세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[행간읽기] 적폐 또는 오해? ‘공인인증서’ 논란 총정리
  |  입력 : 2017-06-13 17:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
공인인증서 최초 도입부터 현재까지의 논란, 쟁점별로 비교해보니...
쟁점 1. “애먼 공인인증서 폐지론” VS “금융기관 면책하는 ‘공인’ 딱지”
쟁점 2. “공인전자서명, 면책한 바 없어” VS “배상 책임 부여하면 보안 강화돼”
쟁점 3. “인증서 수수료, 이미 한계점” VS “민간 인증서가 차별 없이 경쟁해야”


[보안뉴스 오다인 기자] ‘공인인증서’라는 다섯 글자에 얽힌 사연은 저마다 다르다. 컴퓨터를 던져버렸다는 한국인부터 천송이 코트를 못 샀다는 중국인도 있다. 이참에 전면 폐지하자는 전문가와 우수한 기술을 버리려 한다는 전문가가 있다. 지난 15여년 세월만큼 사연이 쌓였다. 그 사연을 누구는 적폐라고 하고, 누구는 오해라고 한다.

[이미지=iclickart]


공인인증서는 최근 새로운 국면을 맞게 됐다. 새로 집권한 문재인 대통령의 대선후보 시절 공약이 ‘공인인증서 폐지’였기 때문이다. 그동안 숱한 논란이 있었지만, 빠른 시일 내 공약이 이행될 것으로 보인다. 공인인증서 폐지 공약은 문 대통령의 정보통신기술(ICT) 정책 1호로, ‘액티브X’ 폐지 및 전자금융거래법 개정과 한 데 묶여 홍보됐다. ‘대한민국최초정책쇼핑몰’을 표방한 웹사이트 ‘문재인 1번가’도 “굿바이 공인인증서, 액티브X 폐지”라는 제목 아래 공인인증서 폐지 공약을 명시했다.

새 정부 출범의 힘을 받아 공약 이행이 가속화할 것으로 보이는 현재, 공인인증서 폐지를 둘러싼 여러 논란을 총정리했다. 그렇게 문제라면 왜 진작 없애지 못했는지, 공인인증서의 무엇이 우수하다는 것인지, 공인인증서를 유지하거나 폐지하면 어떤 문제가 남는지 등을 알아봤다. 문 대통령의 공약과 관련해 혹시 오해를 살만한 부분이나 추가적으로 개선해야 할 바는 없는지 살피고, ‘공인인증서는 불편하다’는 인식의 실체를 보안의 관점에서 검토했다.

이를 위해 입장이 다른 두 명의 전문가를 만나 의견을 들었다. 한호현 경희대학교 컴퓨터공학과 교수는 지난 5월 25일, 김기창 고려대학교 법학전문대학원 교수는 6월 5일 만났다. 한 교수는 공인인증서 존치를, 김 교수는 공인인증서 폐지를 주장한다. 한 교수는 전자서명법 제정 및 개정에 참여한 바 있으며, 김 교수는 문 대통령이 후보 시절 구성한 ‘디지털혁신 특보단’에 참여해 왔다. 두 전문가가 전체를 대변하진 않지만 각 입장이 첨예하게 대립하는 만큼 공인인증서 존폐 논란 전반을 아울러 깊이 있는 의견을 들을 수 있었다. 관점의 차이는 있었으나 거시적인 대안 차원에선 맞닿는 부분도 컸다.

전자상거래 확대하며 공인인증서 최초 도입
공인인증서는 어떻게 지금의 상황에 이르게 됐을까. 도입부터 현재까지 어떤 적폐와 오해가 어떻게 얽혀 들었을까.

한국에 공인인증서가 처음 도입된 것은 1999년 7월 시행된 전자서명법에서부터다. 전자서명법은 당시 김대중 대통령이 김영삼 정부의 바통을 이어받아 국가적으로 정보화를 추진하던 과정에서 ‘전자정부’ 사업과 함께 추진됐다. 특히, 정보화의 핵심인 비대면 전자상거래를 활성화하려면 거래 양방의 신원을 확실히 인증하는 장치가 필요했다. 공인인증서 논의의 시발점이다.

