[김승주 교수 칼럼] 공인인증 제도 폐지에 따른 인증제도의 미래
언택트 및 사물인터넷 환경에서 인증은 매우 중요한 핵심 요소 세계 시장 석권할 수 있는 세계적 인증 기술 우리나라에서 나오길 희망
지난 5월 20일 공인인증서 폐지를 골자로 하는 전자서명법 개정안이 국회 본회의를 통과했다. 사실 이번 전자서명법 개정으로 기존 공인인증서가 사라지는 것은 아니다. 다만 ‘공인’이라는 계급장을 떼고 사설인증 수단들과 동등한 지위에서 경쟁하게 된다. 벌써부터 업체들은 우리 기술이 공인인증서를 대체할 수 있다며 홍보에 열을 올리고 있다. 본고에서는 공인인증서가 폐지된 배경에 대해 살펴보고, 공인인증서의 폐지가 앞으로 우리 사회에 미칠 영향에 대해 간략히 짚어본다. 또한 이러한 변화에 우리는 어떻게 대비해야 할지에 대해서도 논의해 본다.
1. 공인인증서와 공인전자서명의 탄생
전자메일 등 인터넷을 기반으로 하는 서비스들이 하나 둘 등장하면서 사람들의 최대 관심사는 인터넷이라는 공개된 사이버 공간상에서 나의 프라이버시를 어떻게 보호하느냐 하는 것이었다. 다행히 1977년과 1978년에 세계 최초의 표준 암호화 기술인 ‘DES(Data Encryption Standard)’와 ‘RSA’가 차례로 발표되면서 이러한 고민은 어느 정도 해소될 수 있었다.
프라이버시 보호 문제가 일정부분 해결되자 이제 사람들은 인터넷 상에서의 신원 확인 및 송⸳수신되는 데이터의 위⸳변조 방지 문제에 대해 관심을 갖기 시작했다. 이래서 등장한 것이 1978년에 발표된 ‘전자서명(digital signature)’과 ‘인증서(certificate)’라 불리는 기술이다. 여기서 전자서명은 일상생활에서 우리가 사용하는 ‘도장’과 같은 것이고, 인증서는 현실 세계에서의 ‘사용인감계’ 또는 ‘인감증명서’에 해당한다고 보면 이해가 쉽다. (참고로, 최초의 전자서명 기술을 개발한 사람은 R.Rivest, A.Shamir, L.Adleman 등으로 “A Method for Obtaining Digital Signatures and Public-Key Cryptosystems”라는 논문에서 최초로 제안했다. 반면 최초로 ‘인증서’라는 개념을 고안해 낸 사람은 L.Kohnfelder로 MIT 학부 재학 시절 “Towards a Practical Public-Key Cryptosystem”이라는 논문에서 처음으로 발표했다.)
우리나라도 예외는 아니어서 전자정부 구축이 한창이던 김대중 정부 시절 전자문서에 대한 위ㆍ변조 방지와 이용자 프라이버시 보호를 위해, 1999년 7월 전자서명법을 제정하였고 같은 해 9월에는 최초의 국내 표준 암호화 기술인 ‘SEED’를 발표하였다. 전자서명법을 통해 우리 정부는 ‘공인인증기관이 발급한 인증서에 기초한 전자서명’에 대해 법령이 정한 서명 또는 기명날인과 동등한 효력을 갖도록 했으며, 이때 공인인증기관의 지정은 정보통신부장관이 하도록 하였다. 이후 2002년 4월에 법 개정을 통해 ‘공인인증기관이 발급한 인증서’는 ‘공인인증서’로, ‘공인인증기관이 발급한 인증서에 기초한 전자서명’은 ‘공인전자서명’으로 명칭이 바뀌게 된다.
2. 공인인증서를 둘러싼 논란들
분명 공인인증 제도는 국내 전자정부 및 전자상거래 활성화에 있어 나름 선구적인 역할을 해 온 것이 사실이다. 전자정부 및 금용서비스 이용자들에게 상대방을 직접 대면하지 않고도 거래할 수 있다는 신뢰를 준 것이다. 하지만 긍정적인 평만 나온 것은 아니다. 터무니없는 음모론들은 제외하고 대표적인 논란들만을 살펴보면 다음과 같다.
