20년 만에야 풀린 공인인증서 족쇄
[중앙선데이]입력 2018.01.28 01:00
사설
공인인증서의 독점적 지위가 사라진다. 과학기술정보통신부는 22일 ‘규제 혁신 토론회’에서 공인인증서의 법적 효력을 사설인증서와 동일하게 바꾸기로 했다고 보고했다. 1999년 전자서명법이 제정되면서 도입된 공인인증서는 온라인 거래에 의무적으로 써야 했다. 사용하고 관리하기에 불편하다는 등의 논란이 이어지자 정부는 2015년 3월 의무 사용 조항을 삭제했다. 하지만 공인인증서의 법적 효력이 사설인증서보다 우월했기 때문에 20년째 실질적 독점 상태가 이어지고 있다.
공인인증서 자체는 국제표준인 공개키 기반구조(PKI) 암호화 기술을 기반으로 하고 있어 보안 등에 큰 문제가 없다. 다만 의무적으로 쓰게 하다 보니 액티브X를 통해 강제로 사용자의 컴퓨터에 설치하는 방식을 취해 문제로 지적돼 왔다. 마이크로소프트(MS)가 내놓은 액티브X는 웹브라우저인 인터넷익스플로러(IE)에서 컴퓨터를 조작할 수 있게 해 주는 기술이다. 웹 표준을 지키지 않는 데다 워낙 강력한 기능을 갖춰 해킹의 통로로도 악용됐다. 악성 액티브X를 잘못 설치하면 해커가 컴퓨터에 마음대로 프로그램을 설치해 원격 조종하거나 원하는 정보를 빼갈 수 있다. 구글 크롬, 파이어폭스 등에서는 2015년부터 액티브X를 쓰지 않고 있으며, MS조차 새 브라우저인 엣지에서는 액티브X를 지원하지 않는다.
20년 전 웹 암호화나 서버 보안 관련 기술이 미비했던 시절에는 공인인증서와 액티브X를 통한 강제 설치가 어느 정도 필요한 측면이 있었다. 하지만 한번 의무화된 규제는 쉽게 새로운 기술을 받아들여 변화하기 어려웠다. 해외에서 브라우저 내장 인증서 등이 새로 개발되고 모바일 거래가 활성화되면서 지문·홍채 등을 활용한 생체인증서도 활발히 사용되기 시작했지만 국내 업체들은 기존 틀을 벗어나지 못했다. 잉카인터넷의 엔프로텍트, 안랩의 세이프트랜젝션 등 국내 보안 관련 소프트웨어가 해외 시장에 진출하지 못한 가장 큰 이유도 보안 프로그램 분야에서 우리가 갈라파고스처럼 외따로 있어서다.
공인인증서와 액티브X의 원죄는 그뿐만이 아니다. 박근혜 전 대통령이 2014년 3월 청와대에서 규제 개혁 관련 끝장토론을 주재했을 때 가장 큰 이슈가 ‘천송이 코트’였다. 드라마 ‘별에서 온 그대’에 나온 여주인공(천송이)이 입었던 코트를 중국인들이 사고 싶어도 공인인증서에 막혀 못 산다는 문제가 제기된 것이다. 미국 아마존이나 중국 알리바바는 신용카드 인증만으로 물건을 살 수 있다. 문재인 대통령도 중국 국빈 방문 중이던 지난달 14일 베이징의 식당 ‘용허셴장(永和鮮漿)’에서 아침식사를 주문한 뒤 바코드를 스마트폰으로 찍는 방식으로 직접 모바일 결제를 해 보며 국내 결제 방식의 문제를 실감했다고 한다. 알리페이와 위챗페이 등을 활용한 중국의 모바일 결제 규모는 미국의 50배에 달한다.
공인인증서의 독점이 사라지면 국내에도 다양한 인증과 결제 방식들이 활성화될 것으로 기대된다. 이미 카카오페이는 블록체인을 활용한 자체 인증 수단을 활용하고 있다. 카카오뱅크 앱 실행 후 송금 계좌나 카카오톡 아이디를 선택하고 암호만 입력하면 쉽게 이체할 수 있다. 국내 11개 증권사는 지난해 10월 블록체인 인증 시범 서비스를 도입했고, 은행권은 올 7월부터 18개 은행 공동 인증시스템 시범 서비스를 시작할 예정이다. 블록체인뿐 아니라 생체인증 도입도 더 활발해질 전망이다.
공인인증서를 둘러싼 해묵은 논쟁은 선의에서 시작된 정부의 규제가 어떻게 기술 발달을 옭매는지 보여 주는 대표적인 사례다. 한번 규제가 도입돼 담당 공무원의 권한으로 자리 잡고, 관련 업체들이 생태계를 이루면 그만큼 변화를 수용하기 어려워진다. 이번 사례를 타산지석 삼아 정부가 규제 철폐에 더 적극적으로 나서 주기를 기대한다.