[토요경제=유지만 기자] 공인인증서의 ‘호시절’이 끝날 조짐을 보이고 있다. ‘액티브 X’와 함께 국내 보안계에서 항상 지적을 받아 온 공인인증서에 대한 문제점이 정치권에서 논의되기 시작했다. 여러 보안사고를 겪으면서 공인인증서가 유명무실하다는 결론을 낸 셈이다. 지난 20일 민주당 이종걸·최재천 의원은 현행 공인인증제도를 폐지하는 내용을 담은 전자금융거래법 개정안과 전자서명법 개정안을 대표발의한다고 밝혔다.

그동안 줄기차게 공인인증서 폐지를 주장해 온 보안업계 관계자들은 “늦었지만 지금에라도 옳은 길에 접어든 것”이라며 환영의 뜻을 내비치고 있다. 시장경제 논리와도 맞지 않고, 효율성도 극히 떨어져 세계적인 추세에 따라가지 못한다는 논리다.

◇ 개정안에 무슨 내용 담기나
국회 정무위원회 소속 이종걸 의원이 이날 대표발의하는 전자금융거래법 개정안에는 지난 10여년간 금융위원회가 공인인증서 사용을 강요하는 근거로 활용돼왔던 현행 21조3항을 개정한다는 내용이 담겼다.
개정안은 금융위원회로 하여금 금융회사 등에게 특정 기술이나 서비스 사용을 강요할 수 없도록 했다. 또 금융위가 인증기술과 보안기술의 공정한 경쟁을 저해해서는 안 된다는 점도 명문화했다.

이 의원은 "그동안 금융규제 당국이 보안기술에 개입해 공인인증서 사용을 강요하면서 국내 보안기술은 90년대 수준의 낙후된 상태에 머물게 됐고 IT산업 전반의 국제경쟁력을 저해해왔다"며 법 개정 필요성을 강조했다.
또 "뿐만 아니라 이용자가 이해하지 못하는 추가 프로그램을 컴퓨터에 설치토록 강요함으로써 국내 보안상황이 전반적으로 열악해지는 결과가 초래됐다"고 설명했다.

이 밖에 국회 미래창조과학방송통신위원회 소속 최재천 의원이 대표발의한 전자서명법 개정안에는 현행 전자서명법을 전면 개정해 정부주도의 인증제도를 폐지한다는 내용이 담겼다.
개정안에 따르면 정부는 앞으로 인증업무수행의 근본원칙만을 정하고 대신 전문성을 가진 독립적 검증기관이 인증기관 업무의 안전성과 신뢰성을 검증하게 된다.

최 의원은 "정부의 권위에 의존하는 현행 국가공인인증제도는 국경을 넘어 국제적으로 작동하는 인터넷의 기본 전제에 어긋날 뿐 아니라 세계로부터 고립돼있다"고 현 상황을 설명하며 "전자서명법 개정안은 국내 인증기관들도 국제적으로 통용되는 기준에 따라 기술 안전성을 검증받도록 규정했다"고 법안의 취지를 소개했다.

그는 또 "이번 전자서명법 및 전자금융거래법 개정안은 그동안 한국 IT산업을 고립시키고 제약해온 공인인증서와 관치 보안의 족쇄를 깰 수 있다"며 "이를 통해 국내 IT산업 진흥, 보안기술의 선진화와 일자리 창출에 기여할 것"으로 전망했다.

◇ “공인인증서는 한마디로 ‘허구’”
이종걸 최재천 의원과 함께 공인인증서 폐지 활동을 벌이는 사단법인 ‘오픈넷’은 줄곧 공인인증서 폐지를 주장해 왔다. 오픈넷 김기창 교수는 글을 통해 “공인인증서는 ‘무지’와 ‘신화’를 통해 억지로 유지해 온 것”이라고 지적했다.

그동안 국내에서 공인인증서에 대한 비판적인 목소리가 나올 때 마다 당국의 입장은 “외국의 경우 전자금융 사고거래의 책임을 금융회사가 아닌 고객이 부담하기 때문에 허술하다”며 공인인증서의 당위성을 주장해왔다. 하지만 오픈넷 측은 “전혀 근거 없는 주장”이라고 맞받아쳤다.

오픈넷 김기창 교수는 오히려 “전자금융 사고거래의 책임을 은행이 지지 않는다면, 그런 나라의 전자금융거래는 끝장날 것”이라고 지적하며 “한국을 포함한 세계 각국은 사고거래의 책임을 은행에게 지우고 있다”고 밝혔다.