먼저 “공인인증서가 과연 안전한 기술인가”하는 논란이다. 다른 인증 수단과의 안전성 경쟁에 있어 공인인증서가 우위를 점할 수 있는 대표적 이유 중 하나는 바로 공인인증서 발급이 ‘대면 확인’을 통해서 이루어진다는 점이다. 공인인증서는 발급 절차가 다소 귀찮은데, 이용자는 신청서를 작성하고 공인기관 또는 지정된 등록 대행기관을 직접 방문하여 실명 확인을 거친 후 발급받아야 한다. 한 번 발급받은 후엔 해당 기관 홈페이지 등에서 온라인으로 갱신할 수 있다. 대면 확인을 통한 발급은 분명 비대면 발급 방식에 비해 안전한 것이 사실이다. 하지만, 발급받은 공인인증서 및 관련 파일을 보관하는데 있어 PC 하드디스크, USB 메모리 등에 저장할 수 있도록 한 것이 보안에 대한 논란을 불러 일으켰다. 해커가 컴퓨터 하드디스크에 접속해 몰래 정보를 빼가는 것이 과연 어려운 일이겠냐는 것. 물론 공인인증서가 비밀번호 등으로 암호화되어 있고 PC 보안을 위해 각종 프로그램들이 추가적으로 설치되긴 하지만 당초 인증서 기술이라는 것이 스마트카드(IC카드)나 보안토큰(HSM) 장치에 저장하는 것을 전제로 개발되었다는 점을 고려할 때, 공인인증서의 안전한 사용을 위해서는 반드시 보안토큰만 사용하도록 초기부터 의무화하는 것이 바람직하지 않았을까 하는 생각은 든다. 물론 당시의 수준으로 이를 대중화하기에 기술적으로나 비용 측면에서 어려운 점도 있었겠지만 말이다.
두 번째 논란은 “왜 특정 회사의 웹브라우저만 지원하느냐”는 것이다. 사실 공인인증서는 당초 액티브X로만 구현 가능했던게 아니라 자바 등 다양한 기술로도 구현할 수 있었으며, 마이크로소프트사의 인터넷익스플로러(IE) 이외에 파이어폭스, 애플 사파리, 오페라, 구글 크롬 등 다양한 웹브라우저에서 이용하는 것이 가능했다. 그럼에도 불구하고 많은 국민들이 공인인증서를 이용하려면 반드시 인터넷익스플로러와 액티브X가 필요한 것처럼 느끼는 이유는 국내의 경우 과거 마이크로소프트사의 제품이 시장점유율이 가장 높아서 대부분의 보안업체들이 인터넷익스플로러에 최적화 된 제품들만을 만들어냈기 때문이다. 사실 업체가 시장원리를 쫓아 점유율이 가장 높은 플랫폼에 최적화된 제품을 만드는 것을 잘못이라고 탓할 수는 없다. 그러나 리눅스, 맥OS 등 다른 운영체제를 사용하거나 혹은 파이어폭스, 사파리, 크롬 등과 같은 다른 웹브라우저를 사용하는 소수의 국민들을 포용하기 위한 정책적·기술적 배려가 없었다는 점에서 우리 정부의 대응이 다소 미흡했던 것은 사실이다.
세 번째는 ‘천송이 코트’와 관련한 논란이다. 2014년 한류 열풍으로 국내 드라마 ‘별에서 온 그대’의 주인공 ‘천송이’가 입었던 코트를 많은 중국인들이 구매하고 싶어 하지만 공인인증서 때문에 사지 못한다는 이야기를 박근혜 대통령이 규제개혁장관회의에서 한 것.
결론부터 말하면 이는 틀린 얘기다. 실제로 OO신문은 “박 대통령의 발언이 있기 전부터 중국 소비자들은 해외카드를 이용해 공인인증서 없이 30만원 이상 물품을 구매할 수 있었다”고 보도했으며 또 “박 대통령의 발언이 잘못된 줄 알고도 금융위원회가 이를 지적하기는커녕 결제대행업체에 카드 고객 핵심정보를 넘겨줄 수 있도록 하는 대책을 발표했다”고도 밝혔었다. 더욱 재미난 사실은 당시 금융위가 OO신문의 기사 내용이 허위라며 소송을 제기했지만 패소(정확히는 “기사에 대한 정정보도와 관련 기사에 대한 반론보도 청구”를 모두 기각)했다는 점이다.
3. 공인인증서의 폐지
아무리 좋은 제도라 할지라도 정부가 시장에 무리하게 개입하려 든다면 그것은 항상 부작용을 낳기 마련이다. 공인인증 제도가 만들어지고 난후 정부는 공인인증서 1천만명 보급운동을 한국인터넷진흥원(KISA)을 통해 펼치기 시작한다.
문제는 여기서 한걸음 더 나아가 2006년 전자금융감독규정 개정으로 모든 전자금융거래에서 공인인증서 사용을 전면 의무화했다는 것이다. 이와 같은 일련의 정책들로 인해 사설인증 시장은 점차 설 자리를 잃어갔으며, 인터넷뱅킹 및 전자상거래를 이용할 때 마다 반복적으로 공인인증서 관련 프로그램들을 설치해야만 했던 시민의 불만은 쌓여만 갔다.
