thinkpool

[사설인증 사용해도 되는 곳까지 공인인증을?…보안성-편의성 동전 양면, 인증서 폐지 논란 여전]최근 몇 달간 공인인증서가 뜨거운 감자다. 국회에서는 공인인증서의 의무사용을 놓고 줄다리기를 하고 있으며 SNS(소셜네트워크서비스)상에서는 IT업계 CEO와 카드회사 CEO간의 작은 설전이 벌어지기도 했다. 이와 함께 온라인 상에서는 공인인증서를 사용할 수 있도록 해주는 보조프로그램인 '액티브X'를 먼저 폐지해야 한다는 민원도 들끓고 있다.하지만 지난 13년간 사용된 공인인증서는 이미 우리 삶 전반에 깊숙히 들어와 있는 것도 사실이다. 온라인 주민등록증 혹은 온라인 인감의 역할을 해왔기 때문에 갑자기 제도가 폐지되면 사회적 혼란이 올 수 있다는 주장도 팽팽하게 맞선다. 공인인증서를 둘러싼 수많은 논란 중 혼란을 줄 수 있는 쟁점과 오해를 짚어본다.◇공인인증서는 온라인에서 유일하게 사용할 수 있는 본인인증수단이다? NO=공인인증서는 현재 온라인 상에서 본인확인의 수단이나 본인서명의 수단으로 사용된다. 즉 일상생활에서 주민등록증을 제시하거나 인감도장을 찍는 것과 같은 역할을 온라인에서는 공인인증서가 맡고 있는 것이다. 실생활에서는 본인확인이 가능한 '공인' 신분증으로 주민등록증, 운전면허증, 여권 등이 있다. 회사나 단체 등에서는 간편하게 본인을 확인하기 위해 회원증이나 출입증을 만들어주기도 한다. 혼히 말하는 '사설신분증'인 셈이다.온라인에서도 이같은 사설인증수단은 있다. 현재 30만원 미만 온라인 소액결제에서는 공인인증서 없이 ISP(신용카드 안전결제)나 휴대폰 인증 등을 통해 본인 확인절차를 대신한다. 또 일부 쇼핑몰에서는 공인인증서 대신 AA(금액인증) 방식을 채택해 30만원 미만의 금융거래를 승인하고 있다.  문제는 사설인증만 있어도 무방한 영역까지 공인인증서가 두루 사용되고 있다는 점이다. 이 때문에 공인인증서가 인증시장을 독과점하면서 다양한 보안기술의 발전을 저해하고 있다는 주장도 제기되고 있는 것. 이에 대해 정부는 현재의 공인인증서 방식 외에도 다양한 인증수단을 공인인증서로 채택할 수 있도록 공인인증서 발급기관 지정을 현행 허가제에서 등록제로 전환하는 방안을 추진 중이다. 일정 요건만 갖추면 자동으로 공인인증발급기관으로 등록되도록 하겠다는 것.또 공인인증체계와 사설인증체계를 따로 마련하고, 대국민서비스 등 공적영역이 아닌 민간영역에서는 사설인증이 적극 수용될 수 있도록 시장을 활성화하겠다는 방침이다.  ◇개정안은 공인인증서 폐지를 주장한다? NO=지난 5월 민주당의 이종걸, 최재천 의원이 전자금융거래법과 전자서명법 개정안을 발의했다. 많은 사람들은 이를 공인인증서 폐지 수순으로 봤다. 하지만 엄밀히 말하면 9월 국회에서 개정안이 모두 통과된다 하더라도 공인인증서 '의무화'가 폐지되는 것일 뿐, 공인인증서 사용 자체를 한꺼번에 중단해야 할 일은 없다.전자금융거래법 개정안에는 금융위원회가 보안, 인증기술 중 특정 기술 또는 서비스의 사용을 강제해서는 안된다는 내용이 담겨있다. 현행 전자금융거래법은 '금융위원회는 전자금융거래의 안전성과 신뢰성을 확보하기 위해 전자서명법 제2조 제8호의 공인인증서 사용 등 인증방법에 대해 필요한 기준을 정할 수 있다'고 명시해 공인인증서 의무사용의 근거로 사용되고 있다.전자서명법 개정인은 '전자서명'과 '공인전자서명'의 차이를 두지 않는다는 내용을 골자로 한다. 즉, 기존의 공인인증제도를 그대로 운영하되 이를 '공인'으로 지정하지 말고, 새로운 인증방식과 동등하게 인정해달라는 내용이 핵심이다. 공인인증서를 폐지하자는 것이 아니라 가장 좋은 방법을 시장이 선택할 수 있도록 하자는 것.이 같은 주장에 대해 정부의 입장도 크게 다르지 않다. 다만 '공인인증서'를 그대로 운영하면서 쇼핑몰, 인터넷뱅킹 등 사적영역에서는 '사설인증서'도 인정하자는 방식의 차이가 있을 뿐이다.  전자서명법은 공인인증서를 강제사용하도록 하는 것이 아니라 전자금융거래법 등 관계 법령에서 지정하고 있다. 이에 따라 정부는 전자서명법은 인프라를 지원하는 상위법률로, 공인인증서의 구체적인 활용은 개별 법령개정 등을 통해 해결해야 한다는 의견으로 맞서고 있다.◇공인인증서는 보안에 취약하다? YES and NO=공인인증서 기술은 윈도98이 보편적으로 사용되던 시절 최적화된 기술로 대부분 액티브X를 기반으로 사용자에게 전달된다. 문제는 액티브X가 보안상 취약점을 드러내고 있으며 이미 MS(마이크로소프트)도 사용을 지양하고 있는 낡은 기술이라는 것.하지만 PKI(공개키) 방식 자체는 보안성이 높은 기술이라는 것이 전문가들의 의견이다. 해외에서 널리 사용되고 있는 페이팔 등의 방식 역시 매달 30~40만개의 피싱사이트가 등장하는 것으로 알려져 있어 보안위협에서 자유롭지 못하다. 정완용 경희대교수는 OECD 2009년 보고서를 예로 들며, 미국에서 아이디와 패스워드만으로 본인확인을 했을 때 한 해 동안 1200만명이 명의도용을 당했고 피해액만 173억 달러에 달했다고 설명했다. 하지만 국가적으로 PKI방식을 시범적으로 사용하자 명의도용이 46% 감소했다는 것.보안성과 편의성은 항상 양면의 동전이다. 보안을 강조하려 문에 자물쇠를 2~3개씩 달다보면 오가기가 불편하고, 반대로 편의성만을 강조해 자물쇠를 잠그지 않으면 그만큼 위험에 노출되는 것과 같은 논리다.정부와 업계는 공인인증서를 액티브X 없이 다양한 웹브라우저 및 OS에서 공인인증서를 사용할 수 있는 서비스를 만들기 위해 노력해왔다. 자바 플러그인을 활용한 오픈뱅킹 사이트를 도입하기도 했고, 최근에는 이동통신사의 금융유심(USI) 또는 보안토큰에 공인인증서를 저장하는 방식을 고려하고 있다. 오승곤 미래창조과학부 정보보호정책과 과장은 "이제는 모바일 환경을 기반으로 해서 더 편리한 기술을 충분히 도입할 수 있다"며 "스마트 기기에서 사용할 수 있는 기술을 기반으로 해서 공인인증기관으로 진입할 수 있도록 하겠다"고 말했다.