공인·사설 인증 경쟁 시대
지난달 3일 토스 사용자 7명의 계좌에서 938만원이 부정인출된 사실이 밝혀졌다. 누군가가 외부에서 인터넷 등을 통해 얻은 사용자 개인정보를 무작위로 대입하는 방식으로 보안을 뚫었다. 서울지방경찰청은 지난해 하나은행 전산망을 해킹하다 구속된 이모씨(42)를 수사하던 과정에서 61기가바이트(GB) 분량의 개인정보를 발견했다. 주민등록번호와 은행 계좌번호, 해커들이 활개치는 다크웹을 통해 개인정보가 다량으로 거래되는 가운데 간편인증 결제 시스템이 확산되면서 금융 보안사고 가능성이 커지고 있다. 연말이면 21년간 최후의 보루 역할을 해온 공인인증서도 폐지된다.
인터넷 강국 애증의 공인인증서 #21년 만에 ‘공인’ 떼고 무한 경쟁 #패스·카카오 등 인증 시장 가세 #계좌이체·연말정산은 예년처럼 #미국·EU, 소비자 책임 한도 제한 #“한국도 배상 한도 등 명확히 해야”
1999년 도입된 공인인증서는 올 2월 기준 누적 발급 건수가 4293만건에 달한다. 공인인증서가 ‘인터넷 코리아’의 토대가 된 것은 사실이다. 안전한 온라인 인증방안을 모색하는 한국FIDO산업포럼의 이기혁 회장(중앙대 교수)은 “우리나라는 공인인증서 덕에 상대적으로 다른 국가보다 금융보안 사고가 잦지 않았다”고 말했다. 미 연준(Fed)에 따르면 2016년 미국에서 신용카드 비대면 거래시 사고율이 0.18%였다. 반면 우리나라는 0.0002%(2014년 기준, 여신금융연구소)에 불과했다.
카드 사기액 2023년 43조로 늘 듯
그래픽=이정권 기자 gaga@joongang.co.kr
한국인터넷진흥원(KISA)은 “아이디와 암호만으로 간편하게 결제하는 미국 페이팔의 경우 사고율이 0.3%로 우리나라보다 1500배 높다”고 밝혔다. 한국은행이 최근 발간한 ‘지급결제 조사자료’에 따르면 2018년 기준 전세계 신용카드 사기 금액은 278억달러(33조원)에 달한다. 2023년에는 356억달러(43조원)로 늘어날 전망이다. 한은은 “온라인으로 이뤄지는 비대면 카드거래는 전체 거래금액의 15% 정도지만 사기 손실의 54%를 차지한다”며 “국가 간 전자상거래 증가로 온라인 사기 피해는 빠르게 증가할 것”이라고 우려했다.
이처럼 온라인 사기 피해를 효과적으로 막아주던 공인인증서가 퇴출 수순을 밟게 된 것은 크게 두 가지 이유가 있다. 첫째, 기술적으로 낙후된 방식이라 약점이 많고 불편하다. 손쉽게 복사해 빼돌리는 것을 막기 위해 키보드·마우스 보안, 부정접속 차단, 증명서 위조 방지, 화면 캡처 방지 등 수십 가지 보안 프로그램을 설치했다. 여기에 쓰이던 ‘액티브 엑스’는 해커들이 악용할 위험성 때문에 개발업체인 마이크로소프트(MS)에서도 포기한 기술이다. 둘째 공인인증서가 금융 사고의 책임을 전적으로 사용자에게 전가한다. 해킹당한 공인인증서로 돈을 빼가도 은행은 아무런 책임을 지지 않는다. 기업들은 이상거래탐지시스템(FDS) 같은 보안기술이나 소비자 피해 방지에 적극적으로 나서지 않는다. 박경신 고려대 법학전문대학원 교수는 “아무리 보안이 높은 기술도 한 가지만 지정하면 기술이 더 발달하지 않는다”며 “지금까지 공인인증서는 국가가 기술 독점을 통해 시장을 장악하도록 특혜를 준 셈”이라고 말했다.
공인인증서가 폐지됐지만 ‘공인’이라는 지위만 잃었을 뿐, 다양한 전자서명 중 하나로 이용할 수 있다. 유효기간(1년)이 완료되면 일반 전자서명으로 전환 발급받으면 된다. 당장 올 연말정산은 기존 인증서를 사용해 예년처럼 국세청 홈택스에서 하면 된다. 정부는 사용 가능한 사설인증서를 연말까지 지정할 방침이다. 공인인증서가 장악하고 있던 디지털 인증 시장은 민간 정보기술(IT) 업체쪽으로 무게 중심이 넘어갈 전망이다. 이통 3사가 공동으로 지난해 출시한 ‘패스(PASS)’는 가입자가 3000만 명에 달한다. 카카오톡을 기반으로 한 카카오페이 인증 역시 1000만 명 이상이 가입했다.
다만 사설인증서를 믿을 수 있느냐는 불안감은 남는다. 이에 대해 한 은행 관계자는 “딱 신용카드를 챙기는 만큼만 온라인 보안에 신경 쓰면 된다”고 귀띔했다. 서명하지 않고 카드를 방치하거나 제3자에게 맡기는 등의 명백한 과실이 없으면 신용카드를 잃어버려도 큰 타격을 입지 않는다.