당시 전자상거래는 장래가 촉망되는 분야였지만, 거래 당사자 A와 B가 전산망 저 너머의 상대방이 누구인지 어떻게 확인할 수 있느냐는 큰 문제가 남아 있었다. 직접 마주하지 않는 거래의 상대방을 어떻게 신뢰해 상품을 주고받으며 결제까지 할 수 있느냐는 문제였다. 이 문제를 해결하기 위해 등장한 것이 바로 ‘전자서명’이다.

전자서명법은 제1조에서 “이 법은 전자문서의 안전성과 신뢰성을 확보하고 그 이용을 활성화하기 위하여 전자서명에 관한 기본적인 사항을 정함으로써 국가사회의 정보화를 촉진하고 국민생활의 편익을 증진함을 목적으로 한다”고 밝히고 있다. 여기서 전자문서란 일반적인 형태의 문서가 아니라 ‘전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보’를 가리키고, 전자서명이란 ‘서명자를 확인하고 서명자가 당해 전자문서에 서명을 하였음을 나타내는데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보’를 말한다.

즉, 전자서명법은 전자상거래에 있어 당사자 양방의 신원을 확인하고, 송수신한 전자정보가 도중에 위·변조돼 거래 사실 자체가 부인되는 것을 방지하기 위해 전자서명과 관련한 제반 사항을 정의한 법이라 할 수 있다. 이런 전자서명에는 전자서명과 공인전자서명이라는 두 가지 종류가 있는데, 공인인증서는 전자서명의 한 종류인 공인전자서명이 있는 인증서, 즉 공인인증기관에서 공인전자서명을 확인 및 발급받은 인증서를 가리킨다.

한편, 전자상거래가 전 세계적으로 확대하면서 국제연합(UN: United Naions)도 비슷한 시기 같은 고민에 빠져 있었다. 고민의 결과가 바로, 유엔국제상거래법위원회(UNCITRAL: UN Commission on International Trade Law)가 2001년 채택한 ‘전자서명모델법(Model Law on Electronic Signatures)’이다. UNCITRAL의 전자서명모델법에는 1) 비차별성 2) 기술중립성 3) 기능동등성 등 세 가지 원칙이 전제돼 있는데, 한국은 이러한 원칙들을 수용해 2002년 전자서명법을 개정했다. 한국이 1999년 제정한 최초의 전자서명법은 전자서명 기술을 ‘전자서명키’로 한정해 뒀는데, 이렇게 특정한 기술을 법률로 지정해두면 기술 발달에 따라 계속 추가 입법을 해야 할 우려가 있었기 때문이다.

2002년 전자서명법 개정 이후, 당해 9월과 2003년 3월 한국 정부는 공인인증서 적용을 의무화한다. 이어 2004년과 2005년에 걸쳐 인터넷 쇼핑몰, 신용카드 결제, 은행 계좌이체 등에 걸쳐서도 공인인증서 사용을 의무화했다. 신용카드 결제의 경우, 30만 원 미만의 거래에 대해선 카드사가 자율적으로 공인인증서 사용 여부를 결정하도록 2005년 11월에 바꾼 바 있다.

전자금융에서 공인인증서 사용을 의무화한 조치는 국가적으로 전자상거래를 활성화하기 위한 노력의 일환이었다고 볼 수 있다. 정부가 전자상거래 활성화 추진 초기, IT 강국으로서의 지위를 단단하게 다지기 위한 일환으로, 강력하게 드라이브를 건 것이다. 그러나 의무화 조치는 이후 몇 차례 격렬한 논란을 거치다, 한류 열풍에 휩싸인 중국 사람들이 ‘별에서 온 그대’라는 한국 드라마 속 의상을 공인인증서 때문에 결국 사지 못했다는 일명 ‘천송이 코트’ 논란을 정점으로 2014년 의무화가 폐지되기에 이른다.

이 모든 불편함의 시작, ‘액티브X’의 등장과 퇴장
공인인증서는 ‘액티브X(ActiveX)’와 자주 겹친다. 공인인증서를 쓰기 위해서 액티브X를 반드시 깔아야 했기 때문이다. 액티브X는 마이크로소프트(Microsoft)가 인터넷 익스플로러(IE: Internet Explorer)에서 웹 서비스 이용을 위해 지원한 기술인데, 현재는 여러 보안 문제가 발생하고 웹 표준이 부상하면서 그 사용이 대폭 감소되고 있는 추세다.

