박근혜 대통령의 ‘천송이 코드’ 발언을 계기로 2014년 공인인증서에 대한 의무 사용 규정이 폐지됐지만 여전히 이를 둘러싼 논쟁이 계속되고 있다.

한편에서는 공인인증서를 청산의 대상으로 보는 반면, 또 한편에서는 실제보다 단점이 부각돼 부당하게 매도당한 희생양이라고 보고 있다.

“핀테크 발전을 가로 막는 대표적인 것이 공인인증서입니다. 의무 사용 규정이 폐지됐다고 하지만 여전히 암묵적으로 다들 공인인증서만 사용해 장벽이 되고 있습니다.”( 한 핀테크 기업 대표)

"공인인증서를 사용하는 방식인 액티브X에 문제가 있었던 것이지 공인인증서 자체에 문제가 있는 것은 아닙니다. 공인인증서를 중요한 보안수단 중 하나로 봐야 합니다."(한 보안기업 관계자)

같은 사안을 놓고 이처럼 극명하게 의견이 엇갈리는 사례도 드물다.

공인인증서의 희노애락

공인인증서는 전자서명의 검증에 필요한 공개 키(PKI) 기반에 소유자 정보를 추가해 만든 사이버 거래용 전자인감증명서다. 전자상거래 등에서 신원 확인, 문서의 위조 및 변조 등을 위해 사용하는 정보 중 하나가 전자서명이고, 전자서명을 안전하게 사용하기 위해 만들어진 것이 공인인증서다.

이 안에는 발행기관 정보, 가입자의 이름과 식별정보, 전자서명 검증키, 인증서 일련번호, 유효기간 등이 들어 있다. 전자서명 인증은 컴퓨터를 이용해 만든 서명과 검증정보(공개 키와 개인 키)를 공신력이 있는 기관이 확인, 증명하는 것이다.

우리나라는 1999년 전자서명법 제정으로 공인인증서가 널리 확산됐다. 온라인 거래의 안전성을 보장하기 위해 공인인증서가 도입된 것.

현재 공인인증서는 인터넷뱅킹, 증권거래, 카드결제 등 금융 업무는 물론 전자세금계산서, 전자입찰, 전자계약 등 기업 조달업무, 정부에서 제공하는 전자민원, 전자정부 업무 등에 널리 쓰이고 있다. 정부의 공인인증서 사용 의무화로 인증서는 발급 건수가 3000만 건을 넘어설 정도로 널리 확산됐고 많은 사람들이 사용했다.

하지만 문제점들이 부각되기 시작했다. 금융기업, 정부 사이트에서 사용자 PC에 공인인증서를 설치하기 위해 마이크로소프트의 다운로드 기술인 액티브X를 활용했기 때문. 액티브X는 보안에 취약해 악성코드 전파 등에 악용이 됨에 따라 웹브라우저들이 액티브X를 지원하지 않게 됐다. 이 때문에 MS의 인터넷익스플로러(IE)를 사용하지 않는 사람들은 전자거래를 할 수 없게 되는 상황이 됐다.



이런 상황에서 빠르고 다양한 기능을 지원하는 파이어폭스, 크롬, 사파리 등의 브라우저 사용자가 점차 늘었고 급기야 MS도 새 브라우저에 액티브X 지원을 중단했다. 이 때문에 액티브X의 문제까지 공인인증서의 문제인 것처럼 인식돼 버렸다.

공인인증서 저장방식에서도 문제가 발생했다. 2013년부터 PC에 저장된 공인인증서를 탈취하는 악성코드가 기승을 부리기 시작한 것. 이후 공인인증서 유출이 계속됐고 2015년 5월에는 악성코드로 빼낸 공인인증서와 시중은행 가짜 사이트를 이용해 2억 원을 절취한 일당이 잡히기도 했다.

이로 인해 공인인증서 안전성에 문제가 제기됐고 폐쇄적인 전자금융거래 환경에 대한 비판의 목소리도 높아졌다. 모든 전자거래에 공인인증서를 사용하도록 함에 따라 새로운 보안기술과 인증방법 개발을 막았다는 것. 공인인증서에 전자거래 환경이 종속됐다는 비판까지 나왔다.

