기사 공유하기

[box type=”note”]
문제. 전 세계에서 인터넷을 활용하는 나라 중 본인의 신분을 확인하기 위해 한국에만 유일하게 강제되어 국내 많은 이용자의 불편을 유발하는 것은?

답. 공인인증서.
[/box]

이번에는 드디어 공인인증서 사용을 강제하는 제도가 폐지될까? 그리하여 액티브엑스와 각종 플러그인의 무분별한 사용에 둔감해진 분위기가 바뀔 수 있을까? 2013년 5월 넷째 주 중에 민주당 이종걸, 최재천 의원이 공인인증제도를 폐지하는 내용 등을 담은 전자금융거래법과 전자서명법 개정안을 대표 발의할 예정이다.

최재천 의원 (좌), 이종걸 의원 (우)
최재천 의원 (좌), 이종걸 의원 (우)

이종걸 의원은 전자금융거래법 일부 개정 법률안을 대표 발의한다. 지난 10여 년간 금융위원회가 공인인증서 사용을 강요하는 근거로 오용돼왔던 현행 제21조 제3항을 개정하는 것이다. 이 개정안은 금융위원회가 금융회사 등에 특정 기술이나 서비스 사용을 강요할 수 없고, 인증 및 보안 기술의 공정한 경쟁을 저해해서는 안 된다는 점을 명문화하고 있다.

최재천 의원은 전자서명법 전부 개정법률안을 대표 발의한다. 이 개정안에는 전자서명은 당사자 간의 합의를 근거로 하여 이루어지며 전자서명과 공인전자서명을 구분하지 않는다는 것이 주요 내용으로 들어있다. 인증기관이 국내에서만 통용되는 것이 아니라 국외로 진출할 수 있는 신뢰성을 세울 수 있도록 기반을 마련하며 인증업무수행기준을 제대로 지키지 못하는 인증기관에 관한 처벌규정을 마련하는 것 역시 포함되어 있다.

한편 이종걸, 최재천 의원과 사단법인 오픈넷은 2013년 5월 23일(목) 오후 4~6시 국회의원회관 제2세미나실에서 ‘전자서명법·전자금융거래법 개정안 공청회’를 열어 이 법안과 관련된 보다 자세한 설명을 할 예정이다.

[box type=”info” head=”전자서명법과 공인인증서의 시작”]
우리는 일상생활에서 행정 업무를 보기 위해 본인이 직접 관공서에 가서 신분증을 제시한다. 각종 계약을 할 때 역시 계약의 당사자들이 서로 대면을 하고 도장을 찍거나 서명을 한다. 하지만 인터넷에서는 서로 대면할 수 있는 상황이 아니므로 단순히 “확인” 버튼을 누르거나 “구매” 버튼을 누르는 것만으로는 스스로 신원이나 거래 의사를 확실히 증명하기 어렵다.

이에 정부는, 일상생활에서 신원확인을 하거나 거래를 할 때 주민등록증이나 인감 혹은 서명 등이 필요하듯이, 인터넷에서도 이러한 업무를 볼 수 있도록 전자서명이라는 개념을 도입했다. 이 전자서명은 일상생활에서의 인감 날인과 같은 효력을 가지기 때문에 다양한 전자 상거래 및 업무를 활발하게 하는 기반이 되었다. 공인인증서는 이 전자서명에서 인감도장 혹은 인감증명서와 같은 역할을 하는 것으로 정부는 1999년 2월 5일 전자서명법(법률 제5,792호)을 제정하여 공인인증서의 발급 및 관리 체계를 마련하였다.
[/box]

kor_accredited_logo

공인인증서는 반드시 필요한가

많은 사람이 착각하고 있는 것이 두 가지 있다. ‘전자서명법이 없으면 전자문서의 효력을 인정할 수 없으니 모든 전자거래가 불가능하다’고 생각하는 것과 ‘우리나라는 공인인증서가 있기 때문에 전자금융 거래할 때 사고가 나면 은행들이 책임을 지고, 외국에서는 개인이 책임을 진다’고 생각하는 것이다. 두 가지 모두 틀렸다.

