행정안전부가 이에 대해 21일 스마트폰에서도 현재 컴퓨터에 사용되는 공인인증서 방식과 유사한 인증 표준을 마련한다고 밝혔다. 하지만 방송통신위원회마저 반발하고 나서는 등 공인인증서 방식만을 고집하는 금융당국에 대한 비판이 제기되고 있다.
컴퓨터 이용자의 절대 다수가 마이크로소프트(MS)의 '익스플로어'를 기본 브라우저로 사용하는 국내 환경에서 그동안 전자금융거래에 사용되는 공인인증서 방식이 유일하게 인정되어 왔다. 하지만 표준 기술이 아닌 '엑티브 엑스(ActiveX)' 설치가 불가피한 탓에 익스플로어가 아닌 다른 브라우저를 사용하는 이용자들과 심지어 리눅스, 맥 등 MS가 아닌 다른 운영체계를 선택한 이용자들의 불만이 지속적으로 제기되어 왔다.
스마트폰의 대두가 기존 휴대전화 시장의 '패러다임 변화'를 불러왔듯, 전자금융거래에 있어서도 공인인증서만을 강제하는 한국만의 방식을 벗어나 보안생태계의 변화를 불러와야 한다는 목소리가 힘을 얻고 있다. 이에 전자금융보안에 관련해 꾸준히 '오픈웹(www.openweb.or.kr)' 활동을 벌여온 김기창 고려대 교수의 글을 싣는다. 편집자
현재 논란이 되고 있는 공인인증서 문제와 관련하여 행정안전부가 보이는 태도는 납득이 가지 않는 면이 있다. 행정안전부는 공인인증제도의 관할 관청이긴 하지만, 근거법인 전자서명법에는 공인인증서를 사용해야 한다는 규정이 없다. 사설인증서를 사용하라는 말도 없고, 전자서명이 반드시 필요하다는 말도 없다.
거래 당사자가 공인인증서건 사설인증서건 인증서로 전자서명을 하면, 일정한 조건이 충족될 경우, 그 서명을 육필서명이나 날인과 같이 취급해 주겠다는 것이 전자서명법의 골자다. 전자서명을 사용할지 여부는 거래 당사자의 자율에 맡기고 있다.
도장이 찍힌 서류만이 증거력을 가지는 것도 아니고, 전자문서는 종이문서와 대체로 같은 효력을 가진다는 법규정이 있고(전자거래기본법), 전자서명이 없는 전자문서도 당연히 문서로서의 효력이 있다.
공인인증서 사용을 강제하는 규정은 금융위원회가 만든 것이다. 전자서명법이나 전자금융거래법에는 인증서나 전자서명 사용을 강제할 근거가 없으나, 금융위원회는 은행감독 권한을 빌미로 법률에도 없는 공인인증서 사용 강제 조항을 "전자금융 감독규정"에 포함시켜 둔 것이다.
금융감독 기구가 전자금융거래에 이처럼 특정 기술(인증서 기술)의 사용을 강제하는 것은 상식을 벗어난 것이다. 금융거래의 안전은 인증서 기술을 동원하지 않고는 달성될 수 없다는 극단적 견해를 채용하는 기술전문가는 없다.
오히려 은행감독에 관한 바젤위원회(BCBS)가 채택한 전자금융거래 위험관리 원칙은 특정 기술의 사용을 강요해서는 안되며, 어떤 기술을 사용할지는 은행이 결정해야 한다고 규정하고 있다. 한국도 바젤위원회 회원국이므로, 한국의 금융감독기구도 바젤위원회가 채택하는 금융감독 원칙을 준수해야 할 국제법 상의 의무를 지고 있기도 하다. 미국의 연방금융감독 위원회도 특정 기술의 사용을 강제해서는 안된다는 원칙을 선언하고 있다.
|
| ▲ 스마트폰의 등장으로 국내 전자금융거래에서 강제되었던 공인인증서 방식에 대한 논란이 재점화되고 있다. ⓒ연합 |
특정 기술 사용 강제는 산업 낙후를 부르는 첩경
보안 기술은 빠르게 변화하므로 감독기관이 규정을 만들어 경직적으로 대처할 문제가 아니다. 그 뿐 아니라, 특정 기술의 사용을 정부가 강제하는 순간, 이해관계와 기득권을 누리는 일부업체들이 생겨나고, 이들 업체들은 더 앞선 기술이 국내 시장에 진입하지 못하도록 규정과 행정력을 동원하여 가로막는 등, 국내의 관련 산업이 정체와 낙후의 길을 가게 되는 첩경이 된다.
공인인증서 사용을 강제하는 전자금융 감독규정을 완화해 달라는 요구가 제기되자, 행정안전부는 몇가지 이유를 들면서 강제 규정 존속을 주장하며 금융위원회 편을 들고 있다. 공인인증서는 이미 2200만 명이 넘는 국민이 사용하고 있고, 인증서 이용 편의성과 접근성 확충을 위한 노력을 기울여 스마트폰에서도 공인인증서 사용이 가능하도록 해 줄터이니 공인인증서 사용 강제 체제를 계속해 달라는 행정안전부의 초라한 부탁은 오히려 인증서 사용을 강제할 필요가 없어졌다는 사실을 말해 줄 뿐이다.