이러한 불만은 결국 2014년 천송이 코트 논란을 통해 밖으로 터져 나왔다. 앞서 언급했듯 천송이 코트 논란이 잘못된 것이기는 했으나 대통령의 말 한마디는 실로 대단한 위력을 갖고 있었으며, 정부는 바로 다음 해인 2015년 3월부터 공인인증서를 의무적으로 사용해야 한다는 규정을 없앴다.
그럼에도 공인인증서를 둘러싼 논란은 계속됐다. 전자정부 민원서비스 홈페이지 등 국가기관들은 여전히 공인인증서를 고집했으며, 금융사들도 잘 돌아가던 시스템을 굳이 바꿔야 할 필요를 느끼지 못했다. 이렇듯 공인인증서 의무사용을 폐지했음에도 불구하고 공인인증서 사용 비중이 줄지 않자 정부는 공인인증서의 폐지를 골자로 하는 전자서명법 개정안을 내놓기에 이른다.
전자서명법 개정안이 공인인증서의 폐지를 주요 내용으로 하고 있다고는 하나 사실 기존 공인인증서가 실제로 사라지는 것은 아니다. 이번 개정안에는 ▲공인인증서의 ‘공인’이라는 우월적 지위를 없앰으로써(즉, 전자서명법에서 ‘공인인증서’ 및 ‘공인인증서에 기초한 공인전자서명’ 개념을 삭제함으로써), 다양한 형태의 사설인증 수단들과 동등한 위치에서 경쟁토록 하고, ▲법령 외에 당사자 간의 약정에 따라 한 전자서명 또한 그 효력을 인정하며, ▲인증 관련 서비스를 제공하려는 사업자들의 신뢰성 및 안전성을 평가하기 위한 평가‧인정 제도를 도입하고, ▲국가는 다양한 인증 수단의 이용 활성화를 위해 노력함과 동시에 이용자에 대한 보호조치를 강화해야 한다는 등의 내용이 담겨져 있다.
4. 공인인증제도 폐지가 미칠 영향 및 향후 과제
벌써부터 여러 업체들은 우리가 공인인증서를 대체할 수 있다며 홍보에 열을 올리고 있으며, 각종 언론에서는 블록체인(blockchain), 생체인증 등이 공인인증서를 이을 차세대 신(新)기술이라며 연일 보도하고 있기도 하다. 하지만 기존의 ‘공인인증서’ 및 ‘공인전자서명’을 대체하는 것이 생각만큼 그리 쉬운 일은 아니다.
어떤 기술이 공인인증서(정확히는 공인인증서에 기초한 전자서명)를 대체할 수 있는지 여부를 제대로 판단하기 위해서는 우선 공인인증서가 본인 확인 기능 외에 전자문서에 대한 결제 기능까지도 동시에 제공할 수 있음을 알아야 한다. 예를 들어 인터넷 뱅킹을 통해 계좌이체를 하려고 할 때 우리는 평균적으로 두 번 정도 공인인증서를 사용하게 되는데, 이중 첫 번째가 로그인할 때 본인의 신원을 증명하기 위한 것이고, 두 번째가 계좌이체 문서에 기명날인하기 위한 용도이다. 일반적으로 공인인증서의 본인 확인 기능을 대신할 수 있는 기술들은 쉽게 찾을 수 있으나, 공인인증서의 결제 기능 즉, 문서의 위‧변조 및 거래사실의 부인 방지 기능까지도 대체하는 기술을 만들기란 쉽지 않다.
다음으로 공인인증서는 최초 발급시 ‘대면 확인’을 한다는 점이다. 최근 등장한 간편 인증‧결제 수단들은 대부분 비대면 확인을 통해서도 발급받을 수 있다. 비대면 확인이란 것이 본디 온라인으로 진행되는 것이니 만큼 위조 신분증이나 대포폰 등을 통한 신원 위조에 취약할 수밖에 없다. 그러므로 대체 수단들이 이 부분에 대해 어떠한 보완책을 마련해 놓고 있는지 확인하는 것은 매우 중요하다.
