“공인인증서만 써야 안전하다고? 어불성설”

‘공인’ 단어를 뗀 ‘공인인증서’를 보기 어려워졌다. 6월24일 제316회 국회(임시회) 제4차법안심사소위에서 전자금융거래법 일부개정법률안이 통과되지 못한 채 계류됐다. 정무위원회는 ▲공인인증서를 대체할만한 뚜렷한 대안이 없다 ▲갑자기 공인인증서를 폐지할 경우 이용자들의 혼란이 증가할 우려가 있다 ▲전자금융 인증체계 개편 관련 연구용역(6~9월)을 실시중이므로 금년 하반기까지 검토가 필요하다는 금융위원회의 의견을 받아들여 해당 법률 통과를 연기했다. 4월부터 6월, 법안 상정까지 걸린 2달의 시간이 단 15분 만에 수포로 돌아갔다. 국내 사용자는 금융거래를 할 때 여전히 ‘공인인증서’를 사용해야 한다.

보안 공포 벽 못 넘은 개정안

“자율이라는 상황을 경험하지 못한 사람들이 겁을 낸 탓입니다. 13년 동안 이어진 공인인증서 말고 새로운 걸 시작하자는 분위기를 받아들이지 못했기 때문이지요. 아쉽지만, 다음 국회 회기를 기다릴 수 밖에요.”

사단법인 오픈넷 이사로 ‘공인인증서 의무화 폐지’ 운동에 앞장섰던 김기창 교수는 법안이 통과되지 못했다는 소식에 서운함을 감추지 못했다. 지난4월1일 ‘공인인증서가 폐지됐다’라는 내용의 만우절 기사를 시작으로 공인인증서 의무화 폐지에 가장 앞장섰던  그였다. 법안 상정부터 여야 관계자 및 ‘공인인증서 의무화 폐지 교수 300인 지지’ 선언까지 그의 손길이 닿지 않는 곳이 없었다. 그렇기에 김기창 교수는 이번 법안 계류가 믿기지 않으며, 왜 통과되지 못했는지 이해할 수 없다는 반응이다.

“박민식 새누리당 위원장을 찾아가 왜 이 전자금융거래법 개정안이 통과돼야 하는지 그 중요성에 대해 설명했습니다. 그 결과 개정안이 월요일에 상정될 것이며, 여야가 합의한 내용인만큼 별 무리 없이 통과될 것이란 얘길 들었습니다. 정작 법안에 대해 논의하는 월요일 날, 예상과 전혀 다른 드라마가 펼쳐졌습니다.”

김 교수는 전자금융거래법 일부개정법률안 통과를 막은 주범으로 ‘보안 공포’를 꼽았다. 금융위원회는 “공인인증서와 동등한 안정성을 가진 인증기술이 없는 상황에서 13년간 사용되어 온 공인인증제도를 당장에 철폐할 금융회사와 이용자들의 혼란과 전자금융사고가 증가할 우려가 있다”라는 이유를 들어 반대했다. 김종훈 새누리당 의원도 “전자금융거래법이 개정될 경우 보안 사고가 발생할 수 있다는 점에서 우려된다”라는 입장을 표명했다.

공인인증서, 제대로 알고 대응하자

이번에 이종걸 민주당 의원이 발의한 ‘전자금융거래법 개정안’이 ‘공인인증서 폐지’를 담고 있는 게 아니다. 이 개정안은 공인인증서 사용을 강제하는 근거로 작용하고 있는 ‘전자금융거래법 제21조제3항’을 개정해 다양한 보안기술과 인증기술을 금융기관이 자율적으로 선택해 도입하자는 내용이 핵심이다.

“현행 전자금융거래법에는 공인인증서를 강요할 수 있는 근거 조항이 박혀 있습니다. 그 탓에 모든 금융기관에서 공인인증서만을 활용해 금융 서비스를 제공하기에 이르렀지요. 근데 이 공인인증서가 나온지 13년 된 기술입니다. 더 좋은 보안 기술과 방식이 있는데, 구식을 고집한 탓에 윈도우 운영체제와 인터넷 익스플로러 웹브라우저 외 환경에서는 쓰기 힘든 기술이 현재 공인인증서입니다.”

현재 한국정보인증, 코스콤, 한국전자인증, 한국무역정보통신 등은 ▲사설인증서의 급증으로 사용자가 발급받아야 할 인증서가 추가될 것 ▲베리사인이나 코모도 등 외국계 인증기관이 국내에 들어올 것 ▲보안이 취약한 사설인증서 사용으로 보안 사고가 발생할 것 등과 점을 이유로 들어 공인인증서 의무화 폐지에 대해 반대하고 있다.

“공인인증서 의무화가 폐지돼 각 기관에서 자율적으로 인증서를 발급하면, 사용자가 발급받아야 할 인증서가 많아진다는 주장이 있습니다. 인증서 호환성을 지적한 셈이지요. 문제는 현재 공인인증서도 호환성이 빵점이라는 데 있습니다.”

현행 공인인증서 제도는 A은행에서 발급받은 공인인증서를 B은행에서 사용하려면 B은행에 다시 A은행에서 받은 공인인증서를 등록하는 과정을 거쳐야 한다. 등록하지 않으면 B은행에서는 A은행에서 받은 공인인증서를 사용할 수 없다. 은행이 늘어나면 늘어날수록 공인인증서를 등록하는 경우도 많아진다.

