[e말뚝] 공인인증서·샵메일, 그분들의 인증 강박

가 +
가 -

어느 사회나, 어떤 산업이든 ‘규제’는 있게 마련입니다. 규제가 꼭 나쁜 것은 아닙니다. 하지만 불필요한 규제라면 뽑는 것이 옳습니다. 그것이 사회나 산업을 퇴행시킨다면 더욱 그렇습니다. IT 산업도 마찬가지입니다. 블로터닷넷은 지난해 창간 6주년을 맞아 불필요한 규제를 집어내고 바람직한 해법을 찾아보는 ‘e말뚝’ 기획기사를 썼습니다. 1년이 지난 지금은 어떨까요? 혹, 새로운 말뚝은 탄생하지 않았을까요? 7주년을 맞아 짚어봅니다.

오늘 ‘공인인증서’와 그 친구 ‘샵메일'(#메일)에 대해 얘기해보고자 한다. 인터넷의 아버지라고 불리는 팀 버너스 리 국제웹표준화기구(W3C) 총괄 감독은 “웹에 공개된 정보는 누구나 쉽게 접근할 수 있어야 한다”라며 웹의 가장 큰 특징으로 개방성을 꼽았다. 그러나 국내 상당수 웹사이트는 여전히 ‘공인인증서’ 마법에 걸려 폐쇄적인 환경을 선보인다. 심지어 이 마법은 최근 ‘e메일’로 영역을 확장했다.

opennet

 ▲이미지 : 오픈넷

시대에 뒤떨어진 인증 수단, 공인인증서

공인인증서는 정부가 안전한 금융거래를 도모한다며 2000년에 도입한 표준 X.509 인증서다. 스마트폰이 보급되고 다양한 운영체제와 웹브라우저가 등장하면서 공인인증서를 향한 불만의 목소리가 터져나왔다. 액티브X 같은 플러그인을 설치해야 동작하게 만들어진 공인인증서 사용 환경과 시대 흐름을 반영하지 못한 공인인증서의 보안 방식이 도마에 올랐다.

특히 공인인증서 사용을 강제한 덕에 국내에서 웹표준이 지켜지지 않는다는 점, 공인인증서를 쉽게 복사할 수 있다는 점, 특정 기관만 공인인증서를 발급하는 점, 공인인증서를 고무줄 잣대 적용한다는 점이 공인인증서를 둘러싼 대표 논란거리로 떠올랐다.

아마존 같은 해외 온라인 쇼핑몰이나 해외 은행에서는 플러그인 없이도 거래가 오고가는 서버 그 자체에서 인증서를 확인하는 표준보안방식을 도입해 이용하고 있다. 웹브라우저와 운영체제 상관없이 표준방식을 통해 전자금융거래를 할 수 있다.

국내는 사정이 다르다. 인증서 내 개인키 파일을 NPKI라는 별도의 폴더에 저장하는 클라이언트 인증서 방식의 공인인증서를 사용한다. 이를 지원하지 않는 운영체제와 웹브라우저에서는 공인인증서를 사용할 수 없다. 전자금용거래 시 반드시 공인인증서만 사용하게끔 강제한 탓이다. 웹표준을 지킨 채 인증을 시도하는 해외와는 비교된다.

이를 두고 이종걸 민주당 의원은 “현재 공인인증서만 보안 방법으로 활용되고 있는 것은 보안 기술과 인증기술의 공정한 경쟁을 저해한다”라며 지난 6월 ‘전자서명법, 전자금융거래법 개정법률안’을 발의하고 나섰다. 전자금융거래시 공인인증서만 사용할 것이 아니라 다른 인증 수단도 검토를 통해 웹표준을 지키면서도 안전하게 결제할 수 있는 보안 기술을 찾자는 취지였다.

현재 공인인증서는 해킹을 통해 탈취 위험은 둘째치고, 파일만 간단히 복사하는 것으로 손쉽게 유출된다. USB 메모리 또는 PC 등에 저장된 NPKI 폴더를 ‘복사&붙이기’로 얼마든지 공인인증서를 무제한 복제할 수 있다. 이런 식으로 공인인증서는 손쉽게 다른 사람 손에 넘어간다.

물론 공인인증서를 안전한 인증수단이라고 주장하는 목소리도 있다. 박성기 한국정보인증부장은 지난 8월23일 진행된 공인인증서 관련 토론에서 “중국, 일본, 스웨덴, 노르웨이 등이 금융 거래에 공인인증을 사용하고 있다”라며 “공인인증서는 로그인 거래시 사용하는 소프트웨어로, 공인인증서가 유출됐다고 해서 사용자 비밀번호 같은 걸 알아낼 수 있는 건 아니다”라고 주장했다.