“이젠 방마다 다른 열쇠 쓰게 된 셈”
그래픽=이정권 기자 gaga@joongang.co.kr
2013년 KB국민카드, NH농협카드, 롯데카드에서 고객정보 1억 건이 유출된 후 사고가 나면 카드업체가 일차적으로 책임을 지는 쪽으로 법이 개정됐다. 온라인 거래도 PC나 스마트폰의 최신 업데이트를 설치하고, 인터넷상의 불법 콘텐트를 내려받지 않으며, 의심스러운 사이트 방문을 삼가는 등의 기본만 지키면 된다는 것이다. 박경신 교수는 “사이트마다 각각 다른 인증서를 사용한다고 해서 보안에 더 취약해지는 것은 아니다”며 “열쇠 하나로 모든 방을 열게 했던 것이 공인인증서라면 이제는 방마다 다른 열쇠를 쓰게되는 것일 뿐”이라고 설명했다.
법적인 보완책 마련도 필요하다. 지금까지는 해커가 비밀번호를 빼내 온라인 거래를 해도 피해를 구제받지 못했다. 한은 관계자는 “온라인 거래에서 소비자의 책임 한도는 미국의 경우 50~500달러고, EU는 150유로에서 50유로로 하향 조정했다”고 밝혔다. 금융 당국은 이용자 과실이 명확하지 않으면 금융사가 책임을 지는 내용의 전자금융법 개정안을 마련해 올 하반기에 국회에 제출할 방침이다.
편의 vs 보안…인증서 발급업체, 두 토끼 잡을 기술 아직은
공인·사설 칸막이 없애 경쟁 촉진
허술한 기술 가진 업체 관리 중요
김승주
“결국 이용자의 편의와 엄격한 보안 유지 사이에서 선택의 문제입니다.”
지난 5월 전자서명법 개정안이 국회 문턱을 넘으면서 일각에선 개인정보 보안에 대한 우려의 목소리도 나온다. 공인인증서를 대신할 사설인증서가 비밀번호나 지문 인식을 통해 편리하게 사용할 수 있는 만큼 보안에 취약한 것 아니냐는 것이다. 하지만 김승주 고려대 정보보호대학원 교수는 선택의 문제일 뿐이라고 설명했다. 그는 “오히려 지금과 같은 과도기에는 정보 노출에 대한 걱정보다 과열경쟁에 따른 과장 광고나 시장 지배적 사업자에 대한 대책을 고민하는 게 중요하다”고 강조했다.
- 홈택스, 국민건강보험 홈페이지 이용시 공인인증서 걱정 안 해도 되는가.
- “그건 아직 아무도 모른다. 이번 개정안은 인증서에 대한 시장경쟁을 촉진하기 위해 ‘공인’과 ‘사설’ 인증서의 구분을 없앤 것이다. 쉽게 말해 공인인증서가 금융결제원인증서란 이름으로 바꿔 카카오인증서와 경쟁해 이용자 선택을 받으란 뜻이다. 국세청과 국민건강보험공단이 기존 인증서를 계속 사용하겠다고 하면 대다수의 국민은 지금처럼 공인인증서를 발급받아야 한다.”
- 공인인증서 역할이 줄어들면 보안이 느슨해지는 것 아닌가.
- “국민입장에서 걱정할 사안은 적다. 공인인증서 자체가 당장 없어지는 게 아니기 때문이다. 그보단 전자서명을 두고 업계 경쟁이 불붙으면서 허술한 보안기술만으로 시장에 진입하려는 업체를 어떻게 관리·감독할지가 관건이다. 개정된 법에 따라 정부가 인증서비스에 대한 평가 기준을 마련하고 평가기관을 운영하도록 했는데 이 역할에 따라 전자서명업계가 좌우될 것으로 예상한다.”
- 전자서명에 대한 정부의 독점적 지위가 사라진 만큼 보안이 뚫렸을 때 책임소재 논란도 예상되는데.
- “인증서 이용이 편리하면서 보안유지 등급도 높으면 얼마나 좋겠나. 하지만 당장은 그 두 마리 토끼를 모두 잡을 만한 기술이 없는 게 현실이다. 대표적으로 미국 전자서명 업체인 페이팔은 피해 보상금으로 매년 11억 달러씩 지출하고 있지만 이는 전체 매출에 0.15% 수준이다. 앞으로 국내 업체들도 이용자 확보와 보안등급 사이에서 노선을 택할 수밖에 없을 것이다.”
- 이상금융거래탐지시스템(FDS)을 강화해야 한다는 의견도 나온다.
- “이미 국내에서도 신용카드 부분에선 미국만큼 FDS가 활성화되고 있다. 하지만 FDS 역시 취약점이 있다. 정상적인 소비패턴에서 벗어나면 정보 노출을 의심하는 구조이지만 ‘정상적인’이란 기준이 너무 추상적이다. FDS를 사용하는 전자서명 업체 홈페이지 살펴보면 ‘해외 직구로 내가 구매한 거 맞다. 승인해달라’는 민원이 너무나 많다.”
김나윤 기자 kim.nayoon@joongang.co.kr
김창우·김나윤 기자 changwoo.kim@joongang.co.kr