  • 전자서명법이 없으면 전자문서의 효력을 인정할 수 없으니 모든 전자거래가 불가능하다?
  • 우리나라는 공인인증서가 있기 때문에 전자금융 거래 시 사고가 나면 은행들이 책임을 지고 외국은 개인이 책임을 진다?

전자문서 및 전자거래 기본법의 제2장 제4조(전자문서의 효력)에 의하면 “① 전자문서는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 전자적 형태로 되어 있다는 이유로 문서로서의 효력이 부인되지 아니한다.”라고 되어 있다. 즉, 전자서명법이 없어도 이메일, 웹페이지 내용, 문자메시지 심지어 웹페이지를 출력한 것까지 모두 법적 효력을 인정받는다. 인터넷상에서 벌어진 일 때문에 시시비비를 가리기 위해 각종 신고를 할 때 게시판 내용을 캡처한 것으로 신고가 이루어지는 것을 떠올려보면 쉽게 알 수 있는 사실이다.

공인인증제도가 없는 미국은 개인이 신용카드나 OTP 등을 분실하거나 도난당해도 이틀(2일) 내에만 신고하면 최대 ’50달러’까지만 책임을 지면 된다. 또한, 실제 신용카드를 잃어버리지 않고 단지 신용카드 번호만 도용됐을 때에는 60일 이내에만 이의를 제기하면 한 푼도 책임을 질 필요가 없다. (공정신용청구법(The Fair Credit Billing Act)과 전자자금이체법(Electronic Fund Transfer Act)에 의함)

역시 공인인증제도가 없는 영국도 비슷하다. 영국 금융보호감독청(Financial Conduct Authority)에 의하면 고객이 허락하지 않은 거래에 대해 금융사는 고객이 고의로 속이거나 중대한 과실로 카드정보, 계좌비밀번호, 온라인 계정암호 등을 보호하지 않아서 그 결과로 그런 거래가 발생했다는 점을 입증하지 못하면 고객은 한 푼도 책임을 지지 않는다.

공인인증서, 이상과 현실의 차이

공인인증체계의 기본적인 기술적 기반에는 부족한 점이 없다. 공인인증체계는 개인 키와 공개키라는 두 개의 암호를 절묘하게 사용하는 PKI 방식을 기반으로 하고 있는데, 이 PKI 인증방식은 이론적으로는 매우 보안성이 높고 다양한 방면에 이용될 수 있다. 하지만 한국의 공인인증체계는 실제 그 구현에서 여러 약점을 가지고 있다.
[box type=”info” head=”공인인증체계 구현의 현실”]
첫째, 플랫폼 제한적이다. 새로운 버전의 윈도우 운영체제나 인터넷 익스플로러가 출시될 때마다 정부기관과 은행들에서 “아직 최신 버전의 프로그램을 사용하지 말아달라”는 식의 안내문을 보는 건 어렵지 않다. 심지어 맥이나 리눅스 등이 플러그인 방식을 통해 지원되기 시작한 지는 얼마 되지 않는다. 장애인을 웹 접근성도 의무화된 시점에서 다양한 기기를 지원하지 못하는 방식을 정부가 강제하고 있다는 것은 어떻게 설명할 수 있을까?

둘째, 문제가 발생할 때 이용자 컴퓨터의 보안 설정을 오히려 낮추라고 한다. 공인인증서를 사용하기 위해 컴퓨터 지식이 없는 이용자에게까지 관리자 권한을 요구한다. 그리고 문제가 생기면 문제를 해결하기 위해 보안 설정을 낮추라고 강요한다. 공인인증서를 이용하는 각종 웹사이트의 FAQ에서 ‘이용자의 보안 수준을 낮추라’는 안내문을 보는 것은 어렵지 않다.

셋째, 웹브라우저 외에 다양한 부가 프로그램 설치를 이용자에게 강요한다. 인터넷 서비스를 사용하는 데 있어 웹브라우저 이외에 다른 프로그램들의 설치가 필수적이다. 각종 액티브엑스나 플러그인을 설치하지 않으면 어떤 내용인지 확인조차 불가능한 사이트가 허다하다. 데스크탑 환경이든 모바일 환경이든 어떤 프로그램인지 알지도 못하는 상태에서 무분별하게 이루어지는 다운로드는 매우 위험한 습관인데도 말이다.