하지만 이런 주장은 설득력이 떨어진다. 현재 공인인증서엔 국제표준인 2048비트 RSA 알고리즘, 256비트 SHA2 알고리즘, 128비트 SEED 알고리즘이 사용되고 있다. 이들 보안 알고리즘은 모두 사용자가 공인인증서를 내려받을 때 입력한 ‘비밀번호’를 암호화한 것에 불과하다.

오픈웹 활동가인 김기창 고려대 교수는 ‘공인인증서 논란과 해법’이란 글을 통해 “공인인증서를 NPKI 폴더에 저장한 이상 해커가 이 정보를 복사하는 걸 막을 순 없다”라며 “공인인증서 보안에 자신있다면, 인증서 사용을 ‘강제’하는 것을 그만두어야 한다”라고 박성기 부장과는 반대되는 의견을 내놨다.

공인인증서를 일부 기관이 독점 발급하는 것도 문제점으로 꼽힌다. 아무런 플러그인 설치 없이 다양한 기업이 참여해 보안성을 유지하는 표준보안방식과 달리, 국내에선 공인인증서를 발급하는 기관이 정해져 있다. 현재 이 공인인증서를 발급하는 기관은 금융결제원, 한국무역정보통신, 한국전자인증, 한국정보인증, 코스콤 등 5곳이다. 이들 기업은 2002년부터 사실상 독과점 지위를 누리며 공인인증서 사업을 했다. 자유 경쟁을 통한 발전보다는 그들만의 리그를 만들어 공인인증서를 운영한 셈이다.

다행히도 이 문제는 곧 해결된 조짐이다. 미래창조과학부는 공인인증서 독과점 문제가 불거진 지난 7월 “공인인증서 발급기관을 지금처럼 허가제가 아닌 등록제로 바꿔 다양한 업체가 공인인증서 사업을 할 수 있게 정책을 바꾸겠다”라고 말했다.

공인인증서를 둘러싼 논란을 의식해서일까. 정작 공인인증서를 강제하는 정책당국은 감독에는 소홀한 모양새다. 30만원 이상 온라인 거래시 공인인증서를 적용하지 않는 서비스가 늘고 있음에도 법규를 엄격히 들이대려는 의지는 부족해 보인다.

현재 한국 마이크로소프트 스토어, 한국 어도비스토어, 한국 오토데스크스토어, 한국 애플스토어 심지어 한국 철도공사 ‘코레일 톡’ 응용프로그램(앱)에선 공인인증서를 사용하지 않고 30만원 이상 결제할 수 있다. 이들 웹사이트를 포함해 ‘디지털리버코리아’라는 해외 결제대행업체가 맡은 온라인 쇼핑몰도 마찬가지다. 신용카드번호와 카드 유효기간,  비밀번호 등의 정보만 입력하면 된다. 공인인증서는 물론, 결제를 위한 별도의 플러그인도 설치하지 않는다. 이들 온라인 쇼핑몰에서는 표준보안방식을 이용해 결제를 지원하고 있다.

“국내 결제대행업체와 마찬가지로 해외 결제대행업체도 국내에서 결제대행을 하려면 전자금융사업자로 등록한 뒤 국내법을 적용해야 하며, 국내에 위치하고 설비를 둔 채 영업하는 곳은 모두 국내 결제법을 따라야 한다”라는 금융위원회 쪽 설명과는 어긋나는 상황이다.

물론 전자금융거래에 있어 공인인증서 사용 예외 규정도 있다. 전자금융감독규정시행세칙 제4조를 살펴보자. 전자상거래에서 지급결제로서 30만원 미만의 신용카드 결제 또는 온라인 계좌이체를 할 때나 금융기관 또는 전자금융업자가 범위를 정하여 공인인증서 등의 사용 예외를 요청하고 감독원장이 이를 승인할 경우엔 공인인증서를 사용하지 않아도 된다.

opennet2하지만 앞서 표준보안방식을 도입한 웹사이트들은 이 예외 조항에 해당하지 않는다. 이에 대해 금융위원회 담당자는 “만약, 코레일톡이 40만원이 넘는 결제에 대해서 공인인증서를 사용하고 있지 않다면, 전자금융감독규정을 어긴 예로 법률상 제제가 가능하다”라며 “관련 법을 좀 더 알아보겠다”라고 해명했다.

 e메일로 확장된 공인인증 강박증, ‘샵메일’

시행 규정 조차 애매해 제대로 적용되지 않는 공인인증서를 앞으로 어찌 믿고 신뢰해야 할지 모르겠는데, 정부는 생각이 다른가 보다. 금융위원회에 이어 정보통신산업진흥원도 결제 시장에서 입증된 공인인증서 ‘안정성’과 ‘보안성’을 바탕으로 새로운 e메일 시스템에 적용하겠다고 나섰다.

