기본분류

[취재수첩] 법 개정까지 부른 공인인증서 문제

이유지 기자

[디지털데일리 이유지기자] 전자금융거래에서 ‘공인인증서’와 같은 특정한 보안·인증 기술을 강제하지 않는다는 것을 명문화한 전자금융거래법 개정안이 최근 국회에서 발의됐다.

더욱이 각종 전자문서를 통한 거래에서 전자서명의 법적효력을 규정하고, 공인인증서 제도 운영을 위한 제반사항을 정해 놓은 전자서명법 전부개정도 추진되고 있다.

최재천 민주당 의원이 마련한 전자서명법 전부개정안 초안에는 현행법에 있는 ‘공인’자가 모조리 빠진 것이 가장 두드러진다. 이로 인해 공인전자서명과 전자서명의 구분을 없애는 등 다양한 인증방법을 사용할 수 있는 환경을 조성한다는 취지를 반영했다.

당연히 정부가 지정하는 공인인증기관도 없어진다. 대신에 일정 기준을 충족하면 인증기관 업무를 수행할 수 있게 관련 시장이 개방된다.

이대로라면 사실상 ‘공인인증’제도의 법적기반을 사라지게 만들어, 일부에서 지적하는 정부 주도의 관치보안을 탈피하는 셈이다. 공인인증기관들에겐 ‘날벼락’같은 법이 될 수 있다.

이들 두 법의 개정안이 모두 정식 국회 심의절차에 들어가게 되면, 몇 년 째 이어져온 공인인증서를 둘러싼 논란은 가장 정점으로 치닫게 될 것 같다.

벌써부터 정부나 공인인증기관이 아닌 일부 전문가들 사이에서도 법 개정에 이견이 나오고 있다.

현행 법에서 특정 보안·인증기술 사용을 강제화하지 않고 있고, 특히 전부개정이 추진되는 전자서명법에는 이미 기술중립성의 취지가 반영돼 있다는 점을 들어 법 개정이 무리하다는 주장이 있다. 공인인증서 문제는 법을 실행하는 정부와 금융당국의 정책과 사용 관행이 잘못됐던 것이고, 새롭게 대두되는 기술적인 불편성이나 취약성은 얼마든지 해결이 가능하다는 시각이 존재한다.

반면에 법 개정에 찬성하거나 주도하는 쪽에서는 전자서명법 3조(전자서명의 효력 등), 19조(인증업무에 관한 설비의 운영) 등 특정조항을 비롯해 지금까지 드러난 공인인증제도 관련 여러 문제점을 얼마든지 제시할 수 있을 것이다.

사실 이같은 상황이 벌어진 데에는 일단 환경 변화와 이용자들의 요구에 적극 대처하지 못한 정부와 금융당국의 미온한 대처 탓이 크다는 생각이다.

3년 전인 지난 2010년, 스마트폰 모바일 뱅킹이 본격 확산되기 시작하던 시기에 공인인증서 의무화 논란이 수면 위로 급부상했었다. 금융당국이 스마트폰에도 PC 환경과 똑같은 전자금융거래 보안 정책을 적용한다는 방침이 알려지면서 불붙은 논란이었다. 당시에는 전자금융거래감독규정이 도마에 올랐다.

논란이 심화되면서 결국 정부와 금융당국은 전자금융거래에서 공인인증서만을 의무화해온 규제를 풀기로 방침을 정하고, 전자금융거래감독규정과 시행규칙을 개정했다.

그리고 공인인증서 이외의 새로운 인증방법을 도입하는데 앞서 그 안전성을 검증할 수 있는 평가 절차를 뒀다. 안전성을 이유로 ‘공인인증서와 동등한 수준이 인정되는 보안방법을 허용키로 했기 때문이다.

이같은 방침이 시행된 지 2년 넘게 지났다. 물론 아직까지 공인인증서와 동등한 수준의 인증방법으로 허용된 사례는 단 하나도 없다. 기밀성과 무결성에 더해 전자서명 부인방지 기능이 있는 공인인증서만큼 ‘획기적인’ 인증수단은 등장하지 않았다.

결과적으로 당시의 조치는 상징적인 차원에 그친 셈이 됐다. 제도는 고쳤지만 정부와 금융당국이 여전히 획일적인 인증수단의 의무 사용을 강제하고 있다고 비난받는 이유다.

물론 정부 주장대로 민감한 전자금융거래 인증수단이 제공하는 보안수준은 중요하다. 10년도 넘게 고수해온 제도를 바꾸려니 혼란이나 미처 생각지 못한 문제 발생을 우려하는 것도 당연하다. 그 점에서 정부당국의 입장을 이해할 수 없는 것은 아니다.

그러나 지난 3년의 시간동안 이에 대처하기 위해 딱히 준비해온 것이 없는 것도 사실이다.

그렇다고 “정부기관이 주장하고 있는 것만큼 공인인증서가 안전하지 않다. 그런데도 이용자들에게 안전하다는 믿음을 심어주면서 공인인증서 사용을 강제해 왔다. 이로 인해 오히려 보안위험성을 부추겨 왔다”는 주장을 제대로 반박하지도 못하고 있다.

공인인증서가 가진 부인방지 기능이나 전자거래에서 공인인증서명의 법적 효력이 거론될 여지가 없다는 문제에서도 마찬가지다.

그 와중에 공인인증서 무더기 유출 사고가 발생하는 등 공인인증서체계의 보안 취약성 이슈는 오히려 도마에 오르고 있다. 시간이 갈수록 공인인증서의 보안성이 가장 뛰어나다는 식의 이야기들은 궁색하게 들린다.

정부는 이미 3년 전에 제도를 손질함으로써 인증수단을 자유롭게 선택할 수 있는 전자금융거래 환경이 마련돼야 한다는 데 공감을 표했다. 이제는 이용자들에게 적극적인 모습을 보여야 할 때다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널