넷째, 공인인증서 파일의 탈취가 점점 쉬워지고 있다. 공인인증서 제도가 안전하다는 몇몇 사람들의 말과는 달리 꾸준히 공인인증서 파일의 탈취가 공공연하게 이루어지고 있다. 심지어 공인인증서는 컴퓨터 지식이 없어도 단순히 사용자가 자리를 비웠을 때 누구나 쉽게 CTRL-C, CTRL-V로 복사할 수 있을 정도로 취약하다.

다섯째, 서버 인증 기능이 없다. 공인인증체계는 서비스를 이용하는 개인이 누구인지만 확인할 뿐이지 공인인증서를 요구하는 서버가 제대로인지 아닌지를 확인하는 기능이 없어서 피싱, 파밍 등의 디지털 사기에 이용자들이 쉽게 당하고 있다.

여섯째, 공인인증제도는 오직 한국에서만 범용적으로 사용하는 기술과 제도이다. 물론 베트남과 필리핀에 한국의 공인인증 시스템이 구축되었다고는 하지만 관공서 위주로 채택이 됐을 뿐이고 민간 영역에 범용적으로 도입된 사례는 없다. 공인인증제도 때문에 전 세계의 전자 금융거래 시장에서 한국만 갈라파고스가 된 지 오래다.
[/box]
이 외에도 각종 금융기관의 키보드 보안, 보안토큰, OTP 추가 도입 등으로 알 수 있듯이 공인인증서의 핵심 기능 중 하나인 부인방지 역시 효과가 의문시되고 있다.

지금의 공인인증체제의 문제는 무엇인가

그렇다면 관공서와 금융권이 액티브엑스 혹은 묻지 마 플러그인 설치가 반드시 필요할 수밖에 없는 공인인증서 시스템을 사용하는 이유는 무엇일까? 그것은 바로 법 규정 때문이다.

우선, 전자금융거래법을 살펴봐도 공인인증서를 사용해야 한다는 강제 규정은 없다. 하지만 금융위원회가 정한 전자금융감독규정을 보면 기본적으로 “모든 전자금융거래에 있어 ‘전자서명법’에 의한 공인인증서 또는 이와 동등한 수준의 안전성이 인정되는 인증방법(이하 “공인인증서등”이라 한다)을 사용하여야 한다”고 명시하고 있다. 예외 규정 역시 ‘기술적·제도적으로 공인인증서 등의 적용이 곤란한 금융거래’의 경우에 한 해 금융감독원장이 정하는 경우에만 가능하다. 즉, 법령이 아니라 감독규정으로 존재한다.

반면 국제결제은행의 산하 위원회인 바젤은행감독위원회(BCBS)는 전자금융 위기관리 원칙(Risk management principles for electronic banking)을 통해 ‘모든 것에 들어맞는 만능 식의 접근 방법은 전자금융 위기관리 문제에 적합하지 않다'(a “one size fits all” approach to e-banking risk management issues may not be appropriate.)고 하며 ‘위원회의 위기관리 원칙은 전자금융과 관련하여 특정 기술 솔루션이나 표준을 세우는 것을 시도하지 않는다'(the Risk Management Principles issued by the Committee do not attempt to set specific technical solutions or standards relating to e-banking)고 밝히고 있다. (참고로 한국은 2009년 바젤은행감독위원회 회원 자격을 얻었다.)

이에 관한 대표적인 사례로 볼 수 있는 사건이 지난 2013년 3월 20일 발생했다. 국내 방송사와 은행 등 6개사의 전산 장비를 파괴한 사이버 해킹이 발생했는데 이때 악성코드의 침투 경로 중 하나가 공인인증 시스템을 사용하기 위해 국내에 2천만 대가량의 PC에 설치된 제큐어웹이라는 보도가 있었다. 물론 이 사건에 대한 원인이 제큐어웹과는 관계가 없다는 합동대응팀의 기자회견도 있었으나 이 또한 검증될 수 없는 일방적 주장일 뿐이며 정부 보안 대책 미흡에 대한 비판을 물타기 하는 것이 아니냐는 비판도 존재한다. 실제로 합동대응팀에 참여하고 있는 임종인 고려대 정보보호대학원 원장은 MBC 보도가 오보라고 할 수 없다고 했을뿐더러 3월 25일에는 실제로 제큐어웹을 통해 감염된 사이트가 확인됐다고 밝혔다.

