[box type=”note”]공인인증 기반의 이메일 서비스인 ‘샵메일’이 전 국민을 향해 돌진해 오고 있습니다. 정보 제공에 동의한 개인을 제외하고는 정부, 법인, 사업자, 개인 모두 매년 돈을 내는 이메일 서비스입니다. 앞으로 정부 입찰은 샵메일로만 받겠다는 ‘풍문’도 들립니다.
현실은 이럴 진데 많은 분들은 공인인증서를 곧 안 쓰게 된다고 알고 있습니다. 매년 공인인증서가 곧 사라진다는 뉴스는 쏟아졌지만, 정작 사라졌다는 뉴스는 한 번도 등장한 적이 없습니다. 오히려 최근 금감원은 비액티브엑스 방식의 거래방식을 모두 액티브엑스 기반의 인증방식으로 변경하도록 강요하고 있습니다.
특히 2014년 4월 30일 국회 정무위 법안심사 소위를 통과해 이변이 없는 한 국회 본회의 통과를 예상했던 ‘전자금융거래법’ 개정안(이종걸 의원 대표발의) 역시 법제사법위원회에도 상정(따라서 ‘본회의’ 안건으론 올라가지도 못함)하지 못한 상태입니다. 개정안은 오는 6월 국회 통과를 기대하는 수밖에 없습니다.
‘끝날 때까지 끝난 게 아니다’는 말입니다. (편집자)[/box]
공인인증서라는 ‘암 덩어리’에 대한 진단 결과가 나온 건 이미 4년 전인 2010년이었다. 당시 이 문제는 수술대에 올리는 것으로 논란은 마무리됐다. 그러나 막상 수술에 들어가서는 암 덩어리의 주변부만 제거하고 성공적인 수술이라는 발표만 있었다. 사람들은 의심은 했지만 당장에 증명할 방법이 없었다. 당시엔 일단 자축했다.
4년 후 암 덩어리가 곳곳에 퍼졌다는 진단이 다시 내려졌다. 뜻하지 않게 드라마에서 튀어나온 ‘천송이 코트’가 결정적 역할을 했다. 복잡한 문제가 일반상식이 됐다. 특히 인왕산 자락에서는 서슬 퍼런 눈초리가 쏘아졌다. 이제 진짜 수술을 거부할 수 없는 상황이다.
하지만 이번에도 수상쩍다. 암덩어리 일부만 제거하면 완치가 된다고 한다. 4년 전과 비슷하다. 또 속아달라는 것 같다. 그런데 4년 전에 한 번 속았다는 점을 알고 있는 사람도 많지 않은 듯하다.
그러니 한번 복기하는 시간을 가져보자.
4년 전 ‘의무화 폐지’ 전쟁, 승전고는 울렸는데 백기만 챙겼다
2009년, 한 교수의 ‘나 홀로 투쟁’은 한 분야에 만족하지 못한 천재의 독특한 취향으로 비치기도 했다. 그는 공인인증서 의무화를 폐지하자는 목소리를 냈다. 법대 교수가 어려운 IT 분야 중에서도 복잡다단한 보안 분야에서 문제점을 들고 나왔으니, 어느 정도 눈길을 끌만 했다.
여기에 당시에도 골칫덩이로 인식되던 액티브엑스와 직결되는 문제여서 더욱 주목을 받았다. 그 해 그가 펴낸 책 [한국 웹의 불편한 진실]은 자칭타칭 IT 전문가라는 축들은 한 번쯤 손길이 갔을 법했다. 이 책은 IT와는 무관한 법학 전공자인 김기창 고대 교수의 보증수표가 됐다. (참고로 김기창 교수는 2006년부터 인터넷 및 IT 환경의 폐쇄성을 비판하는 오픈웹을 운영해 왔다. – 편집자)
그러나 거기까지였다. IT 분야에서 문제의식은 심화했지만, 여론화까지는 어려웠다. 아직 소셜 미디어의 위력이 크진 않았고, 주류 언론은 이 문제를 외면했다. 난맥상을 드러냈지만, 독자에게 전달하기엔 복잡한 문제인데다 섹시하지 않았다. 새로운 팩트는 없었다. 기존 주류 언론의 문법으론 접근이 어려웠다.
