솔루션

[전자서명 ①] ‘공인’ 딱지 뗀 공인인증서··· 어쩌다 ‘애물단지’ 됐나

이종현
5월 20일 전자서명법 전부개정법률안이 국회를 통과했다. ‘공인인증서 폐지법’으로 익숙한 법이다. 공인인증서 및 공인증서에 기초한 공인전자서명 개념이 삭제된다. ‘전자서명 춘추전국의 시대’가 막을 올랐다. 이에 공인인증서의 탄생과 배경, 이후 대두될 전자서명을 살펴보고자 한다.

[디지털데일리 이종현기자] 공인인증서는 1999년 전자서명법의 발효와 함께 도입됐다. ‘전자정부’의 바람을 타고 등장했으며 비대면 전자상거래 활성화를 위해 마련됐다.

당시만 하더라도 비대면으로 신원을 확인할 수 있는 마땅한 수단이 없었다. 온라인상의 상대방이 실제 거래 당사자인지 확인하지 않으면 거래 자체가 불가능했다. 이에 거래 당사자의 신원을 확인하는 수단으로 공개키 기반 구조(PKI)에 소유자 정보를 추가해 만든 온라인판 ‘인감증명’을 만든 것이 공인인증서다.

전자서명법, 전자정부법, 전자금융거래법 등을 바탕으로 우월한 법적 지위에 있던 공인인증서는 ‘애물단지’로 전락한 지금과 달리 국내 인터넷 전자상거래 시장을 키우는 데 큰 기여를 했다. 2000년대 들어 급속도로 발전한 인터넷 시장에 공인인증서의 지분이 다수 있는 셈.

하지만 새로운 기술 발전은 공인인증서를 ‘퇴물’로 만들었다. 이용자에게 크게 와닿는 것은 운영체제(OS)와 브라우저의 호환성 문제다.

‘액티브 X’가 필요한 공인인증서는 마이크로소프트(MS)의 윈도와 인터넷 익스플로러(IE)가 아닌 다른 운영체제(OS), 브라우저 환경에서는 잘 구동되지 않았다. 대한민국 국민 대부분은 결제를 위해 공인인증서를 설치하는데 수개의 액티브 X를 설치해본 경험, 다른 웹 브라우저에서 액티브 X 설치가 되지 않아 쓰지도 않는 IE를 켰던 경험이 있을 것이다.

구글 크롬의 등장으로 IE가 지배하고 있던 웹 브라우저 시장은 큰 변혁을 맞이했다. 다수 이용자가 IE 대신 크롬 등을 사용하기 시작했지만 여전히 공인인증서는 IE에서만 원활히 구동되며 시대에 뒤처진다고 비판받았다.

또 국가의 모든 전자서명이 공인인증서로 귀결되자 이를 노린 공격이 늘었는데, 공인인증서 특성상 이런 사이버공격에 취약하다는 것도 문제점으로 지적됐다. 가짜 은행 사이트로 유도하는 피싱 수법 등은 공인인증서 초기부터 지금까지 꾸준히 이뤄지고 있는 사이버공격이다.

사실 공인인증서의 ‘의무사용’ 규정은 2014년 폐지됐다. 당시 인기 드라마였던 ‘별에서 온 그대’의 주인공 천송이(전지현)가 입었던 코트를 중국인들이 직구하려 했지만 공인인증서 때문에 살 수 없었다는 ‘천송이 코트’ 논란 후 금융당국은 공인인증서 의무사용 규정을 폐지했다.

그럼에도 다수 공공·금융기관은 여전히 공인인증서에 의존해 왔다. 업계에서는 “‘공인인증’이라는 수단이 있는데 다른 인증 수단을 채택하기가 어려웠다”고 말한다. 하지만 보안 책임을 이용자 개개인에게 떠넘기기 위해 공인인증서를 고집해왔다는 지적도 있다. 기관이 보안사고 발생 시 책임 회피용으로 이용자 개개인에게 보안 프로그램을 설치하게 했다는 비판이다.

보안업계에서는 공인인증서의 가장 큰 문제점을 두고 “다양성의 훼손”이라고 말한다. 공인인증서가 장기간 법적으로 우월한 지위에 있으면서 인증 시장의 독과점을 초래했다는 것.

이에 개정된 전자서명법에는 ▲국가는 생체인증, 블록체인 등 다양한 전자서명수단의 이용 활성화를 위해 노력해야 한다 ▲국가는 특정한 경우를 제외하고는 특정한 전자서명수단만을 이용하도록 제한해서는 안 된다 등 다양한 전자서명수단의 활성화를 위한 내용이 담겼다.

보안업계 관계자는 “그동안 전자서명에 대한 다양한 기술 발전이 있어왔다. 최근 생체인식 등으로 크게 주목받는 파이도(FIDO) 같은 것이 그 예”라며 “하지만 이런 새로운 기술들이 공인인증서에 밀려 빛을 발하지 못해왔다. 연구하더라도 시장에서 수요가 없는 상황이었다”고 말했다.

이어서 그는 “전자서명법 개정으로 갑작스러운 변화가 있을 것이라고 생각하긴 어렵다. 기존의 공인인증서도 ‘공인’ 딱지를 뗄 뿐, 여전히 사용될 것이다. 자연히 공인인증서를 위한 플러그인 등에 대한 개선도 아직은 멀었다”며 “그럼에도 변화가 시작할 것이라는 기대는 있다. 이미 대체할 기술은 많이 나왔다. 얼마나 빨리 보급되느냐의 문제다. 포스트 공인인증서 시대의 개막”이라고 피력했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널