오픈넷 “공인인증서 폐지 주장 아냐” VS 한국정보인증 “사실상 폐지”

[jsm7568]

공인인증제도 개선 두고 찬성 입장과 반대 입장 논쟁 벌여

“오픈넷은 공인인증서를 없애자고 주장하지 않았다. 현재 우리나라 공인인증제도에서 루트인증기관인 한국인터넷진흥원(KISA)에 대한 아무런 검증이 없다는 것이 문제다. 루트인증기관이 한국처럼 제3자에 의해 검증 받지 않을 경우 보안성을 입증할 근거가 없다. 한국은 지금까지 어떤 나라와도 상호인정 협정을 체결하는 데 성공한 적이 없다.” - 김기창 오픈넷 이사

“오픈넷은 공인인증서를 폐지하는 것이 아니라고 주장하지만 개정 법률안은 공인인증서 사용에 대한 조항을 모두 삭제해 사실상 공인인증서를 폐지하는 것과 다름없다. 공인인증서를 폐지할 경우 국민들이 다수의 인증서를 발급받아 사용해야 하는데 사설인증제도 아래서는 인증기관별 호환성이 사라져 수십 개의 보안인증서를 보유해야 하는 불편함이 생길 수 있다.” - 안기범 한국정보인증 전략기획팀 팀장

공인인증제도 개선을 위한 전자서명법과 전자금융거래법 개정안이 21일 법안심사소위에 심사를 거쳐 해당 상임위 의결 여부를 결정할 예정인 가운데 이를 두고 오픈넷과 한국정보인증이 찬성과 반대라는 상반된 주장을 펼치며 논란이 가열되고 있다.

오픈넷은 일부 언론에 알려진 것처럼 “공인증서를 폐지하자고 주장한 적이 없으며 사설인증서도 허용하고 공인인증제도 루트인증기관인 한국인터넷진흥원(KISA)에 대한 검증을 강화해야 한다”고 주장하고 있다.

반면 한국정보인증은 “법률 개정안을 따져보면 사실상 공인인증서 폐지와 다름이 없으며 이 경우 사설인증서 난립으로 사회가 혼란에 빠질 수 있다”고 우려했다. 또 “실효성이 입증되지 않은 상황에서 제3자가 KISA를 검증하자는 오픈넷의 주장도 이해하기 어렵다”고 맞서고 있다.

이처럼 논란이 가열되고 있는 것은 지난 5월 최재천, 이종걸 의원이 공인인증서 의무사용 금지 등의 내용을 담은 전자서명법과 전자금융거래법 개정안을 대표발의 했기 때문이다.

최재천 의원이 대표발의한 ‘전자서명법 전부 개정안’은 ‘공인인증서’의 ‘공인’이라는 단어를 빼고, 정부가 인증기관을 지정하지 않으며, 인증기관이 준수해야 할 업무수행 기준 핵심요건 4개를 법에서 규정한 다음, 나머지 세부적인 사항은 민간 자율에 맡기는 것이다. 핵심 요건은 독립적인 기관일 것, 전문적인 제3자의 검증을 받을 것, 충분한 수준의 암호화 알고리즘을 사용할 것, 개인정보보호법을 준수할 것 등이다.

이종걸 의원이 대표발의한 ‘전자금융거래법 개정 법률안’은 21조 3항의 공인인증서 사용 근거 규정을 고치는 내용으로, 금융위원회가 인증기술 및 보안 기술의 공정한 경쟁을 저해하거나 특정 기술, 서비스 사용을 강제해서는 안 된다는 내용을 담고 있다.

# 공인인증서 폐지 주장 아냐 VS 사실상 폐지와 다름 없다

김기창 오픈넷 이사는 먼저 “오픈넷은 공인인증서를 폐지하자고 말한 적은 없다”고 거듭 강조했다. 그는 “공인인증서를 강제하지 말고 사설인증서도 허용해 소비자들이 필요에 따라 이를 선택해야 한다”고 말했다.

다시 말해 현재 공인인증서는 금융위원회가 추천하는 인증방법으로 자리 잡아 사실상 사설인증서가 설 자리가 없다는 것이다. 그는 “법 개정을 통해 공인인증서와 사설인증서가 공존할 수 있게 해야 한다”고 주장했다.

이에 대해 안기범 한국정보인증 전략기획팀 팀장은 "최재천 의원이 발의한 개정 법률안을 살펴보면 공인인증서 사용에 대한 조항을 모두 삭제해 공인인증서를 폐지하는 것과 다름 없다“고 반박했다.