사용 의무 폐지와 이어지는 논란

비판의 목소리가 높아지면서 일부 거래에 다른 보안기술을 사용하자는 논의가 제기됐지만 공인인증서 만큼 검증되지 않았다는 이유로 새 방식의 도입은 활성화되지 못했다. 일각에서는 문제가 된 액티브X 대신 플러그인 등 다른 방식으로 공인인증서를 설치하도록 하는 노력이 나오기도 했다.

공인인증서 정책이 급변한 것은 정치적인 영향이 컸다. 2012년 대선 당시 공인인증서 문제도 거론됐다. 후보들은 액티브X와 공인인증서 문제를 개혁하거나 폐지하겠다고 공약했다.

2014년 박 대통령은 3월 20일 청와대에서 열린 ‘제1차 규제개혁장관회의 겸 민관합동 규제개혁점검회의’를 주재한 자리에서 “우리나라에서만 요구하고 있는 공인인증서가 국내 쇼핑몰의 해외 진출에 걸림돌이 되고 있다”며 공인인증서를 문제의 주범으로 지목했다.

대통령의 이 발언으로 미래창조과학부, 금융위원회 등이 부랴부랴 대책 마련에 나섰고 액티브X를 걷어내고 공인인증서 의무화를 폐지하는 방향으로 정책을 추진했다. 2014년 10월 개정돼 2015년 4월부터 시행된 전자금융거래법 개정안은 금융위원회가 공인인증서 등 특정 기술 또는 서비스의 사용을 강제해서는 안 된다고 규정했다. 또 2015년 3월 개정된 전자금융감독규정에서는 공인인증서 의무 사용에 대한 내용이 삭제됐다.

하지만 여전히 많은 사이트에서 공인인증서를 사용하고 있다. 시중은행들의 전자금융거래기본약관에도 전자금융거래를 이용하는 경우 반드시 전자서명법에 의한 공인인증서를 사용해야 한다고 명시하고 있다. 소액결제, 금융감독원이 승인하는 경우, 일부 거래 등에 대해 예외규정을 두고 있을 뿐이다. 새로운 보안기술을 적용해 사고가 날 경우 책임을 저야 하는 상황을 우려했기 때문이다.

오해 또는 진실, 그리고 대안

전문가들은 공인인증서의 보안기술 수준을 인정하고 활용하는 쪽으로 방향을 바꿔야 한다고 지적한다. 정부가 공인인증서 사용을 강제화하고 문제를 지적하는 목소리를 듣지 않은 것은 문제지만 대통령의 말 한마디에 정책을 급변시킨 것도 문제라는 것.

원유재 핀테크보안연구센터장(충남대 교수)은 “기술면에서 보면 공인인증서의 부인방지 기능을 대체할 기술도 없다”며 “다만 액티브X를 설치에 이용하고 PC 등에 저장된 공인인증서와 비밀번호가 해킹당할 수 있다는 취약점이 문제였다”고 말했다.

또 “부인방지 기능이 필요 없는 서비스에도 공인인증서를 의무화한 것도 문제였다”며 “매도나 강제할 것이 아니라 공인인증서 기술을 현명하게 사용하고 선택하도록 하면 된다”고 말했다.

한국정보인증 관계자는 “공인인증서는 높은 수준의 보안기술이며 공인인증서에 쓰이는 PKI 기술은 다른 보안부문에도 널리 사용되고 있다”며 “다만 공인인증서 를 PC에 저장하도록 한 관리상의 문제는 보완책을 마련중”이라고 말했다.

최근 생체인식 기술이 발전함에 따라 생체인식이 공인인증서를 대체하거나 보완할 것이라는 시각이 많다. 애플 ‘아이폰’, 삼성전자 ‘갤럭시’ 등 여러 스마트폰이 지문인식 기능을 탑재하고 있다. 또 삼성전자 ‘갤럭시노트7’처럼 홍채인식 기능 등 새로운 생체인식 시도도 이뤄지고 있다.

지난 8월 금융감독원은 금융회사가 공인인증서 이외에 지문, 홍채, 정맥에 대한 생체인증 등 안전하고 다양한 인증수단을 도입하도록 유도하겠다고 밝혔다. 또 새로운 인증수단의 안전성에 대한 신뢰가 완전히 확보될 때 까지는 거래내역 조회와 소액 송금에 한해 적용하고 단계적으로 확대해 나가겠다고 덧붙였다.

[테크M = 강진규 기자(viper@techm.kr)]

<본 기사는 테크M 제44호(2016년 12월) 기사입니다>