기사 공유하기

[box type=”note”]

오픈넷은 2013년 4월 2일부터 공인인증제도 철폐를 위해, 공인인증서 사용을 강제하는 금융위원회에 대한 감사청구운동을 전개합니다. 국민감사청구 제도는 300명의 청구인이 모여 감사원에 감사를 청구하면 감사원 직원과 외부 전문가로 구성된 국민감사청구심사위원회에서 감사 실시 여부를 결정하고 결정에 따라 감사를 진행하여 청구인에게 통보해 주는 제도입니다.

슬로우뉴스는 오픈넷과의 협의를 통해 김기창 이사의 글을 게재합니다. (편집자)

[/box]

banner_authenticate_2-300x170

지난 13년간 금융위원회는 공인인증서 사용을 강제해 왔습니다. 정부가 특정 보안기술 사용을 강요하면, 이런 문제가 생깁니다.

첫째, 기술인력이 말단 행정관료 밑에서 눈치나 보고 있을 뿐, 기술은 발달하지 않습니다. 공인인증제도를 총괄하는 KISA는 벌써 몇 년째(!) 기초적인 보안접속서버 세팅도 제대로 못 해서 쩔쩔매고 있고, KISA의 ‘감독’을 받는다는 공인인증기관은 서버인증서를 국제규격에 맞게 발급하는 방법을 몰라서 계속 접속에러를 내고 있습니다. 믿기 어렵지만, 이게 한국 공인인증 업계의 수준입니다. 정부가 ‘강제’해주는데 뭐하러 노력하겠습니까?

둘째, “정부가 ‘공인’한다니까 믿을 만하겠지.” 하는 잘못된 믿음이 생겨납니다. 기술을 잘 모르는 행정관료와 정치권이 기술을 더욱 모르는 국민들에게 제도적으로 강요하는 ‘거짓 믿음’입니다. 다행히, 최문기 미래부장관 후보는 “공인인증 제도를 폐지하겠다.”고 국회청문회에서 약속했습니다. 

YouTube 동영상

최 장관이건 다른 분이건, 공인인증제도는 폐지될 것입니다. 억지로 강요되는 공인인증 제도가 없어지면, 그 다음 날부터 공인인증서는 아무도 안 믿는 천덕꾸러기로 전락할 것입니다. 강제 규정이 폐지되면 당장 못 믿게 되는 기술이 과연 안전한 기술인가요? 진정으로 안전한 기술이라면 애초부터 법 규정에 기댈 이유가 없습니다.

아무리 법으로 강요해도, 위험한 기술은 위험한 것입니다. 법 규정의 힘을 빌려 안전한 척 행세하는 보안기술은 일반인들을 상대로 한 눈속임일 뿐입니다. 안전한 기술은 강요하지 않아도 전 세계에 퍼집니다.

셋째, 정부가 안전하다면서 강요하는 공인인증서는 결국 온국민에게 손해만을 끼치게 됩니다. 사고가 나면, (보안 기술을 모르는) 법관은 공인인증서가 마치 신통한 기술인 줄 오해한 나머지 고객에게 책임을 떠넘기게 됩니다. 기술은 모르고 “권위”에는 익숙한 법률가일수록 그런 식으로 오판할 가능성은 더 커집니다. (참고: 전화사기 피해자 잇단 패소…’본인인증’이 발목)

복사해서 붙여넣기(Copy & paste)만 하면 마구 복사 가능한 공인인증서가 실제로 그렇게 안전한가요? 잘못도 없는 고객에게 책임을 억울하게 떠넘기게 하는 원인은 바로 정부가 공인인증서에 “권위”와 “환상”을 부여했기 때문 아닌가요?

오픈넷은 공인인증서 사용을 13년간 강요해 온 금융위원회에 대한 국민감사청구를 통하여, 다음과 같은 의문에 대한 대답을 듣고자 합니다.

  • 공인인증서가 과연 금융소비자를 위한 것인가, 아니면 금융기관이 소비자에게 책임을 떠넘기기 쉽게 해주기 위한 것인가?
  • 금융위원회가 어째서 공인인증서 사용을 지난 13년간 강요해 왔는지? 하루가 다르게 바뀌는 보안기술 분야에 13년간 변하지 않는 지상 최고의 기술이란 존재할 수가 없는데, 어째서 그랬는가?
  • 공인인증서는 복사해서 붙여넣기(copy & paste)만 하면, 암호 입력 필요없이 마구 복사된다는 사실을 금융위원회는 그동안 알고 있었는지? 알았다면 왜 국민들에게 이 사실을 알리지 않았는지?

국민감사청구 참여 페이지는 여기에 있습니다.

꽁꽁닫힌 한국 인터넷을 열어제껴 보렵니다. 함께 하시죠!

관련 글

5 댓글

  1. 보안 관련글인데 하단의 국민감사청구 참여할려구 클릭해 봤더니 이름,주민번호,이메일,연락처까지 기재해야 하다니 참 아이러니 하네요;;

  2. “국민감사청구·부패행위신고 등 처리에 관한 규칙 제10조는 감사청구 참여자의 성명, 주민등록번호, 주소, 연락처 등이 기재되어 있는 ‘청구인 연명부’를 제출하도록 하고 있으므로 오픈넷은 부득이 아래 정보를 수집합니다.”

    오픈넷이 법을 어길 수 없으니 어쩔 수 없는 거겠죠.

    하지만 자세히 보니 청구 페이지는 https 로 ssl/tls 설정이 되어 있으니 이게 최선일 것 같습니다. (이걸 위해 공인인증이니 뭐니 설치하는 건 코미디일테고요)

  3. 어차피 입력하고나면 이메일로 양식을 받아서 출력한다음 다시 우편으로 보내야 하는데, 그럴거라면 양식만 바로 다운받을수 있게 해서 기재내용은 모두 자필로 적은다음 우편으로 보내도록 하는게 보안위험이 좀더 적지 않을까요? 굳이 웹페이지상에서 주민번호나 연락처등을 입력해야하는 이유를 모르겠네요.

  5. 청구인 연명부에는 청구인 개개인의 서명이 들어가야 합니다. 온라인을 통한 방식 보다는 대학교나 명동 등 사람이 많이 모이는 곳에 가서 안내판 하나 설치해 놓고 지나가는 사람들에게 서명을 받는 것이 오히려 합리적이고 쉬운 방법이죠. 300명을 채우실 때 중복되는 인원 여부만을 확인하시고요.
    참고적으로 말씀 드리면 공익감사청구를 하시려면 청구사유의 정당성이 청구서에 명기되어야 하는데, 국민의 피해가 구체적으로 발생한 사례(전화 사기 등)을 강조하시고 관계 법규를 어떻게 위반하였는지도 구체적으로 작성하셔야 합니다.
    감사청구를 한 지 2,3일 정도 지나면 담당자가 결정되지만 현재 업무량이 많아서 접수하고서도 1달 정도 지나야 확인작업을 시작할 수 있는 형편으로 알고 있습니다.
    일단 제가 보기엔 공인인증제도를 폐지할 필요를 인정받기에는 피해발생 사례가 다소 미약하여 감사원의 정책적인 개선요구를 이끌어내는 것은 힘들지 않나 싶습니다.

댓글이 닫혔습니다.