![[오늘의 운세] 4월 19일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202404/19/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
“안전한 인터넷 환경을 만들려고 보안 프로그램을 깔아서 사용했지만 지금은 더 취약한 상황이 되고 있습니다. 이제는 새로운 모델을 찾아야 합니다.” 어느 보안 엔지니어가 최근에 적은 글이다. 외국의 보안전문가들은 예전에 이미 깨달은 내용을 국내 기술인력은 이제 조금씩 이해하기 시작하는 상황이다. 십수년간 계속된 공인인증서 강요 체제가 초래하는 문제의 핵심은 바로 이것이다.
정부가 “이 기술이 안전하니 이 기술을 반드시 쓰라”고 강요하는 순간, 그 나라의 보안 기술은 그 수준에 멈춰서고 새로운 기술이 시장에 들어올 가능성은 봉쇄된다. 다양한 기술이 공평하게 경쟁하지 못하면 기술은 정체되고, 기업과 소비자 모두가 낡은 보안기술이 초래하는 폐해를 고스란히 떠안게 된다. 한번 도입된 강제 규정은 쉽사리 사라지지 않는다. 강제 규정으로 기득권을 누리는 몇몇 업체의 이해관계와 규제권한을 놓기 싫어하는 규제자의 이해관계는 서로 완벽하게 일치되어 ‘알박기’ 수준의 민폐성 규제로 뿌리를 내리게 된다. 수혜업체와 규제권자 간의 ‘위험한 입맞춤’도 공공연히 벌어지고 있다. 공인인증서 사용을 강제해 주는 소관 부처(금융위원회) 고위 공무원이 퇴직하자마자 공인인증 업체(금결원) 임원으로 취직해 수억원대의 연봉을 받고 있다는 점은 국회 대정부 질문 과정에서 확인된 사실이다.
기술을 소상히 모르는 대다수 국민은 공인인증서가 초래하는 문제가 무엇인지 제대로 이해하기 어려울 것이다. 정부가 안전성을 ‘공인’한다니, 그렇다고 믿고 있을 뿐. 그러나 실상은 자못 다르다. 애초에 전자인증서 기술은 국경이나 정부와는 무관하게 네트워크상이라면 어디에서건 운용될 수 있도록 고안된 것이다. 전자인증서 기술의 글로벌한 제도적·문화적 측면을 제대로 이해하지 못한 1990년대 국내 인력들은 이것을 정부 산하의 ‘국가 단위’ 인증 체제로 변질시켜 도입했다. 이것이 바로 한국의 ‘국가 공인’ 인증제도가 안고 있는 태생적 한계다. 게다가 당시 기술인력은 별 고민 없이 ‘추가 프로그램 설치 방식’으로 인증서를 사용하면 된다고 생각했고, 이런 미숙한 기술적 판단을 15년이 넘도록 제도로 강요해 온 나머지 국내 이용자들은 온갖 프로그램을 끊임 없이 설치하면서 무작정 “예”를 누르는 데 익숙하게 되었다. 이런 사태는 이제 어떤 프로그램으로도 대처할 수 없는 수준의 보안 위험을 초래하고 있다.
김기창(사)오픈넷 이사
고려대 법학전문대학원 교수
이대로 계속 갈 수 없는 지경에 도달했다는 점은 다수가 느끼고 있다. 대통령이 공인인증서 문제를 공개적으로 제기한 것도 변화가 불가피하다는 공감대가 이제는 형성되었음을 상징적으로 확인하는 의미를 가지는 것이다. 구체적으로 무엇을 어떻게 바꾸어야 할지에 대해 세 가지를 언급한다.
첫째, 정부가 인증기술에 더 이상 개입해서는 안 된다. 좋은 기술이니 강제해야 한다는 궤변은 이제 내려놓기 바란다. 좋고 안전한 기술은 강제할 필요가 없다. 정부가 공인인증서를 대체할 ‘대안’을 고민할 필요는 없다. 미안하지만 대안이 뭔지를 당신들만 아직도 모르고 있을 뿐 전 세계에서 지난 십수년간 안정적으로 사용되는 다양한 인증, 보안기술들이 존재한다. 국내 업계도 규제가 풀리기만을 학수고대하고 있다. 어느 기술이 더 나은지, 기술 대안이 무엇인지를 공무원이 정해 줘야 한다는 발상은 이공계 천시 풍조에 찌든 오만하고 무지한 자의 환상이거나 업계와 결탁한 부패한 공무원의 변명이다.
둘째, 금융회사에 인증기술 선택권을 온전하게 부여함과 동시에 사고거래에 대한 철저한 배상이 이루어지도록 규제자가 감독권한을 제대로 행사해주기 바란다. 금융감독 당국은 지금까지 금융소비자 보호라는 본연의 임무를 망각한 채 “공인인증서 사용하면 고객에게 책임을 지울 수 있으니(부인 못하게 할 수 있으니) 공인인증서를 반드시 쓰시라”면서 인증업체 판촉사원 노릇을 해왔고, 막대한 규모의 금융정보 유출사고가 터져도 “피해가 없을 것으로 확신한다”는 괴상한 발언을 하면서 금융권 전반의 총체적 보안 부실을 은폐하는 데 골몰했다. 규제 당국의 이런 과오는 이제 청산되어야 한다.
셋째, 금융회사의 보안을 금감원이 ‘점검’해 주겠다는 시늉은 이제 그만해야 한다. ‘규제’ 당국이 보안기술 전문가도 아닐뿐더러 이런 식으로 규제 당국이 찍어주는 ‘보안성 심의필’ 도장은 금융회사의 면죄부로만 작용할 뿐이다. 금감원이 서류만 보고 수박 겉핥기 식으로 수행하는 보안성 심의는 폐지하되, 각 금융회사가 보안점검 전문업체와 검사 계약을 체결하고 본격적인 보안감사(실사)를 매년 받도록 하면 우리의 금융 보안 상황은 전반적으로 개선되고, 소비자의 피해는 줄어들 것이다.
금융회사에 인증기술 선택 자율권을 부여하고, 그에 상응하는 책임을 물을 때가 되었다. 자율을 박탈하는 대신 아무리 사고를 내도 책임을 면해주는(소비자가 모두 뒤집어쓰는) 부당하고 미개한 규제는 이제 그만둘 때가 되었다.
김기창 (사)오픈넷 이사 고려대 법학전문대학원 교수