공인인증제도 시행 초기에 인증서 보급 및 확산을 위하여 공인인증서 사용을 '강제'하는 편법을 동원했는지 모르겠으나, 스마트폰 사태에서 보듯이 이제는 그런 정책이 신기술 진입과 경쟁에 장애로 작용할 뿐이다.
공인인증서 사용을 강제하는 규정은 애초에 도입되어서도 안될 것이었고, 이제라도 한시바삐 폐지하는 것이 옳다. 그래야 공인인증 업체들은 더욱 노력하여 편의성/안전성/서비스 접근성을 개선하여 다른 인증 기술들과 시장에서 정당하게 경쟁하려 노력할 것이다. 국내 공인인증 업체들이 낡고 위험한 ActiveX 기술 하나에만 의존하여 "싫음 말고"라는 고압적 태도로 10년을 버텨오면서 한국의 인터넷 환경을 전세계 유일의 고립무원 상태로 몰아넣을 수 있었던 이유는 '강제 규정'에 기댈 수 있었기 때문이다.
공인인증서에 대한 몇 가지 '오해'
오로지 공인인증서만이 당사자 확인(인증) 기능을 가지는 듯 주장하는 이들도 있으나, 사설인증서도 당사자 확인 기능이 있고, 일회용비밀번호(OTP)도 당사자 확인 기능을 가지는 훌륭한 인증 수단이라는 점은 국제적으로 확립된 견해이다. 공인인증 기술이 국내에서 10년 가량 사용되었기 때문에 안전성이 검증되었다는 주장도 제기되지만, 이것이 옳다면 전세계 각국에서 지난 10여년간 안정적으로 운영되어 온 SSL+OTP 방식 또한 안전성이 충분히 검증된 것이다.
공인인증서로 전자서명을 하게 하면 고객이 나중에 그 거래를 부인하지 못하게 만들 수 있다는 주장도 제기되고 있지만, 이 주장은 법률적으로도, 기술적으로도 근거가 없다. 공인전자서명은 '서명자'의 서명으로 추정받는다는 법규정이 있지만, 과연 '서명자'가 고객인지 공격자인지를 전자서명으로 확인할 방법은 없고, '서명자'가 고객이라고 추정할 규정도 없다. 전자서명은 '누군가'가 그런 내용의 거래를 했다는 것을 확인해 줄 뿐, 그자가 고객인지 여부를 기술적으로 확인하거나 법적으로 추정하는 근거가 되는 것은 아니다.
전자서명이 부인방지 효과가 있다는 초보적 주장은 인증서 개인키가 유출되지 않았다고 전제할 경우에만 가능하지만, 고객의 인증서 개인키가 고객도 모르는 사이에 유출되었는지 여부를 확인할 방법이 없을 경우에는, 실제로는 무용지물이라는 점은 전세계의 보안전문가들이 모두 시인한다.
설사 전자서명이 부인방지 효력이 있을 경우에도(복제 불가능한 매체에 저장된 인증서가 그러하다), 오로지 '공인'인증서만을 사용하도록 강제해야 한다는 행정안전부의 주장은 '공인인증 관련 업체들의 이해관계'에 근거한 논리이지, 기술적, 법률적, 상식적으로 납득이 가는 주장은 아니다.
공인이건 사설이건, 인증서 기술 자체는 차이가 없고, 전자서명법은 사설인증서 사용을 금지하지 않을 뿐 아니라, 거래 당사자들이 사설인증서를 사용하기로 약정하면 공인전자서명과 사설전자서명 간에 법적 효력의 차이도 없도록 규정되어 있다. 그럼에도 공무원이 이처럼 공인인증업체들의 이해관계를 노골적으로 옹호하고 나서서 국내의 전자금융 거래 기술 전체의 발전을 가로막고 있는 모습은 특정 업체들과의 결탁마저 의심하게 한다.
금융회사들이 보다 높은 보안 수준을 원하므로 공인인증서 사용 강제 규정을 유지해야 한다는 믿기 어려운 주장마저 나돌고 있다. '강제' 규정이란, 원하지 않는 어떤 것을 억지로 강제하기 위한 것이다. 보다 높은 보안 수준을 원하는 금융회사는 강제 규정이 없어도 그렇게 할 것이다. 활발한 경쟁을 원하지 않는 후진적 금융회사만이 강제 규제를 선호할 것이다. 자신의 허술한 기술이 덜 드러나기 때문이다. 보다 편리하고 안전한 금융거래 서비스를 제공하기를 원하는 일부 선진적 업체를 다른 금융 회사들이 강제 규정을 동원하여 가로막는 것은 활발한 경쟁과 기술 혁신을 저해하는 것이다.
공인인증서가 그렇게 탁월한 효능을 가졌다면, 강제하지 않아도 모두들 앞다투어 채용할 것이다. 강제 규정을 삭제하는 순간 시장이 외면할 저급한 기술이라면 더 더욱 그런 기술을 정부가 강제해서는 안될 것이다.
전체댓글 0