김 교수가 지적한 것은 국내와 외국에서 금융보안을 대하는 자세였다. 그는 “외국 정부(금융감독기구)는 은행이 알아서 보안 기술을 선택하게 하되, 사고가 나면 철저히 은행이 물어주도록 하는 것”이라며 “이렇게 하면 은행 입장에서 스스로 최고의 보안기술을 찾아 움직일 수 밖에 없다”고 말했다. 안전한 기술을 선택해 금융사고를 방지해야만 은행의 배상책임이 줄어들기 때문이다. 결국 기술 중립적 입장을 취한 외국의 경우가 더 안전한 금융거래를 담보한다는 주장이다.

오픈넷 측은 계좌이체의 경우에도 국내보다 외국이 더 안전하다고 주장한다. 김 교수는 “미국은 실시간 계좌이체가 안되지만, 한국은 실시간 계좌이체 가능하므로 공인인증서 같은 강력한 보안수단이 필요하다는 정부의 주장은 잘못됐다”며 “미국의 경우 ‘페이팔(Paypal)’같은 송금 시스템이 광범위하게 사용되고 있다”고 밝혔다.

페이팔은 1998년에 설립한 미국 ‘이베이’의 자회사로, 만 18세 이상 이용할 수 있는 인터넷 결제 시스템이다. 페이팔을 통해 가상 계좌를 생성하면, 페이팔 계좌 끼리 혹은 신용카드를 이용해 송금, 입금, 청구까지 할 수 있다.

이 서비스가 주목받는 이유는 개인에게 닥칠 ‘보안 문제’를 원천적으로 차단했기 때문이다. 거래가 이뤄지는 과정에서 신용카드 번호나 계좌 번호를 입력하지 않아도 되기 때문에 개인정보 유출 문제에 있어서 비교적 자유롭다. 한 보안업계 관계자는 “‘위험하면 쓰지 않으면 된다’는 원칙을 잘 지킨 셈”이라고 평가했다. 오픈넷 김 교수는 “미국 은행들이 굳이 위험하고 무모한 실시간 계좌이체 서비스를 내놓을 이유가 없는 셈”이라고 말했다.

◇ “오히려 새로운 기술 진입도 힘들게 해”
공인인증서가 가지는 또 다른 문제점은, 너무 오랜 시간 동안 시장을 독점하면서 새로운 기술의 유입조차 막았다는 점이다. 김 교수는 “한국에서는 13년이나 낡은 공인인증서를 마치 신성한 성배인 것 마냥 떠받들었다”고 비판하며 “단순한 복사만 하면 뚫리는 공인인증서에 대한 허상을 깨야 한다”고 말했다.

실제로 외국의 경우 페이팔보다 진화된 ‘구글 월렛’ 서비스가 등장해 금융거래에 대한 신기술들이 계속 제시되고 있다. 구글월렛은 스마트폰을 통해 편리하게 결제할 수 있고, 이메일에 첨부파일을 함께 보내듯이 거래를 할 수 있는 시스템이다. 김 교수는 “기존 공인인증서 관련 업체들의 이권이 달린 문제라 그런지, 우리나라는 이 쪽으로의 발전은 굉장히 더디다”고 지적했다.

오픈넷 측은 이 모든 것을 관리하는 인증기관인 KISA(한국인터넷진흥원)에도 문제가 있다고 지적한다. 김 교수는 “키사는 국내 최상위인증기관이지만, 세계 유수의 인증기관들이 제 3자의 보안감사를 받는데 반해 지금까지 아무것도 받지 않았다”며 “이 때문에 외국 회사인 ‘모질라 재단’이 보안감사 보고서를 보여달라고 했음에도 밝히지 못해 지금껏 보안에 대한 공인된 인증을 못 받고 있는 것”이라 지적했다.

오픈넷 측은 “공인인증서 움직임을 계속적으로 전개할 것”이라 밝혔다. 특히 이번 개정안 발의에 발맞춰 공청회 및 각종 토론회를 통해 국민적 여론을 환기시킨다는 계획이다. 김 교수는 “그동안 공인인증서에 대한 문제가 많이 제기됐지만, 최근 금융사고와 관련해 지금이 적기 아닌가 싶다”며 “늦었지만 최선을 다해 볼 것”이라 말했다.

[ⓒ 토요경제. 무단전재-재배포 금지]