액티브X를 깔지 않으면 공인인증서를 사용하지 못하고, 공인인증서를 못 쓰면 전자 서비스 이용이 불가능했기 때문에 전자 서비스를 이용할 때 액티브X와 공인인증서는 거의 떼려야 뗄 수 없는 것으로 인식됐다. 게다가 액티브X가 윈도우(Windows) 운영체제와 IE라는 웹 브라우저 외의 다른 것을 차별한다는 점도 공인인증서 사용을 불편하게 하는 주된 이유였다. 즉, 리눅스(Linux)나 맥(Mac) 운영체제에서, 크롬(Chrome)이나 파이어폭스(FireFox) 웹 브라우저 상에서 공인인증서 사용은 사실상 불가능했다.

현재 공인인증서는 액티브X 설치 없이도 사용할 수 있다. 2014년, 미래창조과학부가 논-액티브X(non-ActiveX) 환경 조성에 나서면서부터다. 당시 미래부는 ‘민간분야 액티브X 이용 개선방안’을 발표하고 웹 표준 활용 기술 개발 및 보급을 추진한 바 있다.

쟁점 1. “애먼 공인인증서 폐지론” VS “금융기관 면책하는 ‘공인’ 딱지”
공인인증서 의무화 조항이나 액티브X의 제약도 크게 사라졌는데, 아직까지 ‘공인인증서는 불편하다’는 목소리가 가라앉지 않는 이유는 무엇일까. 한호현 교수에 따르면 이는 공인인증서 자체의 문제라기보다 개별 금융기관이 전자금융거래 보호를 위해 공인인증서와 함께 각종 보안 프로그램을 ‘덕지덕지’ 붙여왔고, 이런 상황을 기술 개발로 바꿔야 할 금융위원회가 손 놓고 있었기 때문이다.

“(보안이 탁월한) 공인인증서를 쓰면서 왜 또 전화인증을 하고, OTP(One Time Password) 번호까지 입력해야 될까요? 바로 금융기관이 거래의 실 당사자를 확인해야 하는 전자서명법의 형식요건 때문입니다.”

▲ 한호현 경희대학교 컴퓨터공학과 교수[사진=보안뉴스]


한 교수는 여러 단계에 걸쳐 불편한 인증을 거치는 이유는 전자서명법을 제대로 해석하지 못하는 금융기관과 이를 방관한 금융위원회에 있다고 지적했다. 전자서명법상 금융기관은 ‘(전자)서명 당시 가입자가 전자서명 생성정보를 지배·관리하고 있을 것(전자서명법 제2조(정의) 3 나)’을 명시하고 있다. 이에 따라 금융기관은 전자금융거래를 신청하는 사람, 즉 전자서명을 보내는 사람이 해당 전자서명의 가입자 본인이 맞는지 확인하는 절차를 반드시 거쳐야 한다. 한 교수는 금융기관들이 이를 충분히 기술개발로 해결할 수 있는데도 단지 부수적인 확인 절차를 덧붙이는 것으로만 해결해왔기 때문에 그동안 불편할 수밖에 없었다고 말했다.

“궁극적으로는 금융위원회의 책임입니다. 국민들이 그렇게 불편함을 느끼는데 아직까지 해소하지 않은 책임 말입니다. 각 사용자의 다양한 환경에 편리한 기술들이 이미 많이 보급되어 있습니다. 금융기관들이 이를 도입하도록 유도해 국민의 불편함을 해소시켜줘야 합니다. 이는 정부가 즉 금융위원회가 해야 할 일입니다. 애초에 (공인인증서를) 강제로 쓰도록 한 것이 정부였기 때문에 편리한 서비스에 대한 책임 역시 정부가 져야 한다는 것이죠.”

한 교수는 “애먼 공인인증서 폐지론”이라는 말로 논란을 일축했다. 한 교수는 에스토니아가 자국의 공인인증기술을 통해 미국 나스닥(Nasdaq)과 협력한 사례나 분산원장기술에 대한 영국정부 보고서 등을 근거로, 우리나라의 공인인증제도나 기술이 외국에선 이미 인정받은 바 있으나 국내에서의 여러 오해 때문에 아직 활발하게 홍보되거나 수출되지 못하는 점을 안타까워했다. 즉, 한국의 공인인증서가 국가적으로 키우고 수출해야 할 탁월한 기술임에도 각종 용어의 혼용과 오해로 되레 폐지하자는 주장이 힘을 얻고 있다는 뜻이었다. “편리한 금융 서비스를 제공하지 않은 책임을 해당 기관에 묻지 않고, 우리나라가 선도적으로 구축한 공인인증 기술을 그냥 버리자는 겁니까?” 문제의 본질이 호도되는 현실에 대해 한 교수는 안타깝다고 지적했다.

