문재인 대통령은 후보 시절에 공인인증서와 액티브X 제거 공약을 발표했다. 정책 쇼핑몰 '문재인 1번가'에는 공인인증서와 액티브X
폐지, 전자금융거래법 이용자 중대 과실 조항 전면 수정이 명시됐다. 20여년 동안 전자정부와 온라인 뱅킹 인프라로 활용돼 온
공인인증서. 완전히 폐지해야 한다는 목소리와 특정 부분의 필요성을 인정하고 불편함을 개선해야 한다는 목소리가 맞선다.
공인인증서를 둘러싼 갑론을박을 총정리한다.
<액티브X 등 별도 설치 프로그램없이 웹표준 방식을 이용한 공인인증기술은 이미 상용화했다.
한국전자인증이 지문인식기반 공인인증솔루션을 시연했다. 윤성혁기자 shyoon@etnews.com>
◇공인인증서가 원흉인가
공인인증서 논란은 액티브X와
보안프로그램이 함께 거론된다. 공인인증서 폐지 쪽은 액티브X와 보안 프로그램까지 한 덩어리로 묶어 제거를 주장한다. 공인인증서
유지 쪽은 현재 불편은 액티브X와 보안 프로그램 문제라고 지적한다.
공인인증서가 불편함의 상징501이
된 건 액티브X를 이용해 구동한 탓이다. 전자정부와 온라인 뱅킹 사이트가 사용자 PC에 여러 보안 프로그램 설치를 설치를 의무화한
것도 영향을 미쳤다. 사용자는 전자민원이나 온라인 뱅킹 서비스 이용을 위해 여러 개 보안 프로그램을 설치하고, 공인 인증서로 본인을
인증한 후 접속한다. 이 과정을 거치면서 PC가 먹통이 되는 사례가 빈번하다. 사용자마다 다른 PC 환경에 여러 보안 프로그램 이
깔리면서 충돌이 발생한다. 액티브X로 구동되는 공인인증서와 보안프로그램 간 예기치 못한 충돌로 말미암아 로그인까지 엄청난 노력이
필요하다.
김기창 고려대 교수는 “액티브X뿐만 아니라 모든 종류의
부가 프로그램을 설치하라는 발상부터가 이해하기 어렵다”면서 “서비스 제공자가 보안을 책임져야 하며, 모든 위험을 이용자에게
전가하고 프로그램 설치를 강요하는 관행은 중단해야 한다”고 주장했다.
백기승 한국인터넷진흥원장은 “공인인증서 논란은 구동에
액티브X가 쓰이고 남용되는 상황에서 비롯된다”면서 “공인인증서가 아니라 함께 설치하는 보안 프로그램을 개선해야 할 문제”라고
설명했다.
◇공인인증서 없애면 어찌되나
전문가들은 공인인증서 폐지만으로 해결될 사안은 아니라고 입을 모은다. 공인인증서 폐지 논란의 종착역은 '안전하고 편리하게 쓸 수
있는 서비스'다. 은행과 정부가 누더기가 된 기존 서비스 체계를 바꿀 것을 주문한다. 서비스를 완전히 개편하는 차세대 프로젝트
추진 또는 구조 개편을 해야 한다. 전자정부 서비스에서 문서 출력을 없애는 식이다.
정윤기 행자부 전자정부국장은
“전자정부 시스템이 만들어진 지 20년이 지나 이제 원점에서 재설계를 논의해야 한다”면서 “기존의 패러다 임과 환경을 뒤엎는
대혁신이 필요하다”고 역설했다. 민원2461 등 각종
서비스는 기존의 법과 제도를 그대로 둔 채 시스템과 절차를 구현 했다. 현행 규정 가운데 옛 절차와 규정을 고수하는 것을 찾아
바꿔도 큰 문제가 없는 것부터 제거한다.
김동화 마크애니 이사는
“공인인증서가 최초 소개된 2000년대 초반만 하더라도 공인인증서 외 본인을 확인할 수 있는 기술은 없었다”면서 “현재는 모바일
기기와 생체 인증을 이용한 본인 인증이 가능, 본인 인증을 대체할 수 있다”고 설명했다. 김 이사는 “공개키기반구조(PKI)
기술을 이용한 모든 전자서명을 인정하면 공인인증서의 의미가 없다”고 덧붙였다.
백기승 원장은 “지금은 공인인증서 외에 여러
수단이 나왔으니 각자 선택해서 쓸 수 있게 하자”면서 “국민이 편하고 안전하게 쓸 수 있는 인증 수단을 확대하면서 안전성을 철저히
관리하자”고 주장했다.
백효성 위즈베라 대표는 “그동안 보안
기업은 생존을 위해 사용자보다 구매자 입맛에 맞는 솔루션을 공급했다”면서 “기능도 많고, 사이즈도 크고, 무언가를 설치하는 형태로
개발해야 판매가 용이했다”고 말했다.
<ⓒ게티이미지뱅크>
◇공인인증서 보안에 취약?
공인인증서는 온라인 인감증명서다. 신뢰할 수 있는 제3 기관이 거래 당사자의 신원을 확인하고 계약 내용 부인을 방지하는 서비스다. 한국
인터넷진흥원(KISA)을 최상위 인증기관(Root CA)로 하여 한국정보인증, 코스콤, 금융결제원, 한국전자인증, 한국무역정보통신 등
5개 기관이 발급한다.
사람들은 대부분 은행에 방문, 대면 확인을
거쳐 공인인증서를 발급받는다. 이후에는 인터넷으로 갱신이 가능하다. 공인인증서는 본인 확인과 전자 서명이라는 두 가지 핵심 기능을
한다. 인터넷이라는 비대면 환경에서 내가 누구인지 확실히 증명하는 본인 확인 수단이다. 두 번째는 인터넷에서 주고받은 문서 내용이
변조되거나 발신자가 위조되는 것을 방지하는 전자서명 기능이다.
현재 공인인증서는 본인 확인 기능이 남용됐다. 꼭 공인인증서로 본인 확인이 필요하지 않은 서비스도 로그인 수단으로 공인인증서를 이용
했다. 전응준 법무법인 유미 변호사는 “공인인증서를 본인 확인 수단으로 여기저기서 썼다”면서 “심지어 각종 시험장에서 대면 인증으로
본인임을 확인하면 되는 등 여기서도 공인인증서를 요구하는 상황이 발생한다”고 지적했다.
폐지론 측은 공인인증서가
국민의 보안 불감증을 부추겼다고 지적한다. 김기창 교수는 “공인인증서를 쓰기 위해 PC에 다양한 프로그램을 설치 하는 게
생활화됐다”면서 “무조건 설치하는 환경에 내몰리면서 각종 악성 프로그램도 무의식으로 내려 받는 습관이 형성됐다”고 지적했다. 그는
“서비스 제공자가 이용자에게 추가 프로그램 설치를 강요하면서 보안을 도모하는 건 시대착오”라면서 “20년 동안 정부가 국민에게 잘못
된 보안 습관을 들이게 했다”고 꼬집었다.
전응준 변호사는 “공인인증서 폐지론에 영향을 미치는 보안 3종 세트(백신, 키보드
보안, 방화벽)가 현재 사이버 위협에 제대로 대응하는가를 살펴야 한다”면서 “사용자에게 보안 불감증을 주면서 역할도 못하는 기능은
재점검해야 할 때”라고 말했다.