세 번째는 부정 인증 및 결제율이다. 공인인증서의 경우 보안성과 관련한 논란이 많았다고는 하나 그럼에도 불구하고, 해외 대표 간편 결제의 경우 2014년 부정 결제 사고율이 0.3%인 반면 공인인증서 등을 채용하고 있는 우리나라의 신용카드 부정 결제 사고율은 0.0002%에 그쳤다. 즉, 국내 전체 카드 부정사용률에 비해 해외 대표 간편 결제가 1,500배 더 높은 보안사고율을 보인 것. ([참고] 유형별 카드부정사용 현황과 향후 보안과제 및 대응방향, 여신금융연구소, 2015년 11월) 일반적으로 인증의 간편성을 추구할 경우 상대적으로 인증 사고 및 부정 결제 비율이 증가할 확률은 매우 높다. 이 경우 해결책은 크게 두 가지가 있을 수 있는데 첫째는 "Risk Mitigation" 즉, 기술적 해결책이요 또 다른 하나는 "Risk Accept" 또는 "Risk Transfer"라고 불리는 금전적 배상이다. 보통 외국의 간편 인증‧결제 수단들의 경우 이용자의 사용 편리성을 헤치지 않으면서 보안수준을 올리는 방법(예를 들면, FDS(Fraud Detection System) 등)이 있다면 그것을 채택하지만, 그렇지 않고 다른 인증 수단(예를 들면, 인증서 또는 OTP(일회용 비밀번호) 등)을 추가함으로 인해 사용 편리성이 심각하게 떨어진다면 그냥 금전적으로 보상하는 방식을 택한다. 실제로 해외 간편 결제의 대명사인 페이팔(PayPal)의 경우, 부정 결제로 인해 2018년에 배상한 금액은 전체 매출의 0.18%인 10억5천9백만 달러였으며, 2019년에 배상한 금액은 10억9천2백만 달러로 전체 매출의 0.15%에 달한다. (2,000명 이상의 위험분석팀이 딥러닝을 활용하여 부정거래를 방지‧추적하고 있음에도 말이다.) 그러므로 우리 정부나 소비자들도 국내 간편 인증‧결제 기업들이 "Risk Mitigation" 대신 "Risk Accept" 또는 "Risk Transfer" 방식을 택했을 경우, 해당 업체들이 약관에 사용자에게 불공정한 조항(예를 들면 이용자 중과실 항목 등)을 포함시키지는 않았는지, 또는 회사가 사고시 배상할 능력이 되는지 등의 여부를 확인하는 것이 매우 중요하다.
마지막으로 가격 경쟁력과 범용성이다. 국가의 과도한 개입이 있었다고는 하나 공인인증서는 분명 우리나라 경제활동인구의 90% 이상이 사용하고 있는 보편적 인증 수단으로서 사회 전반에 걸쳐 널리 활용되어 온 것이 사실이다. 그동안 우리는 1년에 4천원인 공인인증서 하나만 있으면 금융 업무부터 주식 투자, 보험 가입, 세금 신고, 기타 각종 민원서류 발급에 이르기까지의 모든 업무를 인터넷으로 처리하는 것이 가능했다. 앞으로 다양한 인증 수단들이 시장에서 경쟁을 하게 될 것이고 시장 지배적 사업자 또한 나타나게 될 것이다. 이러한 시장 지배적 사업자가 향후 과도한 사용료를 요구할 경우 또는 무료로 사용할 수 있게 해주는 대신 그 대가로 개인정보 제공을 요구할 경우 이를 어떻게 통제할 것인지에 대한 고민이 필요하다.
5. 세계적 인증 기술에 대한 바람
코로나 사태 이후 급속도로 다가올 언택트 및 사물인터넷(IoT) 환경에서 인증은 매우 중요한 핵심 요소이자 거대한 플랫폼 시장으로 떠오르게 될 것이다. 아마도 당분간은 포스트 공인인증서를 노리는 다양한 인증 수단들이 우후죽순 등장할 것이며 각종 언론에 등장하는 홍보성 기사들은 우리의 판단을 어지럽힐 것이다.
그나마 다행인 것은 최근 우리 금융당국이 전자금융거래상 인증·신원확인의 편리성과 안전성을 확보하기 위해 보다 적극적인 행보에 나서기 시작했다는 점이다. 현재 우리 정부는 ▲기술중립성, ▲독자적 산업 육성, ▲금융안정이라는 3가지 정책방향 하에 금융규제 샌드박스를 통해 다양한 서비스를 테스트중이며, 테스트 진행상황 등을 감안해 관련된 규정들을 신속하게 정비하려고 노력중이다.
부디 이러한 정부의 노력에 우리 국민의 현명한 선택이 더해져 세계 시장을 석권할 수 있는 세계적 인증 기술이 우리나라에서 나오기를 희망한다.
[글. 김승주 고려대학교 사이버국방학과/정보보호대학원 교수. 출처 암호인 김승주의 보안이야기]
★정보보안 대표 미디어 데일리시큐!★