그러나 김기창 교수의 생각은 다르다. “우수한 기술을 폐기하자고 주장하는 게 아닙니다.” 김 교수는 ‘공인’이라는 딱지를 인증서에 붙인 결과, 각 금융기관이 보안 책임에서 면제되는 현실을 지적하는 것이라고 거듭 강조했다. “공인이라는 딱지가 은행을 금융사기 거래 방관 책임에서 면제하는 현실을 문제라고 말하는 겁니다.”

김 교수에 따르면, 인증서 앞에 ‘공인’이라는 말을 보고 국민은 믿고 쓰는데 은행 역시 공인인증서만 쓰면 보안 책임에서 자유롭다고 생각하기 때문에 문제가 된다. 즉, 은행은 금융범죄가 공인인증서를 매개로 발생했다면 자사의 책임이 아니라 정부 책임으로 떠넘길 수 있다는 것이다. 공인의 주체는 자사가 아닌 정부이기 때문이다. 금융거래의 핵심 이해관계자인 은행이 마땅히 져야 할 보안 책임을 게을리 하고 있는 상황이 공인인증서와 관련한 가장 큰 문제라고 김 교수는 말한다.

“인증서는 국가가 ‘공인’해서 발행하는 게 아니라 자유 시장 경쟁에 맡겨야 할 문제입니다. 관 주도, 관 감독, 이런 것 이제 그만해야 합니다. 공무원이 무슨 전문성이 있어서 인증서의 신뢰성을 보장한다는 말입니까?” 김 교수는 인증서에 공인이 붙어 비롯되는 무조건적 신뢰와 무배상이라는 결과가 금융거래 당사자의 권익을 침해하고 있다고 본다. 공인인증서를 매개로 발생하는 금융사기 피해에 대해 공인인증서를 발행한 정부나 공인인증서로 거래를 요구하는 금융기관이 책임져야 하지만, 그 어느 곳도 정작 배상 책임을 지고 있지 않다는 것이다.

“공인이라는 딱지를 붙임으로써 정부가 안전성을 약속하는 것입니다. 그래서 금융기관도 배상 책임을 지지 않는 것이고요. ‘공인’이라는 말 없애고, 금융권에 인증서 선택에 대한 자율성을 부여하고, 그에 따른 배상 책임 역시 금융기관이 지도록 해야 합니다.”

이와 함께 김 교수는 전자금융거래법을 들어 공인인증서 사용의 “구조적인 문제”를 지적했다. “(지금의 공인인증서 논란은) 전자서명법과 아무런 상관이 없습니다. 전자금융거래법 상 은행들이 배상 책임에서 면제될 수 있었다는 점이 문제라는 겁니다.” 전자금융거래법 제9조(금융회사 또는 전자금융업자의 책임) 2항에 따르면, ‘사고 발생에 있어서 이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다는 취지의 약정을 미리 이용자와 체결한 경우’에는 금융회사 또는 전자금융업자가 그 책임의 전부 또는 일부를 이용자 부담으로 돌릴 수 있다고 명시하고 있다.

공인인증서 존폐 논란에서 한호현 교수가 전자서명법을 중심으로 존치를 피력한다면, 김기창 교수는 전자금융거래법을 중심으로 폐지를 주장하고 있는 형세다. 한 교수가 공인인증체계가 주는 전자거래의 신뢰 기반에 집중한다면, 김 교수는 공인인증서라는 명칭에서 파생되는 신뢰 및 배상 문제에 집중한다고 볼 수 있다.

▲ 공인인증서 존폐 입장 비교[표=보안뉴스]


쟁점 2. “공인전자서명, 면책한 바 없어” VS “배상 책임 부여하면 보안 강화돼”
김기창 교수가 금융사기 피해에서 금융사가 공인인증서 사용만으로 면책되는 현실이 문제라고 주장하는 것과 달리, 한호현 교수는 공인전자서명 체계가 “기술 중립적이며 사용자 무책임 원칙에 근거”하고 있다고 말한다. 상대적 약자인 금융 서비스 이용자를 보호하기 위한 법체계가 이미 구축돼 있다는 말이다. 이를 이해하려면 공인전자서명 요건을 봐야 한다.