이런 가운데 쓰나미가 밀려오고 있었다. 거대한 쓰나미의 그림자가 이미 드리워졌다. 아이폰으로 대변되는 스마트폰 혁명의 파고였다. 공인인증서와 액티브엑스 역시 이 파고를 피해갈 수 없었다.
주류 언론 중 진동을 먼저 느끼고 행동으로 나선 곳은 한겨레였다. 액티브엑스의 문제점을 들고 나왔다. 기획 기사 형식을 이용, 액티브엑스를 한국 IT의 발전을 가로막는 걸림돌로 지목했다. 한 번 정도의 기사로 그치지 않았고, 이후에도 간간이 액티브엑스 문제를 지적했다. 한겨레의 시도는 당장에 변화를 이끌어내지는 못했지만, 공인인증서와 액티브엑스 문제를 환기하는 불쏘시개 역할을 했다.
- 한겨레 – 인터넷 강국? Active-X 왕국!
- 한겨레 – 보안에 약한 ‘액티브엑스’ 잇단 경고
- 한겨레 – ‘익스플로러6’ 세계선 퇴출바람…한국은 무풍지대
- 한겨레 – “MS 종속 한국 인터넷 환경 안타깝다”
아이폰으로 시작한 스마트폰 시대
같은 해 말 아이폰의 상륙 이후 공인인증서 문제는 당면 현실이 됐다. 스마트폰을 이용한 인터넷 뱅킹과 결제는 뒤로 미룰 문제가 아니었다.
금융감독원은 2010년 1월 스마트폰 안전대책을 내놓으면서 전자서명을 의무화하도록 했다. 스마트폰에서도 공인인증서 사용을 의무화하겠다는 의미였다. 이미 공인인증서를 적용하지 않은 아이폰용 금융거래 애플리케이션을 재빠르게 배포했던 은행과 전자상거래 업체는 난감한 처지에 놓였다. 그러면서 스마트폰에서의 공인인증서 의무화는 논란거리가 되기 시작했다.
많은 사람들은 사실상 국내에서만 통용되는 공인인증서를 스마트폰에서까지 의무화할 경우 전자상거래 등 금융거래와 관련된 글로벌 서비스를 만들기는 사실상 불가능하다는 비판을 제기했다.
정부는 뜻밖에 발 빠르게 움직였다. 같은 해 3월 행정안전부는 스마트폰에서의 공인인증서 이용표준안을 발표했다. 행안부는 핸드북으로 만들 수 있는 분량의 Q&A 자료를 배포할 정도로 만반의 준비를 했다.
그러나 국무총리실과 기업호민관실, 방송통신위원회는 금감위 및 행안부와 입장을 달리했다. 정부 내에서도 이견 조율이 끝나지 않은 상황에서 행안부가 발표를 강행한 셈이었다. 당연히 정부 내에서 불만이 터져 나왔다.
연합뉴스가 이를 먼저 감지해 비판적인 시각으로 대대적으로 보도했고, 거의 전 종합지들이 뒤따랐다. 스마트폰에서도 공인인증서 의무화의 대못을 박는 취지의 내용 대신, 조율되지 않은 성급한 발표에 대한 비판이 지면을 장식한 셈이다.
공인인증서 토론회 ‘1:100’의 싸움
사실상 행안부의 발표는 무력해졌다. 공인인증서 의무화와 관련한 논의는 원점으로 돌아갔다. 그리고 공인인증서 의무화 폐지론자들과 의무화 유지론자들 간에 치열한 공방이 벌어졌다.
곧바로 열린 한국정보보호학회 주최의 토론회에서는 공인인증서 의무화 폐지 여부가 집중적으로 논의됐다. 그런데 토론회 풍경이 좀 남달랐다. 주장을 달리하는 토론자들이 반반씩 참석하는 보통의 토론회와 달리 ‘1 대 100’ 양상이었다. 당연히 그 ‘1’은 김기창 교수였다.
10여 일 간의 공방전 끝에 행안부와 금감위가 손을 들었다. 금감위은 전자금융감독규정 7조에 ‘공인인증서와 동등한 수준의 안전성이 인정되는 보안방법을 도입할 수 있다’는 조항을 삽입했다. 글자 그대로라면 공인인증서 외에 다른 방식으로도 금융 결제 등이 가능하게 됐다. 스마트폰을 이용한 30만 원 미만의 소액결제에 대해서는 새로운 보안방법의 도입과는 상관없이 공인인증서를 사용하지 않고도 결제할 수 있도록 했다.
