인터넷으로 한 번이라도 돈을 보내 본 사람이라면 느껴봤을 거다. 복잡하다. 일단 은행 홈페이지에 접속하면 로그인을 해야 한다. 방법은 두 가지다. 아이디(ID)와 비밀번호를 입력하거나 공인인증서 로그인을 하면 된다. 그렇게 로그인한 후 계좌 이체를 하려고 하면 또 출금계좌 비밀번호를 넣어야 한다. 그리고 받는 계좌번호가 맞다는 걸 확인한 후엔 보안카드 비밀번호를 입력한다. 이게 끝이 아니다. 다시 한번 공인인증서 비밀번호를 입력해야 거래가 끝난다.
여러 단계를 거치다 보니 비밀번호를 잊어 버리는 일도 잦다. 하루에 5번 이상 비밀번호를 잘못 입력하면 아예 인터넷 거래가 정지된다. 신분증을 들고 은행 창구를 찾아 ‘내가 거래 당사자다’라는 사실을 입증해야 한다.
이렇게 보안이 철저하니 해킹 같은 금융사고는 없을 것 같다. 그런데 공인인증서가 유출돼 내 계좌에서 돈이 빠져나갔다는 사고가 종종 일어났다. 지난 2월 금융결제원은 1700만 명의 인터넷 금융거래 고객에게 긴급 e메일을 보내 공인인증서 유출 사고에 대한 주의를 당부하기도 했다.
의무사용 금지법, 내일 국회 상임위 행 결정
‘바늘 구멍’ 정도로 여겼던 공인인증 제도의 빈틈이 최근엔 ‘맨홀 뚜껑’ 수준으로 커지고 있다. 이에 따라 지난 18일 공인인증서 의무사용 금지 등의 내용을 담은 전자금융거래법과 전자서명법 개정안이 국회 정무위와 미래위 전체회의에 상정돼 법안심사소위에 회부됐다. 소위는 21일 심사를 거쳐 해당 상임위 의결 여부를 결정할 예정이다. 4월 말 현재 공인인증서 발급 건수는 3000만 건에 육박한다. 국내 경제활동 2540만 명의 117%에 해당하는 수치다. 개정안 통과 여부에 따라 국민 대부분의 인터넷 거래 활동이 영향을 받게 된다. 그런데도 이 문제는 이슈화되지도 못했을뿐더러 대부분의 국민은 개정안의 내용이 무엇인지조차 모른다.
공인인증 제도는 무엇이고 이번에 국회에 상정된 개정법안의 내용은 뭐길래 이렇게 말이 많은 걸까.
전자인증서와 서명기술은 비대칭 암호화 기술을 응용해 1990년대 후반에 등장한 보안 해법이다. 당시엔 전문가들도 이를 ‘첨단 기술’로 인식하고 열광했다. 이런 ‘인증서’ 기술을 수입해 ‘한국형 규격’으로 만든 것이 현재 ‘공인인증서’라고 불리는 것이다.
공인인증서가 도입될 당시 웹브라우저(인터넷 서비스를 이용할 수 있게 하는 프로그램. 익스플로러·크롬·파이어폭스 등)는 정보를 주고받을 때 암호화해서 처리하는 기능이 제한적이었다. 그래서 국내 기술진은 별도의 프로그램을 설치해 인증서를 이용하기로 했다. 이 때문에 공인인증서를 이용하려면 반드시 추가 프로그램을 PC에 설치해야 한다. 문제는 이렇게 별도로 설치해야 하는 프로그램을 악용한 해킹 공격이 덩달아 늘어났다는 점이다. 보안을 위한 선량한 프로그램과, 그를 무력화하려는 악성 프로그램이 모두 다 ‘별도 프로그램’ 형태로 경쟁적으로 배포되는 상황이 전개됐다. 이런 가운데 어떻게든 안전을 확보하기 위해 점점 더 많은 보안 프로그램을 사용자의 PC에 설치하는 방향으로 국내의 보안 기술 경향이 자리 잡게 됐다.
아마존·페이팔, 공인인증서 안 써
그 결과 이용자들은 전자 금융거래를 할 때 ‘습관적으로’ 서너 개의 프로그램을 설치하고, 이런 과정을 각각의 은행·카드사·쇼핑몰마다 다시 거쳐야 하는 상황이 초래된 것이다. 또 많은 수의 보안 프로그램을 중복해서 설치하다 보니 프로그램들이 서로 충돌을 일으켜 PC가 다운되거나 키보드가 먹통이 되는 일도 종종 생겨났다. 게다가 파일 형태로 배포되고 저장되는 공인인증서는 복제가 쉬워 수백, 수천 장의 공인인증서가 유출되는 일도 심심찮게 일어나고 있다.
