 깐깐해지나

머니투데이
  • 황국상 기자
  • 카카오톡 공유하기
  • 카카오톡 나에게 전송하기
  • 페이스북
  • 트위터
  • 네이버
  • 텔레그램
  • 문자
  • 2024.02.26 04:30
  • 글자크기조절
정부가 전자서명법 개정에 나선다. 2020년 12월 전부개정안이 시행된지 불과 3년2개월여 만이다. 당시 개정으로 21년간 유지돼 왔던 공인인증서 제도가 사라지고 그 자리에 공동인증서 등 각종 민간 인증서들이 도입됐다.


업계에서는 이번 개정 시도가 지난 전부개정 후 민간 인증서 확산 과정에서 완화된 신원인증 방식을 다시 강화하기 위한 게 아니냐는 관측을 내놓는다. 최근 공동인증서 부정발급 이슈가 불거지면서 비대면 인증서 발급방식의 대안을 모색해야 한다는 지적도 나온다.



"시행령·시행규칙만으로 개정가능 방안 검토하라"


26일 정보보안 업계에 따르면 KISA(한국인터넷진흥원)는 이달 8일 조달청 나라장터를 통해 '전자서명법 개정안 마련' 용역을 발주했다. 이날까지 온라인으로 접수를 받은 후 29일 오후 개찰을 통해 적격 사업자를 선정, 용역을 진행할 예정이다. KISA는 법·제도 개선을 위해 검토할 사항으로 △신원확인 방안 마련을 통한 신원확인 기준 재정비 △전자인장, SSL인증서(웹브라우저-웹서버 암호화 시스템), 타임스탬프와 같은 eIDAS(전자 신원확인·인증·서명) 등 국외 서비스 제도화 방안 검토 △다양한 기술·체계 기반 전자서명 상호연동 방안 마련 등 15가지 사항을 명기했다.

KISA는 제안 요청 내용에 "개정 시급성으로 인해 시행령·시행규칙만으로 개정이 가능하도록 검토할 것"을 명시했다. 통상적인 법 개정이 아닌 주무부처(과학기술정보통신부)의 결정으로 곧바로 법적 효력을 발생시킬 수 있는 시행령·시행규칙 개정 방식을 택했다는 점이 눈에 띈다. 법 개정을 정부 입법 방식으로 진행하려면 통상 짧아야 6개월에서 1년 또는 수년 이상이 걸리는 경우가 허다하다. 상대적으로 기간이 짧은 의원입법 형식을 택하더라도 마찬가지다. 반면 시행령이나 시행규칙 개정은 그보다 훨씬 짧은 시간이 소요된다. 국회 상임위원회의 심의·의결 및 본회의 일정을 거치지 않아도 되기 때문이다.

전자서명법 주무 부처인 과학기술정보통신부 관계자는 "전자서명 전반의 제도나 운영상 개선사항이 있는지 점검해보고 개선방안을 마련해보자는 차원일 뿐"이라며 "(시행령·시행규칙 개정 방식을 택한 데 대해서는) 제가 아는 한 긴급하게 개정할 사항이 없다"고 답했다. KISA 관계자 역시 "법이 개정된 지 3년쯤 지나면 당초 개정 취지대로 잘 이행되는지 점검해야 할 시기"라며 법이 아닌 시행령·시행규칙 개정 방식을 택한 데 대해 특별한 이유가 없다고 답했다.




업계 "비대면 신원확인 허점, 신뢰제고 필요"


1999년 인감도장이나 자필 서명, 지장 등과 같은 효력을 가지는 전자서명으로 도입된 공인인증서 제도는 21년만인 2020년 12월 폐지됐다. 기존 공인인증서 제도가 민간의 인증 기술과 서비스 발전 및 시장경쟁을 저해한다는 이유에서였다. 당시 전부개정 후 종전 5개사에 불과했던 공인인증 사업자는 현재 21개사(민간인증서 발행사 16곳, 기존 공인인증서 발행사 5곳)로 늘었다. 인증방식도 PIN(개인식별번호), 생체인식, 패턴인식 등으로 다양해졌고 인증서 보관·이용방식도 각 사업자별로 다르게 운용되는 등 이용자들의 선택폭이 넓어졌다.

이 과정에서 완화된 것이 바로 인증서를 발급받는 이의 신원을 확인하는 방식에 대한 규제였다. 종전에는 발급을 원하는 본인이 신분증을 지참해 공인인증 등록대행기관(금융사 등)을 방문해야만 공인인증서를 발급받을 수 있었다. 개정 후에는 휴대폰 인증이나 계좌인증 등 비대면 방식으로도 신원확인이 가능해졌다. 문제는 디지털전환의 심화와 비대면 인증서 발급이 함께 할 때 발생한다. 인증서를 가진 사람이 본인인지 여부를 확인하는 방법은 느슨해진 반면 인증서와 신분증 등 일부 정보만 있으면 공공·민간의 모든 서비스에 무제한 접근할 수 있게 됐기 때문이다.

과기정통부와 KISA는 이번 개정 시도에 대해 애써 무덤덤하게 설명했지만 업계에서는 이번 개정이 비대면 발급의 허점을 보완하기 위한 시도라고 본다. KISA가 용역을 발주하며 공고한 '법·제도 개선을 위한 검토사항' 15가지 중 사업자들이 특히 관심을 기울이는 부분은 △신원확인 방안 마련을 통한 신원확인 기준 재정비 △인증사업자 수준 제고 등이다. 전자서명법 전부개정 후 인증서 부정발급에 대한 우려가 커진 데다 최근에 한국정보인증 (4,760원 ▲100 +2.15%)에서 실물 신분증 촬영본을 가지고 공동인증서를 부정발급해 이용한 사례가 확인되는 등 우려가 커졌다. 이에 인증제도 및 인증사업자에 대한 신뢰를 끌어올려야 할 필요가 커졌다는 것이다.

보안·인증 사업을 영위하는 A사 관계자는 "유럽의 eIDAS는 신원인증 기준에 따라 인증서의 등급을 나누고 인증서별로 접근가능한 서비스의 수준을 차등화하는 규정"이라며 "이번 KISA의 제안요청서에 나온 내용 중 eIDAS 등 해외 서비스 제도화 방안을 언급한 것을 보면 국내에서도 '신원확인 방법에 따른 인증서 등급화'를 고민할 필요가 있다"고 말했다.

또 다른 사업자 B사의 관계자는 "전자서명법이 전부개정된 2020년 당시에도 완화된 방식으로 발급된 인증서로 금융 등 중요도 높은 민감 서비스에 접근할 수 있도록 하는 게 맞냐는 불안이 컸다"며 "보안 우려가 크지만 이미 광범위하게 비대면 발급이 활용되는 만큼 시장 혼란이 커지지 않는 선에서 현명한 대안이 모색돼야 할 것"이라고 했다.



머니투데이 주요뉴스

엔비디아 급락에 삼전·하닉 약세… "반도체 계속 간다"
네이버 메인에서 머니투데이 구독 카카오톡에서 머니투데이 채널 추가

베스트클릭

오늘의 꿀팁

  • 뉴스 속 오늘
  • 더영상
  • 날씨는?
  • 헬스투데이

많이 본 뉴스

부동산 유튜브 정보채널 부릿지
2023 대한민국 사회안전지수

포토 / 영상