자율 vs 확대…공인인증서 갑론을박

가 +
가 -

국내에서 마이크로소프트(MS) 윈도우 외 운영체제 사용자로 살아간다는 건 피곤한 일이다. 인터넷 쇼핑몰에서 물건을 구매하는 일부터 시작해 공공기관을 비롯한 금융기관 웹사이트 접속까지 무엇하나 쉬운 일이 없다. 인터넷 쇼핑몰에서 물건을 구입하려면 방화벽이나 가상키보드 같은 각종 플러그인을 설치해야 한다. 안전한 금융거래를 위해 정부가 지정한 국가공인인증기관에서 발행한 ‘공인인증서’ 사용도 필수다.

하지만 이조차도 해당 웹사이트가 다양한 운영체제와 웹브라우저를 지원할 때 가능한 일이다. 아직도 국내 전자금융거래 환경의 철통 같은 보안은 윈도우 운영체제의 인터넷 익스플로러(IE) 환경에 최적화돼 있다. 자유, 개방 공유 중심의 인터넷을 여는 사단법인 오픈넷이 첫 논의 주제로 공인인증서를 선택한 이유이기도 하다.

오픈넷은 2월27일 국회 지속가능연구회와 공동으로 국회 입법조사처 대회의실에서 ‘전자금융거래 보안기술의 다양화’를 주제로 세미나를 진행했다. 공인인증서가 처음 나왔을 때와는 다른 웹 환경에서 공인인증서 외 다른 안전한 금융결제 수단을 고민해보자는 뜻에서다.

이날 열린 세미나에는 전응휘 오픈넷 이사장, 김기창 오픈넷 이사를 비롯해 이명석 금융위원회 전자금융팀 사무관, 심원태 한국인터넷진흥원(KISA) 공공정보보호단, 하경태 이색랜드코리아 사장, 이동산 페이게이트 이사, 권석철 큐브피아 대표 등 전자금융거래와 관련된 정부기관과 기업 관계자가 참석했다. 이들이 나눈 내용은 크게 ‘공인인증서 외 다른 결제인증방식도 도입하자’라는 의견과 ‘공인인증서를 보완해 확대 적용하자’라는 의견으로 나뉘었다.

openweb main

“금융 보안, 시장 자율 기술에 맡겨도 될 텐데”

전응휘 이사장과 김기창 이사 등 오픈넷 진영에서 주장은 하나로 모인다. 공인인증서 제도가 꼭 나쁜 건 아니지만, 공인인증서를 대체할 수 있는 많은 제도가 나온 가운데 굳이 공인인증서를 고집해야 할 이유가 있느냐는 얘기다. 시장 자율에 맡기면 공인인증서를 비롯해 더 안전하고 다양한 인증수단이 나올 텐데, 이를 굳이 국가가 강제해야 하는 이유가 무엇이냐는 게 이들 주장이다.

“대통령령도 아니고, 금융위원회가 고시한 규정 중 몇 가지는 문제를 안고 있습니다. 대표적인 게 공인인증서 사용을 강제하는 부분입니다. 전세계 대부분 나라에서는 인증서비스에 대해서 정부나 국가가 한국처럼 개입하지 않습니다.”

김기창 이사는 국가가 나서서 공인인증서 사용을 강제하며 무조건 옹호하는 식의 현행 전자금융거래 규제는 문제가 있다고 비판했다. 서비스 사용자와 이용자는 자신이 원하는 수단을 선택해 금융거래할 자유가 있는데, 국내에서는 공인인증서가 그 자유를 막고 있기 때문이란다.

해외에서는 스퀘어를 비롯해 다양한 결제 솔루션이 나와 있다. 국가가 인증한 인증서를 사용해 결제를 진행하는 곳은 없다. 그러나 국내는 현행 전자금융거래법상 30만원 이상의 금융결제에 대해서는 반드시 공인인증서를 사용해 거래하게 돼 있다. 이는 해외 다양한 콘텐츠를 국내서 이용하지 못하는 불편으로 이어진다.

“아마존이나 아이튠스 같은 서비스가 국내에 도입되지 못하는 이유입니다. 공인인증서를 강제하는 제도가 사용자의 편의를 막고 있지요. 다시 강조하지만, 공인인증서 그 자체를 비난하는 게 아닙니다. 사용을 강제하는 게 문제라고 보는 겁니다.”

안정성 때문에 사용 강제를 인정한다고 해도 또 다른 문제가 남는다. 김기창 교수는 그 외에도 ‘거래매체와 인증매체를 분리해야만 한다’라는 현행 규제도 이율배반적이라고 꼬집었다. 국내 규제엔 PC는 거래하는 주체 기기와 보안카드나 일회용 비밀번호 등 인증매체가 서로 다른 장치 또는 기기에 저장돼야 한다고 명시돼 있다.

“공인인증서는 인증매체로 PC에 저장할 수 있습니다. 이때 거래매체인 PC로 PC 안에 저장된 공인인증서를 통해 전자금융거래를 할 수 있지요. 규제가 일관성이 없습니다. 이왕 있는 공인인증서 정책이라면 제대로 된 정책이 뒷받침돼야 하는 거 아닐까요.”

안정성 검증된 수단, 편의성 확대는 필요해

이명석 사무관과 심원태 단장 생각은 조금 다르다. 이들은 공인인증서의 불편함을 인정하면서도 다른 대체 수단을 찾기보다는 공인인증서 그 자체를 보완해 확대 적용해야 한다고 주장했다.

이명석 사무관은 “인증평가위원회를 통해 공인인증서를 대신할 수 있는 수단에 대해 신청을 받았으나, 요건이 미비했는지 대체 기술을 찾지 못했다”라며 “방송통신위원회와 논의해 개선안을 준비하고 있다”라고 말했다. 공인인증서를 벗어나지 않는 수준에서 사용자 불편을 최소화하는 쪽으로 개선하겠다는 얘기다.

특히 심원태 단장은 “국내에는 공인인증서 같은 전자서명 규제가 있어, 제우스 같은 악성코드 공격에서 안전할 수 있었다”라며 “공인인증서는 대체하는 수단을 찾기보다는, HTML5 등 웹표준에 녹여 좀 더 편리하게 사용할 수 있게 만드는 게 필요할 때”라고 말했다.

제우스는 러시아에서 처음 개발된 것으로 추정되는 봇넷으로 북미 지역 등에서 금융거래 증명서를 훔치거나 자동결제시스템, 급여시스템 등 비인증 온라인 거래를 하는 웹사이트를 해킹해 허위 금융거래를 유도하는 것으로 악명이 높다. 미국의 한 기업은 제우스 공격을 받고 회사 파산에 이르렀을 정도라고 한다.

심원태 단장은 “SSL기반의 인터넷 표준을 사용하는 해외 인터넷뱅킹의 보안 기능으로는 제우스 방어가 불가능하다”라며 “국내에서 그나마 공인인증서를 사용해 인터넷뱅킹 해킹 위협이 적다”라고 공인인증서 사용을 옹호했다.

네티즌의견(총 0개)