안기범 팀장은 ”사설인증서만을 사용할 경우, 사고가 발생하면 누가 책임을 질 것인가”라며 “안전한 관리를 위해서는 공인인증기관이 반드시 필요하다”고 말했다.

그는 “오픈넷은 자유로운 시장경쟁체제에서 다양한 인증수단과 인증기술이 필요하다고 주장하고 있다”며 “일반적인 소비 상품이라면 이런 논리가 가능하겠지만 공인인증서에 시장경쟁 체제를 도입하는 것은 논리적으로 어긋난 발상”이라고 지적했다.

안기범 팀장은 또 “사설인증제도 아래서는 인증기관별 호환성이 사라져 국민들이 수십 개의 보안인증서를 보유해야 하는 불편함이 생길 수 있다”며 “하나의 공인인증서를 안전하게 지키기도 쉽지 않은 상황에서 다수의 인증서와 보관매체를 지켜내기는 더욱 어려울 것”이라고 말했다.

이에 대해 김기창 이사는 “베리사인을 비롯한 전 세계적으로 공인인증서를 인증하는 기관은 사설 기관”이라며 “따지고 보면 우리나라 5개 공인인증기관 중에 4곳도 사기관이지 않느냐”라고 말했다.

# KISA 검증할 제3자 검증기관 필요하다 VS 준공기업인 KISA를 외국 기관이 관리?

최상위 인증기관에 대해 독립적인 제3자의 검증이 필요하다는 점도 양측의 의견이 첨예하고 엇갈리고 있다.

김기창 오픈넷 이사는 “우리나라 공인증제도 루트인증기관인 한국인터넷진흥원(KISA)에 대해 독립적인 제3자의 검증이 필요하다”고 주장했다. 제3자 검증을 통해 인증기관의 신뢰성을 향상하자는 것이다.

김기창 이사는 “해외 최상위인증기관인 베리사인 등은 정기적으로 제3자를 통한 검증을 실시하고 있다”고 지적했다.

이에 대해 안기범 한국정보인증 팀장은 “준공기업인 KISA를 해외에 있는 기관이 감사를 하는게 적절한지 모르겠다”며 “감사를 하려면 상당한 비용이 필요한데 이 돈은 누가 지불할 것인지도 의문”이라고 말했다.

익명을 요구한 정부 관계자도 “제3자에게 KISA가 감사를 받는다고 해서 보안성이 향상되는 등 실효성이 있는지 의문”이라며 “오픈넷은 마치 KISA가 주먹구구식으로 운영을 해서 문제가 생긴다는 듯한 발언을 하고 있는데 KISA의 공인인증서와 관련된 메뉴얼이 그렇게 허술하지 않다”고 지적했다.

# 현 제도 유지하면서 개선책 찾아야 VS 과거 폐습에서 벗어나야

안기범 한국정보인증 팀장은 현재 공인인증서를 관리하는 방식에 보안이 취약한 부분이 있음은 인정했다.

그는 “대부분의 국민들이 PC에 공인인증서를 저장하거나 USB에 복사한다. 해킹을 당하기 쉬운 환경에 놓여 있는 것은 사실”이라며 “국민들의 혼란을 최소화하기 위해 현 제도를 유지하면서 공인인증서 보안을 지금보다 강화할 수 있는 방안을 찾는 게 적절하다”고 말했다.

하지만 김기창 이사는 이에 반대되는 의견을 나타냈다.

김기창 이사는 “자유로운 시장 경쟁 없이 10년 동안 방치한 결과 공인인증서가 해킹의 위험에 놓여 있고 실제로 공인인증서 해킹 사건도 수차례 발생했다”며 “이제라도 과거 폐습에서 벗어나야 한다”고 말했다.

이에 대해 미래창조과학부 관계자는 “현재 공인인증서 보안에 허점이 있다는 점은 인지하고 있다”며 “공인인증제도는 지난 10여 년간 투자해서 발전시켜 온 국가적 인프라다. 국민들의 혼란을 최소화하는 방향으로 개선할 수 있도록 업계, 학계 관계자들의 목소리에 귀를 기울일 것”이라고 말했다.

한편, 구기성 정무위원회 수석전문위원은 이 법안에 대해 “전자금융거래법 개정안의 취지는 공인인증서의 ‘존폐’가 아닌 금융위원회가 공인인증서 사용을 강제해서는 안된다는 것”라고 밝힌 바 있다.

[출처] http://www.itdaily.kr/

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알기쉬운 정보보안기사.산업기사(이론편,문제편[1,200제])