[에브리뉴스=오힘찬 칼럼니스트] 인터넷뱅킹, 스마트뱅킹, 주식거래, 온라인쇼핑, 민원처리/확인까지 우리나라 인터넷 환경에 공인인증서를 사용하는 곳은 너무도 많다. 가끔은 짜증 날 정도로 공인인증서를 요구해 마침 공인인증서를 담아놓은 USB가 없을 땐 당황하기도 한다. 그럼에도 공인인증서를 사용하는 것은 이 귀찮은 것이 보안 문제를 해결해줄 것이라 믿기 때문일 것이다.
공인인증제도는 1999년 등장했다. 빠르게 변화하는 인터넷 생태계에 안정적인 금융거래를 위해 만들어졌으며, 공인인증제도로 안심할 수 있었던 사용자들이 늘어남에 따라 세계에서 가장 인터넷 거래가 활발한 국가가 될 수 있었다. 하지만 까다로운 발급 방법과 익숙하지 않은 사용법으로 도입된 지 10년이 넘었음에도 여전히 어려워하는 사람이 있을 정도이며, 1년에 1~2번 사용하는 사용자는 이 불편함을 고스란히 감수해야 했다. 모든 것이 보안문제와 직결하기 때문이었다.
이런 공인인증제도를 폐지하자는 의견이 불씨를 틔웠다. 민주당 최재천 의원과 이종걸 의원은 지난 20일, 전자금융거래법 및 전자서명법 개정안을 발의했다. 최재천 의원은 '현재의 공인인증제도는 국경을 넘나드는 인터넷의 기본 전제에 어긋나 한국의 인터넷 환경을 고립시키고 있다'며, 공인인증제도를 폐지하기 위한 개정안의 의의를 밝혔다. 왜 인터넷 금융거래를 활발하게 한 단초이자 안전망이었던 공인인증제도를 폐지하자고 하는 것일까?
공인인증제도의 가장 큰 문제는 바로 ‘액티브X(Active X)’이다. 액티브X는 마이크로소프트(MS)의 기술이며, 이 기술은 마이크로소프트의 웹 브라우저인 ‘인터넷 익스플로러(Internet Explorer)’에서만 작동한다. 그리고 이 인터넷 익스플로러는 또 마이크로소프트의 ‘윈도우(Windows)’ 운영체제에서만 사용할 수 있다. 즉, 윈도우를 사용하고 인터넷 익스플로러를 사용하지 않으면 공인인증서를 사용할 수 없다는 것이다. 스마트폰이 보급되면서 스마트뱅킹 서비스가 생겨나고, 인증서를 스마트폰으로 전송하는 방법이 생기긴 했지만, 기본 발급이 액티브X를 통해서만 가능하므로 금융거래를 위해선 무조건 액티브X에 사용자는 접촉할 수밖에 없다. 그런데 이 액티브X가 말썽이다. 마이크로소프트는 액티브X에 대한 기술지원을 중단한 지 오래이며, 그 이유는 보안 때문이었다. 보안에 심각한 문제가 있었던 액티브X를 제작한 회사가 포기했는데, 이를 국가 금융거래의 인증 서비스 기반으로 사용하고 있는 것이다. 한국은 악성코드 유포지 세계 3위이기도 할 만큼 악성코드가 만연한 국가다. 이를 도와주고 있는 것이 바로 액티브X이고, 금융거래를 위해 어쩔 수 없이 액티브X를 써야하니 보안을 위해 보안을 버리는 아이러니를 범하고 있다. 그뿐 아니라 액티브X를 특정 운영체제나 특정 브라우저에서만 사용할 수 있어 맥 OS, 리눅스 같은 타 운영체제나 크롬, 파이어폭스, 사파리 등의 타 브라우저를 사용하는 사용자의 자율성을 크게 훼손시킨다.
그뿐 아니라 공인인증제도가 전자금융거래법으로 자리 잡고 있는 탓에 이 가이드라인을 벗어난 새로운 거래 시스템이 생겨날 수 없고, 아예 연구에 투자하는 방안조차 잡지 않는 보안회사나 금융회사가 많다. 이는 기술 발전 면에서 매우 좋지 못한 것이다.