공인전자서명은 다음의 네 가지 요건을 충족하는 전자서명이다.

가. 전자서명생성정보가 가입자에게 유일하게 속할 것
나. 서명 당시 가입자가 전자서명생성정보를 지배·관리하고 있을 것
다. 전자서명이 있은 후에 당해 전자서명에 대한 변경여부를 확인할 수 있을 것
라. 전자서명이 있은 후에 당해 전자문서의 변경여부를 확인할 수 있을 것

이는 다시 형식요건과 기술요건으로 나뉘는데 ‘가’와 ‘나’가 형식요건, ‘다’와 ‘라’가 기술요건이다. ‘가’는 최초 신규 발급 시 대면 확인으로 진행된다. ‘나’는 앞서 이 요건을 충족하기 위해 각 금융사가 휴대전화인증이나 OTP 번호 입력을 추가적으로 요구한다고 언급한 바 있다. 즉, ‘나’는 금융 서비스 제공자가 확인해야 될 문제다. 형식요건은 금융 서비스 이용자의 신원을 공인인증서 발급기관과 각 금융사가 면밀히 확인한다는 전제를 둬 금융 서비스 이용자를 보호하기 위한 요건을 만든 것이라고 볼 수 있다. A라는 사람의 신원을 최초에 공인전자서명 발급기관이 확인하고, 전자금융거래 발생 시 각 금융사가 다시 “이 전자서명은 당사자가 A라고 하는데 당신이 정말 A가 맞느냐”고 거듭 확인해야 하는 것이다. 만약 신원 확인을 제대로 하지 못해 금융사기 거래가 발생할 경우, 발급기관이나 금융사가 금융 서비스 이용자에게 책임을 돌릴 여지가 전혀 없는 것이다.

기술요건 두 가지는 여러 가지 보안기술을 통해 충족할 수 있으나 현재까지 가장 탁월하다고 평가되는 ‘공개키암호화기술(PKI: Public Key Infrastructure)’을 통해 사실상 거의 완벽하게 충족할 수 있다. 단, 여기서 주의할 점이 있다. 1999년 전자서명법 최초 제정 당시에는 PKI를 근간으로 법체계를 구축했지만, 2001년 UNCITRAL 모델법의 기술중립성을 수용해 개정한 이후로는 공인인증서의 근간을 PKI로 봐서는 안 된다는 점이다. 특정 기술을 중심으로 법을 만들면 미래 기술 발전에 법적으로 대응하기 어려워진다는 점에서 PKI는 2001년부터 전자서명법에 직접 기술된 바 없지만, 사실상 그 우수한 보안성 때문에 공인인증서 뿐만 아니라 아직까지 수많은 업체에서 이 기술을 적용하고 있다.

기술요건 ‘다’의 ‘전자서명이 있은 후에 당해 전자서명에 대한 변경여부를 확인할 수 있을 것’
과 ‘라’의 ‘전자서명이 있은 후에 당해 전자문서의 변경여부를 확인할 수 있을 것’은 전자서명생성정보와 전자서명검증정보를 비교하는 방법으로 가능하다. PKI를 예로 들면, 공개키(Public Key)와 개인키(Private Key)가 일치하는지를 보는 것으로 설명할 수 있는데, 공개키는 외부에 보내는 암호화된 정보, 개인키는 내가 갖고 있는 암호화된 정보 정도로 거칠게 요약할 수 있다. PKI를 ‘비대칭키 암호화’라고도 하는데 이는 공개키와 개인키가 결국 다른 값을 갖는 전자정보이면서 어느 한 쪽의 정보만으로는 해독이 불가능하기 때문이다.

“공인인증서를 해킹한다, 유출한다고들 하잖아요? 이는 잘못된 이해에서 비롯된 말입니다. 공개될 (공개)키를 해킹하거나 유출한다는 건 말이 안 되지 않습니까?” 한호현 교수는 기술적인 측면을 너무 자세하게 설명하는 것이 논란의 본질을 흐릴 수 있다고 우려하면서도, 공인인증서가 호도되는 현실을 바로잡기 위해 몇 가지 주요한 오해를 시정하고 싶은 듯했다. 공인인증서가 해킹되거나 유출된 데서 실제 피해가 발생하려면 공격자는 전자서명생성정보와 전자서명검증정보를 한꺼번에 확보해야 하는 데다 비밀번호나 지문 등 개인정보를 추가 입력하는 것까지 성공해야 하는데도, 마치 공인인증서의 허술한 보안성 때문에 금융사기 피해가 급증하는 것처럼 여론이 조성되고 있기 때문이다.