국내에서는 공인인증서가 거의 ‘유일한’ 전자금융 보안 기술로 여겨지고 있지만 해외에서는 그렇지 않다. 해외 보안기술의 경향은 사용자의 PC에 특정 프로그램을 ‘설치’해 보안을 달성하겠다는 발상에서 벗어났다. 사용자에게 보안을 맡기는 게 아니라 은행이나 쇼핑몰·관공서 등이 위험거래 패턴을 ‘파악’하고 ‘감지’하는 기술을 개발하는 데 주력하고 있다. 예를 들어 고객이 과거에 어떤 물품을 어떤 빈도로 어떤 시간대에 사고, 어느 인터넷(IP) 주소에서 주로 거래했는지 등 그간의 거래 패턴을 파악해 이와 동떨어진 거래가 시도되면 이를 ‘위험 거래’로 간주하고 별도로 확인하는 방법을 써 금융사고를 막고 있다. 아마존·페이팔 등 해외 유명 전자상거래 및 결제 업체 등이 모두 이런 기법을 사용 중이다.
이렇듯 사용자의 불편이 늘어나고 공인인증서 유출 사고도 잦아지자 공인인증서 의무사용과 관련된 법안을 고치자는 의견이 대두하게 된 것이다. 공인인증서는 전자상거래가 막 꽃피기 시작한 초창기에 금융거래의 안전을 일정 수준으로 확보해 국내 온라인 거래 인프라가 급속하게 성장하는 데 기여했지만 이제는 발상의 전환이 필요한 시점에 왔다는 것이다. 공인인증서 제도 개선운동단체인 사단법인 오픈넷의 전응휘 이사장은 “기술은 강제하면 퇴보하기 마련”이라며 “특히 보안기술을 강제하면 진화하는 공격 기법에 대응할 수 없다”고 주장한다.
인증기관들 “유료화에 국민 불편” 반발
그러나 국내 공인인증 업체는 이번 개정안에 대해 강하게 반발하고 있다. 국내 최상위 공인인증기관(루트인증기관)인 한국인터넷진흥원(KISA)의 심원태 공공정보보호단장은 “공인인증기관 지정 제도를 폐지하면 인증기관이 난립하고 상호 연동이 어려워 1명이 여러 인증서를 이용하는 등 국민 불편이 따른다”고 주장한다. KISA 측은 “공인인증 제도를 폐지하면 법률에서 서명을 요구하는 종이문서를 대신할 수 있는 전자적 대체수단이 없게 돼 서명을 요하는 문서는 서면으로만 작성해야 하므로 정보화에 역행할 수 있다”는 입장이다.
공인인증기관인 금융결제원 역시 “공인인증서는 이미 3000만 장이 발급돼 전자거래 인프라로 자리 잡았다”며 “사설 인증기관을 허용하게 되면 인증시장이 이윤 추구 시장으로 변질되고 무료 인증서가 유료화되어 국민에게 불편을 끼칠 것”이라고 주장한다. 또 다른 인증기관인 한국정보인증 관계자는 “(폐지를 주장하는 진영은) 우리나라만 문제가 많은 공인인증서를 고집하고 있다고 말하고 있지만 이미 호주·일본·스웨덴·노르웨이·중국 등 많은 나라가 공인인증서 제도를 운영하고 있다”고 반박한다.
그렇다면 해답은 무엇일까. 기본으로 돌아가야 한다. 기업과 소비자에게서 해답을 찾아야 한다. 기업들이 편리하게 세계 시장을 대상으로 사업을 할 수 있는 금융거래 환경이 마련되고, 소비자 입장에서는 안전한 거래가 이뤄지도록 하는 것이 관건일 것이다. 국내 경제활동 인구 전체의 인터넷 금융거래 행태를 바꿀 공인인증서의 운명이 21일 결정된다.
김기창 고려대 교수
◆김기창(50) 교수=고려대 법학전문대학원 교수로, 인터넷 관련 법률에 관심이 많다. ‘보다 공평하게 열린 웹을 위하여’란 모토로 7년 전부터 오픈웹(http://openweb.or.kr)을 운영해 오고 있다. 국회 입법조사처 문화방송통신팀 자문위원으로 활동하고 있다. 1994년부터 2002년까지 영국 케임브리지대에서 법을 가르쳤고, 2003년부터 고려대에 재직 중이다. 한국 인터넷의 불편한 자화상을 세상에 알린 『한국웹의 불편한 진실』(2009년) 등을 저술했다.