“공인인증서 의무화가 폐지되면, 믿음직한 인증기관에서 발행한 인증서를 다양한 기관에서 활용할 수 있게 됩니다. 지금처럼 사용처마다 인증서를 따로 등록할 필요가 없지요. 오히려 호환성이 좋아집니다.”

김기창 교수는 베리사인이나 코모도 같은 외국계 기업 출현에 대해서도 걱정할 필요가 없다고 주장했다. 이번 개정안에서 수정되는 부분은 전자금융거래법 제21조제3항이다. 보안기술과 인증 기술의 공정한 경쟁을 저해하거나 특정기술 또는 서비스의 사용을 강제해서는 안된다는 내용이다. 외국계 기업 출현이나 현재 공인인증서 사업을 하고 있는 기관에 대한 제재는 없다.

“금융감독원 인증방법평가위원회 기술평가기준이 마련돼 있습니다. 해외 인증기관이 국내에 섣불리 들어오지 못하는 장치지요. 미래창조과학부에서도 해외 인증기관의 국내 진출에 대해 제제할 수 있는 제도를 가지고 있는 것으로 알고 있습니다. 이번 개정안으로 해외 인증업체가 물밀듯이 몰려올 것이란 얘기는 과장입니다.”

보안이 취약한 사설인증서 사용으로 인한 보안 사고 발생에 대해서도 김기창 교수는 동의하지 않았다. 지난 5월20일 금융결제원은 파밍 수법으로 인항 해킹으로 공인인증서 212개가 유출된 것을 확인하고 이를 폐기했다. 지난 2월에도 461개의 공인인증서가 유출됐다. 공인인증서 방식을 유지한다고 해서 100% 안전한 보안 환경이 유지되는 건 아니다.

“오히려 국내 공인인증서는 발급 기관인 루트 인증기관인 KISA가 모질라 파이어폭스 재단 등 해외에서는 인정받지 못하고 있습니다. 안심할 수 없는 인증서를 발급한다는 이유에서지요. 사람들이 자꾸 사설인증서와 공인인증서 간 기술 차이를 지적하며, 공인인증서가 우수하다고 얘기하는데 두 인증서 다 들어간 기술은 비슷합니다.”

김기창 교수는 인증서의 안정성은 인증서를 발급하는 인증기관에서 시작한다고 말한다. 현행 공인인증서는 웹트러스트 검증을 받지 않은 KISA에서 발급하는만큼 신뢰도와 안정성이 확보되지 않은 상태라고 지적했다.

웹트러스트는 미국 공인회계사협회에서 관장하는 인증업무의 운영적절성을 감사하고 평가하는 서비스다. 인증업무 공개, 인증기관 환경 통제, 서비스 무결성 확보 등의 기준을 통과해야 합니다. 인증서 자체에 대한 기술보다는 인증서 발급 과정과 인증서 발급하는 사람들이 업무 감독은 얼마나 투명하게 이뤄지는지를 조사하는 데 초점이 맞춰져 있다.

“전세계 기관에서 인정하고 신뢰하는 웹트러스트를 받지 못한 공인인증서를 가장 안전하다고 말하는 건 어불성설입니다. 의무화 폐지로 다양한 사설인증기관이 들어서면, 사용자에게 보다 확신을 주기 위해 더 많이 노력하겠지요. 자동으로 사용자는 더 좋은 보안 기술을 사용할 수 있습니다.”

공인인증서 의무화 폐지 ‘알리미’로 나설 것

김기창 교수는 비록 법안은 계류됐지만 ‘공인인증서 의무화 폐지’ 운동은 포기하지 않을 심산이다. 지난 두 달간 국회에 출근하다시피 하며 많은 국회의원 보좌관들을 만나고 대화를 나누면서 희망을 보았기 때문이란다.

“과거에는 왜 공인인증서가 문제인지 설명하는 데 너무 힘들었습니다. 최소한 이제 각 국회의원 보좌관들은 왜 공인인증서가 문제이며, 어떻게 고쳐야 하는지에 대해서는 이해하고 있습니다. 그렇다면 이 분위기가 국회의원으로 퍼질 가능성도 높지 않을까요.”

김기창 교수는 이번 사건으로 금융위원회와 금융결제원 간 노골적인 로비와 뇌물 수수 관계가 들어난 점도 큰 수확으로 꼽았다. 국내 공인인증서 발급의 80%를 차지하는 금융결제원 눈치를 보며 보수적으로 ‘공인인증서 의무화 폐지’를 바라보던 금융위원회 관계자 마음을 바꿀 수 있는 가능성이 커졌기 때문이다. 김기창 교수는 9월 재상정을 목표로 다시 뛸 계획이다.

“국민의 시선이 금융위원회와 금융결제원으로 몰린만큼 부정한 방법으로 공인인증서를 지키려는 시도는 줄겠지요. 공인인증서 의무화 폐지가 더 쉬워지지 않을까 생각합니다.”

앞으로 ‘전자금융거래법 일부개정법률안’에 목적과 공인인증서 사용 의무화에 따른 부작용이 무엇인지 적극 알리는 데도 집중할 계획이다. 법안을 제대로 이해하는 사람이 늘어나면 늘어날수록 법안 통과를 막는 국회의원이 줄어들 거란 생각에서다. 우선 공인인증서 보안에 대한 잘못된 이해, 공인인증서 의무화 폐지지 발생할 수 있는 문제에 대한 오해부터 풀어나갈 방침이다.