“공인인증서 허위 발급으로 인한 피해보고는 있었으나 공인인증서 해킹으로 인한 피해사고는 아직 보고된 바 없습니다. 혹여 해킹된다고 해도 발급기관이나 금융사가 면책될 순 없고요. 해커는 해킹하기 쉬운 걸 노리지 공인인증서처럼 넘어야 할 관문이 험난한 걸 공격하진 않습니다.” 한 교수가 보기에 ‘공인인증서가 보안에 취약하다’는 말은 사실 공인인증서의 기술적인 보안성을 논하는 게 아니라 사회공학적인 사기수법에 대한 비판을 공인인증서로 왜곡해 인지한 것이라고 할 수 있다.

▲ 김기창 고려대학교 법학전문대학원 교수[사진=보안뉴스]


김기창 교수는 어찌됐건 이런 사회공학적 금융사기의 급증이 공인인증서를 매개로 발생하는 만큼, 금융기관들이 책임지고 보안을 강화해야 한다고 주장한다. 공인인증서를 폐지하면 각 금융기관에 배상 책임이 생기기 때문에 보안을 더 강화할 수밖에 없다는 게 요지다. “지금 보이스피싱 범죄가 왜 생깁니까? 은행이 온라인으로 공인인증서를 쉽게 재발급해주기 때문에 생깁니다.” 김 교수는 공인인증서가 제대로 관리되지 않음으로써 보안이 매우 취약해진다고 말한다. “은행은 어떤 거래가 범죄 거래인지도 이미 다 파악할 수 있는 상황입니다. 그런데도 왜 적극적으로 막지 않을까요? 배상 책임이 없기 때문입니다.”

김 교수는 지금의 인증서는 “있으나 마나 한 것”이라며 비판 수위를 높였다. “공인인증서를 폐지해 여러 보안기술이 시장에서 자유롭게 경쟁하게 하는 게 먼저입니다. 이런 기술을 은행이 직접 선택하고, 추후 그 배상 책임까지 지게 된다면 소비자 권익도 높아지고 보안기술 역시 발전할 것입니다.”

쟁점 3. “인증서 수수료, 이미 한계점” VS “민간 인증서가 차별 없이 경쟁해야”
문재인 대통령은 대선 후보 시절, “모든 인증수단이 차별 없이 경쟁할 수 있도록 공인인증제도를 폐지”하겠다며 “전자금융거래법을 개정해 공인인증서 사용을 이유로 한 금융회사의 부당 면책을 막겠다”고 밝힌 바 있다.

그렇다면 민간 인증서가 차별 없이 경쟁한다는 게 어떤 의미며 실제로 어떻게 가능하다는 것일까. 김기창 교수는 인증서 시장이 고부가가치 산업이라는 점에 주목한다. “지금은 인증 서비스를 감독하는 ‘웹 트러스트(WebTrust)’ 같은 세계적인 기관도 있습니다.” 웹 트러스트는 전자상거래에서 소비자 주권(confidence)을 강화하기 위해 설립된 세계적인 보안 감사기관으로, 특정 인증서가 기준에 부합하는지 검증해주는 서비스를 제공하며 “한국에서도 해당 서비스가 제공”되고 있다. 즉, 김 교수의 말은 인증서의 수준을 검증할 기구도 있는 마당에 굳이 정부가 인증 사업을 틀어쥐고 있을 이유가 없다는 것이다. 더욱이 인증서라는 고부가가치 산업을 정부의 손에 맡겨두는 것이 불합리하다는 뜻이다.

그러나 한호현 교수가 보기에 한국은 민간 인증서 사업체가 수익을 낼 만한 구조가 안 된다. 인증서 수수료가 이미 한계 수준까지 낮춰진 상황이기 때문이다. 공인인증서 발급 수수료는 최대 개인이 연간 4,400원, 기업이 연간 110,000원이다. 게다가 은행, 신용카드, 보험용 공인인증서는 무료로 발급돼 왔다. 지금까지 공인인증서를 “사실상 거의 다 무료”로 사용해 왔다고 볼 수 있는데, 민간이 인증서 사업에 뛰어들면 지금보다 높은 수준의 수수료를 책정하게 된다는 것. 지금껏 공짜로 쓰던 것에 대해 갑자기 수수료를 내야 하는 상황 자체가 사람들에게 매우 불합리적으로 느껴질 것이라는 게 한 교수의 생각이다.

