공인인증서 개혁, 칼자루 놓고 휘슬 들라

가 +
가 -

놀라운 일이다. 정부가 먼저 나서서 공인인증서를 손질하겠다고 나섰다. 말 많고 탈 많은 공인인증서 문제를 손본다니 반가운 소식이다. 그런데 그 말 뒤에 내놓는 대책을 보고 있자니 고개를 갸웃거리게 된다.

요즘 나온 보도를 돌아보자. 최근 공인인증 제도 개선을 직접 거론하고 나선 이는 박근혜 대통령이다. 박근혜 대통령은 지난 3월20일 규제개혁 장관 회의에서 드라마 ‘별에서 온 그대’를 본 중국 시청자가 한국 인터넷 쇼핑몰에서 주인공이 입은 옷을 사려다가 공인인증서 때문에 끝내 옷을 못 사고 발길을 돌렸다고 지적하며 “공인인증서가 국내 쇼핑몰의 해외진출에 걸림돌이 되고 있다”라고 말했다. 재계를 대표한다는 전경련의 상근부회장은 “액티브X를 액티브하게 엑스쳐 달라”라는 구성진 추임새까지 넣으며 대통령의 호통에 장단을 맞췄다.

park_3_600

박근혜 대통령 말이 떨어지기 무섭게 관계부처도 덩달아 분주해졌다. 그런데 돌아가는 모양새가 이상하다. 공인인증 제도 개선책이랍시고 흘러나오는 얘기가 우습다. 외국인 전용 온라인 쇼핑몰을 정부가 직접 만든다거나, 액티브X 없이도 공인인증서를 쓸 수 있는 환경을 만들겠다는 거다. 맙소사. 이게 진짜 공인인증 제도를 손보는 방법일까.

오랫동안 공인인증 제도에 반대해 온 오픈넷은 관계 부처가 가지고 나온 대책이 “본질을 전혀 이해하지 못한 것”이라고 비판했다. 박지환 오픈넷 변호사는 이런 대책을 내놓는 것은 정부가 공인인증 제도가 가진 문제를 제대로 이해하지 못한다는 방증이라고 지적했다.

“공인인증서 제도 개혁의 핵심은 정부가 관여하지 말라는 겁니다. 그런데 정부가 나서서 외국인 전용 쇼핑몰을 만들고 액티브X 없이 모든 웹브라우저에서 공인인증서를 쓸 수 있는 기술을 마련한다는 건 틀린 방향이죠. 공인인증서 문제를 근본적으로 해결하려면 국내 사용자도 공인인증서를 안 쓰도록 해야 합니다. 정부가 보안업체도 아닌데 계속 관여하려고 나서는 건 공인인증서 문제 해결책을 제대로 모르거나 공인인증서를 계속 쓰도록 할 속셈이 있기 때문일 겁니다.”

오픈넷은 오히려 정부에 “지금처럼 설익은 대책을 들고나올 바에야 아예 나서지 말라”라고 주문했다.

공인인증 제도를 줄곧 비판해 온 김기창 고려대 법학전문대학원 교수는 한층 날선 비판을 내놓았다.

“인적 쇄신이 필요한 상황이 됐다고 봅니다. 평균적인 누리꾼도 몰상식하다고 여기는 대책을 내놓잖아요. 제대로 정책 판단을 못하는 인력이 정부에 포진하고 있는 겁니다. 그러니 말도 안 되는 대책이 보고단계에서 걸러지지 않고 장관에게까지 올라가는 거죠. 이런 식으로 굴러가게 놔두면 칼을 빼든 청와대도 웃음거리 밖에 안 될 겁니다.”

공인인증서는 정부가 직접 인증 기술을 통제하는 제도의 산물이다. 정부가 직접 인증해준다고 해서 이름도 ‘공인’인증서다. 문제는 이 ‘공인강박증’에 있다. 공인이란 곧 인터넷 금융거래의 안정성을 정부가 직접 보증하겠다는 뜻이다.

뛰어난 보안 기술을 보급해 인터넷 금융거래 환경을 보호하려는 뜻을 누가 모를까. 하지만 이는 현실과 동떨어진 생각이다. 공인인증서를 만들 당시인 1999년에는 공인인증서가 다른 보안 기술에 비해 뛰어난 점도 있었다. 그렇지만 15년이 지났다. 공인인증서만큼 안전하면서도 훨씬 편리한 보안 기술이 그 사이에 많이 나왔다. 문제는 시장에서 다른 기술을 선택할 수 있는 기회가 차단돼 있다는 점이다. 전자금융거래법은 ‘공인인증서에 준하는 보안 수준을 갖춘 인증 수단’을 쓸 수 있도록 허용하고 있지만, 법이 개정된 지난 4년 동안 ‘공인인증서에 준하는’ 인증 기술은 단 한 건도 전자금융거래인증방법평가를 통과하지 못했다.

박지환 오픈넷 법무담당 변호사는 “공인인증 제도 개혁의 핵심은 정부가 관여하지 않도록 하는 것”이라고 말했다. 정부가 공인인증서라는 특정한 인증 기술을 독점적으로 쓰도록 보호하지 말고 시장의 선택에 맡기라는 얘기다. 민간에서 보안이 뛰어난 기술을 자율적으로 고를 수 있도록 하면 어떻게 될까. 각기 다른 보안기술이 경쟁을 벌이고, 더 안전하고 편리한 기술이 살아남을 것이다. 국내 보안시장은 활성화되고, 해커가 공격하기는 한층 까다로워질 테다. 정부는 시장이 공정하게 경쟁하도록 최소한의 규칙을 정해 감독하고, 금융 당국으로부터 불이익을 당하지 않도록 소비자를 보하하는 데 힘쓰는 게 옳다.

공인인증서를 강제하는 제도를 없애자는 지적은 새롭지 않다. 지난해 민주당 이종걸 의원은 정부가 공인인증서 같이 특정 보안기술이나 인증기술을 강요하지 못하도록 하는 것을 뼈대로 하는 전자금융거래법 개정안을 발의했다. 때마침 대통령까지 직접 나서서 공인인증 제도 수정을 주문했다. 제도 개편 요구가 어느 때보다 농익은 상황이다.

말 많고 탈 많은 공인인증서 제도가 7년여 만에 마침내 수술대에 올랐다. 지금이야말로 정부가 책임 있는 심판의 모습을 보일 때다. 정부가 손에 쥐어야 할 것은 인증강박의 칼자루가 아니라 공정감시의 휘슬이다.