- 정책브리핑 – 공인인증서 없이도 전자금융거래 가능 (2010년 5월 31일)
- 파이낸셜 뉴스 – 공인인증서 의무화 폐지 ‘모바일 쇼핑’ 크게 늘듯 (2010년 3월 31일)
언론은 승리했다고 판단한 듯했다. 공인인증서의 족쇄가 풀렸다고 평가했다. 그런데 찜찜한 구석이 있었다. ‘공인인증서와 동등한 수준의 안전성’을 담보하는 보안기술을 누가, 어떻게 평가할 것이냐’의 문제가 남아있었기 때문이다. 정부가 제시한 것은 인증평가방법위원회였다.
오픈넷에 따르면 만들어진 지 4년 가까이 된 인증평가방법위원회에서 30만원 이상 거래에 사용될 수 있는 인증수단을 단 한 건도 허가한 적이 없다고 한다.
명목상으로 전쟁에서는 승리했지만 어떤 땅덩어리나 보상금도 못 얻어낸 셈이다. 결국, 패배한 것이나 다름없었다. 제대로 뒤통수를 얻어맞았다. 당시 김기창 교수는 이런 사태를 예고했었다. 언론도 이런 우려를 전했다. 하지만 우려를 증명할 방법도, 여력도 없었다.
3년 만에 불씨 살리기… 김기창, 안철수를 만나다
그로부터 3년 뒤 봄날. 김기창 교수의 국회를 향한 발길이 잦았다. 입법부라는 우회로를 선택한 듯했다. 이미 정부를 상대로 한 설득 및 투쟁의 한계를 여실히 느꼈을 터였다.
그리고는 민주당 이종걸 의원이 전자금융거래법 개정안을 발의했다. 공인인증서 의무화를 무력화시키는 내용이었다. 여기에 김기창 교수 등 오픈넷 인사들은 당시 무소속이던 안철수 의원을 만나 공인인증서 의무화 폐지 운동에 동참해줄 것을 호소했다.
안 의원은 지난 대선에서 예비후보 시절 공인인증서 의무화 폐지를 IT 공약 중 하나로 제시한 바 있다. 특히 당시 문재인 후보와의 ‘단일화 프레임’이 작동될 때 IT 공약이 발표돼 여론의 조명을 받지 못했지만, ‘공인인증서 의무화 폐지’ 공약만큼은 포털과 소셜미디어를 위주로 ‘반짝’했다.
안철수, 공감대 표시했지만 모호한 제스처
오픈넷 보도자료에 따르면 안 의원은 면담에서 공감대를 나타냈다. 그런데 직접인 지원의사를 밝히진 않았다. 안 의원은 “제도 개혁에 대한 공감대가 국회뿐 아니라 대중적으로 확산되는 과정도 필요하다”고 말했다.
안 의원이 국회에 입성한 지 얼마 안 돼 행보 하나하나가 이목이 집중되는 시기였지만, 공인인증서 문제 자체가 어려운 데다 발언까지 애매해 주류 언론의 정치부를 움직이긴 어려웠던 걸까.
그래도 면담 결과는 일부 인터넷 매체 등이 보도했다. 6월 임시국회에서도 전자금융거래법에 대해 직접 논의하기 시작했다. 그러나 정무위 소위 문턱조차도 넘지 못했다. 당시 민주당은 정무위에서 경제민주화법 처리에 목을 매고 있었다. 민주당은 공인인증서 의무화 폐지를 당장 급하지 않은 사안으로 받아들였다.
민주당이 이 사안의 중요성과 시급성을 인식할 정도의 센스가 있는 정당이었다면 대선에서 결과는 다르지 않았을까.
이런 가운데 반격도 만만치 않았다. 한 종합 일간지는 한 면을 탈탈 털어 야당이 ‘공인인증서 폐지’를 추진해 국민에게 혼란과 불편을 야기하고 있다고 날을 세웠다. 하지만 개정안은 ‘공인인증서 폐지’가 아니라 ‘공인인증서 의무화 폐지’를 주장하고 있었다. 마르고 닳도록 이야기해도 왜 ‘공인인증서 의무화 폐지’ 주장을 ‘공인인증서 폐지’로 호도하는지…. 이 두 가지는 정말 다르다.