그런데 이 공인인증제도 폐지에 대한 반대 의견이 들린다. ‘공인인증제도가 있기 때문에 그나마 안정적으로 인터넷 거래를 할 수 있다’거나 ‘공인인증제도가 필요하다’는 의견들 말이다. 여기서 대립이 발생하는데, 공인인증제도의 안정성이나 필요성에 대한 의견과 그렇지 않다는 의견이 맞붙으며 기술적 우위에 대한 논란으로 번져가는 것이다. 과연 현재의 공인인증제도가 안전한 것일까? 만약 그렇지 않다면 어떤 대안이 있을까? 공인인증제도가 안전하다면 공인인증제도 보다 나은 방법을 찾았을 때 폐지해야 하지 않을까?
단정하자면, 이런 의견들은 사실 무의미하다. 근본적인 문제에 도달하지 못한 것이다. 공인인증제도가 안전하건 그렇지 않건 사실 상관이 없다. 왜일까? 사용자가 더욱 안정적인 보안 서비스를 이용하고 싶다는 것은 당연하다. 그리고 사용자에게 선택권을 쥐여주기만 하면 그것은 알아서 소비자들이 선택할 것이다. 더욱 우수한 보안 서비스를 말이다. 다양한 선택지 중 공인인증서가 안전하다고 판단한 소비자는 계속해서 공인인증서를 이용할 것이고, 그렇지 않은 사용자는 다른 서비스를 이용할 것이다. 현재 공인인증제도의 근본적인 문제점은 전자금융거래법 가이드라인 탓에 이런 선택지를 다양하게 제시하지 못한다는 것에 있다. ‘공인인증서를 사용하게 하는 것’이 아니라 ‘공인인증서만 사용하게 하는 것’이 문제라는 뜻이다. 만약 다양한 선택지 중 어떤 하나가 보안상의 문제로 금융 사고가 일어났다면 당연히 사용자는 그 선택지를 선택하려 하지 않을 것이다. 그리고 그런 일이 발생하지 않게 하려면 금융 회사들이나 보안 회사들은 더 나은 보안 체계를 구축하기 위한 연구를 할 것이고, 이는 곧 자연스레 기술 발전으로 이어진다. 하지만 현재는 공인인증제도에 묶여있는 탓에 이런 보안 기술 인프라가 매우 느슨해져 있는 상태다. 그리고 강제적으로 윈도우와 인터넷 익스플로러를 사용해야 하는 강요를 받게 된다.
이번 개정안의 진의는 ‘공인인증제도의 보안 문제점을 지적해 없애야 한다’가 아니라 공인인증제도도 제도지만, ‘다른 선택지도 선택할 수 있도록 해달라’는 것이다. 물론 무작정 선택지만 달라고 해서는 안 된다. 금융사고가 발생할 시 금융회사와 보안회사가 이에 대한 책임을 일부 질 수 있도록 일종의 보험이 필요하며, 보안에 대한 책임을 사용자와 양분할 수 있어야 한다. 오히려 현재 공인인증제도로 금융사고가 일어났을 때 책임을 사용자에 모두 전가하고 있으니 이부터 바로 잡아야 하며, 세세한 조항들로 공인인증제도가 없더라도 안정적인 인터넷 거래가 이뤄질 수 있도록 제도 방안을 마련해야 한다. 그리고 강제적인 공인인증서 사용이 아닌 보다 사용자가 보안에 대한 분별력을 가지고 선택할 수 있도록 하는 방향으로 서서히 바뀌어 가야 함이 옳다.
공인인증제도가 국내 인터넷 거래를 활성화 시킨 것에 일조한 것은 분명하지만, 그런 성과가 평생 나타날 순 없다. 한계가 보이기 시작한다면 미리 그 한계에 대비한 법률적 접근이 필요하며, 늦기 전에 합리적인 방안을 마련하는 데 힘을 쏟아야 한다.