공인인증체제가 사라지면 무슨 일이 생길까

인터넷에서 벌어지는 다양한 전자상거래 및 업무를 보기 위해 본인임을 확인하는 절차들은 당연히 존재할 수 있다. 하지만 10년이 넘게 수많은 사용자를 불편하게 할뿐더러 보안 측면으로도 부족함이 많은 시스템을 국가가 강제하고 있는 지금의 현실은 이해하기 어려운 부분이 있다. 인터넷 관련 기술이 빠르게 변하고 발전하는 지금 과연 국가가 특정 시스템과 기술을 강제하는 것이 좋은 것인가.

이종걸 의원과 최재천 의원이 발의한 법안이 통과된다고 하더라도 당장 어떤 선명한 변화가 시작되는 것은 아닐 것이다. 기존의 시스템들을 새로운 법안 내용에 맞춰 변경하는데는 시간도 오래 걸리고 비용 또한 만만치 않게 들 것이다. 최종적으로 한국의 인터넷에서 모든 인증 관련 시스템이 사라지는 것도 아니다. 단지 정부가 강제하던 기술을 반드시 써야 하는 규정이 사라질 뿐이다. 그렇다면 만약 이 법안들이 최종 통과된다면 어떤 일들이 벌어질까?

어떤 은행은 여전히 액티브엑스를 덕지덕지 붙여가며 서비스를 할 것이고, 어떤 쇼핑몰은 웹 브라우저 하나만 있으면 쉽게 결제가 이루어지는 새로운 시스템을 적용할 것이다. 우리나라 IT 역사상 최초로 전 세계적으로 성공한 전자거래 서비스가 조만간 나올 수도 있을 것이다. 적어도 새로 만들어지는 서비스들은 공인인증서를 반드시 써야만 하는 불편함과 제한에서 자유로울 것이다. 그래서 한국의 웹 환경은 기술적 제한없이 전세계 여러 나라와 자유롭게 소통하는데 조금은 더 가까워질 것이다.

이 법안들이 끝까지 살아남아 한국의 인터넷 환경의 변화를 이끄는 중요한 초석이 될 수 있을까. 아니면 이제까지 공인인증제도를 없앤다, 인증 방법을 다양화한다 하면서 질질 끌면서 흐지부지됐던 것처럼 ‘의미는 있었으나 실패한 시도’로 멈추게 될까. 인터넷 이용자들의 지속적인 관심과 응원이 긍정적인 결과를 이끌어 낼 수 있다면 이 사안을 계속 관심 있게 지켜보는 것도 좋을 것 같다.

[box type=”note”]

두 의원의 두 가지 법안이 최종 발의되었다. 발의 정보 다음과 같다.

전자금융거래법 일부개정법률안

– 이종걸 의원 대표발의
– 발의연월일: 2013년 5월 23일
– 의안번호: 1905067
– 제안회기: 제19대 (2012~2016) 제315 회
– 소관위원회: 정무위원회
– 회부일: 2013-05-27

전자서명법 전부개정법률안

– 최재천 의원 대표발의
– 발의연월일: 2013년 5월 28일
– 의안번호: 1905145
– 제안회기: 제19대 (2012~2016) 제315 회
– 소관위원회: 미래창조과학방송통신위원회
– 회부일: 2013-05-29

[/box]

관련 글

첫 댓글

  1. 10년을 영속하는 기업이 드물다고 하는데, 많은 사람들이 쓰는 사설인증서가 10년 뒤어 없어지면, 어떻하나요? 무한 경쟁에서는 얼마든지 있는 일인데….

댓글이 닫혔습니다.