그렇게 2013년 봄날의 투쟁도 빛을 바래갔다.
박근혜 대통령의 한마디, “암 덩어리”
2014년 2월 임시국회에서 다시 전자금융거래법 개정안을 통과시키려는 노력이 있었지만 역부족이었다.
요원하던 공인인증서 해법은 의외의 곳에서 나타났다. 박근혜 대통령은 “쓸데없는 규제는 우리가 쳐부술 원수이자 제거해야 할 암 덩어리”라고 규정하면서, 대표적인 ‘암 덩어리’로 공인인증서와 액티브엑스를 지목했다. 인기절정인 30만 원 이상의 ‘천송이 코트’를 중국에서는 공인인증서 때문에 살 수 없는 문제가 대표적인 사례로 꼽혔다.
서릿발 같은 대통령의 엄명에 당황한 정부가 부랴부랴 내놓은 대책은 가관이었다. 외국인에 한해 공인인증서 없이 30만 원 이상을 전자상거래로 결제할 수 있도록 하는 것이었다. 당장에 ‘내국인 역차별’이라는 반발이 거세게 일어났다.
흠씬 두들겨 맞고서야 금융당국은 내·외국인 가릴 것 없이 전자상거래 시 공인인증서 장벽을 허물도록 했다.
암덩어리 ‘절반만’ 수술 진행 중
그런데 이 정도로는 암 덩어리 수술이 끝나지 않는다.
금융당국은 공인인증서 의무화 폐지 분야를 전자상거래로 한정했다. 인터넷뱅킹을 포함한 전자금융 등의 분야에서는 계속 의무화를 유지하기로 했다. 암덩어리의 절반만 제거하겠다고 한 셈이다.
공인인증서 외의 전자금융 기술은 지금까지와 똑같이 인증방법평가위원회의 심사를 거쳐야 한다. 달라진 게 없다. 그마저도 2014년 4월 30일 정무위 소위를 통과해 5월 2일 국회 본회의 통과를 무난하게 예상했던 ‘전자금융거래법’ 개정안 역시 법제사법위원회에 상정하지도 못한 채 6월 국회로 미뤄졌다.
[box type=”info”]즉, 금융위원회와 금융감독원은 2014년 5월 말부터 전자금융감독규정 시행세칙 개정안을 시행해 전자상거래 분야 공인인증서 의무화를 폐지할 예정이다. 다만, 전자금융거래법 개정 법안이 국회 본회의를 통과하고, 1년의 유예 기간을 거쳐야 ‘전자상거래’뿐 아니라 ‘인터넷뱅킹’ 분야에서도 공인인증서 의무화를 폐지할 수 있다. (편집자) [/box]
미래창조과학부가 액티브엑스 없는 공인인증서 개발을 추진하도록 한 것만 봐도 공인인증서에 대한 애정을 엿볼 수 있다.
끝날 때까지 끝난 게 아니다
공인인증서 의무화 폐지 여부는 끝까지 지켜봐야 한다. 3년 뒤 돌아봤을 때 인증방법평가위원회를 통과한 기술이 얼마나 있을지 의문이다. 진일보했지만, 제도적으로 2013년과 크게 달라진 것은 없다. 공인인증서에 대한 문제 제기를 거둬들일 수 없는 이유다. 3∼4년 뒤 암 덩어리로 인한 통증은 현재와 마찬가지로 다시 나타날 수 있다.
공인인증서 의무화 폐지 논리는 너무 간단하다. 공인인증서가 그렇게 훌륭한 보안기술이라면 전면적으로 의무화를 폐지하면 된다. 이미 널리 퍼져 있기까지 한데 무엇이 두렵단 말인가. 다른 기술이 무서울 게 없지 않은가. 금융회사와 인터넷기업이 알아서 선택하도록 하면 된다.
그리고 제발, 부디, ‘공인인증서 폐지’를 하자는 게 아니라 ‘공인인증서 의무화’를 폐지하자는 것이다.
국가 기관이 쓰레기다.
공인인증업체에 독과점으로 밀어주고 수백억의 리베이트를 쳐 받아 먹으니 저걸 폐지할 수가 있나..
대통령은 앞서서 수장과 책임자를 짜르고 개혁에 대한 구체적인 언급을 해야 바뀔것이다.
공인인증서가 암덩어리라면 수장과 책임자는 DNA다.
발본색원 모르냐?