지식경제부는 2012년 전자거래기본법을 ‘전자문서 및 전자거래 기본법’으로 개정하고 ‘공인전자주소’라는 제도를 만든 뒤, ‘샵(#)메일’이라는 새로운 전자주소를 만들었다. 공공기관이나 기업에서 매번 수신확인을 위해 종이로 된 등기우편을 보내기보다 신뢰할 수 있고 보안성이 높은 e메일을 만들어 이용하면 비용을 절감할 수 있지 않겠냐는 이유에서다.

샵메일은 사용자 본인확인, 송신과 수신, 열람 확인, 부인방지, 내용증명이 법적으로 보장되는 전자우편 주소다. ‘e메일’과 이름은 비슷하지만 주소체계는 완전히 다르다. 일반 e메일이 ‘블로터@bloter.net’이란 주소를 사용한다면, 샵메일은 ‘계정 + # + 등록명칭.특성값’으로 이뤄진다. 블로터 e메일을 샵메일로 바꾸면 ‘블로터#블로터.법인’이 된다.

문제는 샵메일이 기존의 인터넷에서 오가는 e메일 시스템이 제공하는 기능에 공인인증서의 단점을 추가한 서비스란 점에 있다.

글로벌 웹표준 제정 작업에 참여하고 있는 국내 한 전문가는 “프로토콜 호환성 문제 외에도 샵메일을 사용하기 위해 공인인증서를 써야 하는 게 제일 큰 문제”라며 “기술적인 관점에서 보았을 때 샵메일은 결국 공인인증서를 사용하는 인트라넷에서만 쓸 수 있는 e메일”이라고 지적했다.

샵메일은 본인확인, 송신과 수신, 열람 확인, 부인방지, 내용증명 기능을 공인인증서를 통해 해결한다. 그런 탓에 샵메일은 우선 SMTP, POP3, IMAP 같은 프로토콜을 사용하는 기존 e메일과 호환되지 않는다. 샵메일은 HTTP와 ebMS 프로토콜을 사용한다.

김기창 교수는 “샵메일이 제공한다는 기능 중 송신과 수신, 열람확인 기능은 기존 e메일에서도 구현할 수 있다”라며 “본인확인과 부인방지, 내용증명 기능도 메일 서버의 ‘메일 전송 에이전트(MTA)’를 이용하면 메일 전송 로그 기록을 통해 파악할 수 있다”라고 주장한다. 굳이 별도의 규격을 만들지 않아도 기존 e메일 체계로도 충분히 샵메일과 같은 기능을 구현할 수 있다는 뜻이다.

지금 그림대로라면 공인인증서처럼 샵메일도 전세계적으로 통용되고 있는 e메일 시스템 시장에서 고립될 가능성이 크다. 마치 윈도우와 IE 외에 환경에서는 실행되지 않는 공인인증서의 폐쇄성이 문제가 돼 해외에서는 공인인증서를 사용해 결제하지 않는 것처럼 말이다.

샵메일이 공인인증서와 닮은 점은 또 있다. e메일과 달리 정부가 지정한 업체에서만 서비스할 수 있다는 점이다. 현재 더존비즈온, 유포스트뱅크, 웹케시, 코스콤, 프론티어 솔루션, 한국정보인증, SK텔레콤 등 7곳이 샵메일 사업자로 선정됐다.

사용자가 샵메일을 사용하려면 이들 중 한 회사를 통해 계정을 받아야 한다. 계정을 받으려면 자신의 개인정보를 공개한다는 조건으로 무료로 사용하거나, 매년 1만원을 내야 한다. 개인 사용자는 1만원, 개인 사업자는 2만원이지만, 법인이나 기관은 연간 15만원을 지불해야 한다. 샵메일 발송 비용은 별도다. 수신은 무료지만 발송시 매 건당 100원씩 내야 한다.

이미 국방부와 미래창조과학부는 지난 7월31일 예비군훈련 소집통지서를 샵메일로 통지하는 시범사업을 추진한다고 나섰다. 샵메일을 사용하면 그동안 예비군에게 우편과 인편으로 훈련소집을 통지합으로써 사용한 연간 13억원의 우편료를 절약할 수 있다고 밝혔다. 예비군훈련 소집통지서를 받기 위해 1만원을 내야 하는 예비군의 기회 비용은 무시한 처사다. 지금까지 정부가 부담하던 비용 일부를 국민에게 떠넘긴 꼴이다.

이 시스템의 도입을 추진하고 있는 정보통신산업진흥원은 샵메일 도입 5년차가 되는 2017년이면 46만7천곳 법인이 연간 100억여건의 샵메일을 발송할 것으로 예측하고 있다. 이로 인해 발생하는 샵메일 매출은 한 해에만 1조105억원이 될 전망이다. 샵메일이 특정 사업자를 위한 돈잔치에 그치는 게 아닌지 걱정되는 까닭이다.

#mail

▲자료 : 정보통신산업진흥원이 2012년 9월 가진 ‘공인전자주소 및 #메일 체계’ 설명회

네티즌의견(총 12개)