간편한 결제 서비스로 인해 공인인증서 폐지 주장에 자주 인용되는 ‘페이팔(PayPal)’의 경우, “많게는 7%에 육박하는 영세 사업자 수수료”를 받고 있으며 “페이팔 전체 비용의 3분의 1이 금융사고 보상비로 들어간다”고 한 교수는 말한다. 이는 원화로 약 ‘1조원이 넘는’ 금액이다.

“우리나라에서 그렇게 높은 비용을 부담하는 서비스가 나올 것 같습니까? 수수료가 높아야 페이팔 같은 서비스가 나올 수 있고, 간편결제를 하더라도 수수료가 나와야 되는데, 한국은 일찍부터 전자서명체계가 도입돼 금융거래 비용이 매우 낮아진 상황입니다.” 한 교수는 이미 낮아질 대로 낮아진 수수료를 지금 와서 다시 높이는 게 별 의미가 없을뿐더러 구조적으로 불가능할 것이라고 본다. 핀테크 기업이 나오더라도 수수료가 제대로 책정되지 않는 이상 생존할 수 있는 구조가 안 된다는 것이다.

“우리나라처럼 금융비용이 적고 금융사고도 적은 곳은 전 세계 어느 곳에도 없습니다.” 한 교수는 공인인증서 논의가 ‘전면 폐지’가 아닌 국민 불편함을 개선할 수 있는 방향으로 서비스 개선 측면에서 이뤄져야 한다고 본다. 그리고 그런 개선의 책임은 금융위원회에 있다고 강조한다.

공인인증서, 이제 어떻게 할 것인가
두 전문가의 주장은 정확하게 대치한다기보다 문제를 바라보는 관점의 차이, 더 중요하다고 생각하는 가치의 차이에 기인한다고 볼 수 있다. 공인인증서 논란에서 각자 중점적으로 주시하는 법률이 전자서명법과 전자금융거래법으로 갈린다는 데서도 드러나는 대목이다.

주권 차원에서 김기창 교수가 ‘소비자 주권’을 중심으로 금융기관의 배상 책임을 들어 공인인증서 폐지를 말한다면, 한호현 교수는 ‘사이버 주권’의 차원에서 공인인증제도의 존치를 말한다. 공인인증서 논란에서 사이버 주권이 나오는 이유는, 한 교수가 소위 ‘애플세’나 ‘구글세’로 불리는 다국적 기업의 탈세 행위를 방지하기 위해 “현재 유일한 수단이 전자서명법 밖에 없다”고 주장하기 때문이다. 나아가 한 교수는 ‘디지털 신원 및 전자서명법에 관한 법률’을 제정해 공인인증제도를 개선해 나가자고 주장하고 있다.

핵심적인 문제로 김 교수가 ‘관치 보안’을 지적한다면, 한 교수는 ‘관치 금융’을 말한다. 김 교수는 관에서 하라는 대로 공인인증서만 사용하고 금융사고에 대해서는 ‘나 몰라라’ 하는 은행이 문제라고 지적하고, 한 교수는 다양한 소비자 환경에 적합한 편리한 서비스 보급 등은 금융위원회가 주도적으로 해결해야 하는데, 정작 당국이 손 놓고 있다는 데서 관치 금융을 비판한다.

이 밖에 UNCITRAL 모델법을 한국이 편협하게 해석해 ‘갈라파고스 규제’가 됐다거나(김기창 교수), 모델법을 정확하게 수용한 것을 넘어 선도적으로 구축한 바 있으며 “(공인인증제도가 폐지되면) 금융 난민, 서류 난민이 생길 일”(한호현 교수)이라는 의견 대립도 있었다.

이제 무엇을 할 것인가. 공익을 위해서 무엇이 최선인가라는 질문은 아직 남아 있다. 공인인증서는 전면 폐지돼야 하는가, 아니면 존치하되 개선되는 것이 더 바람직한가. 이를 고민하는 것은 새 정부의 몫이자 이 문제를 사용자의 입장에서 더 엄밀하게 바라봐야 할 국민의 몫이기도 하다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)