보안에 취약하다 오해받는 건 액티브X 때문
전자서명법 개정안이 최근 정보보호 업계 화두다. 개정안 핵심은 공인인증제도 폐지다. 개정안을 대표 발의한 최재천 의원실은 전자서명법이 공인인증서 사용을 강요해 국민에게 불편을 끼치고 인증·보안 기술의 공정한 경쟁을 저해하기 때문이라고 설명했다. 이용자가 이해하지 못하는 추가 프로그램을 컴퓨터에 설치하도록 강요해 국내 보안 상황이 전반적으로 열악해지는 결과를 초래했다는 것이다.
공인인증서가 보안에 취약하다고 오해받는 건 액티브X 때문이다. 이용자가 이해하지 못하는 추가 프로그램을 설치하도록 강요한다는 것은 액티브X를 두고 하는 말이다. 애초 액티브X는 컴퓨터에 익숙하지 않은 사용자가 프로그램을 편하게 이용할 수 있는 용도로 마이크로소프트가 개발했다. 사실 초기 공인인증서 보급을 활성화하는데 액티브X 만큼 편리한 툴이 없었다. 하지만 해커 등이 불특정 다수의 컴퓨터에 악의적인 목적으로 악성코드 등을 심는 목적으로 액티브X를 활용하는 사례가 늘어나면서 천덕꾸러기가 됐다. 어느새 `공인인증서=액티브X`라는 인식이 저변에 확산되면서 공인인증서가 보안에 취약한 존재로 전락했다. 심지어 개정안을 발의한 의원실조차 이메일을 이용해 보낸 악성코드로 PC를 감염시켜 부팅을 못하게 한 3·20사이버테러 사건을 공인인증서 문제와 같은 맥락으로 오인할 정도다. 중요한 것은 공인인증서와 액티브X는 별개라는 것이다. 해결책은 액티브X를 쓰지 않게 하는 것이다.
인터넷쇼핑몰을 이용하는 많은 사람은 미국 페이팔 서비스처럼 신용카드 번호와 비밀번호 등만 입력해서 사용할 수 있었으면 한다. 그런데 국내에서도 인터넷쇼핑몰에서 공인인증서 없이 신용카드와 비밀번호 등만으로 사용할 수 있다. ISP안전결제·안심결제 등도 있다.
일각에선 전자서명법이 공인인증서를 강제했다는 주장이 있지만 전자서명법 어디에도 그런 조항은 없다. 전자서명법은 공인인증서에 기초한 공인전자서명과 전자서명의 법적효력을 구분하고 있고 계약 당사자는 공인전자서명과 전자서명을 자유롭게 선택할 수 있게 했다.
루트인증기관인 인터넷진흥원(KISA)을 검증할 독립된 제 3의 전문기관이 필요하다는 주장도 있다. KISA를 검증할 제 3의 전문기관을 둔다는 것은 옥상 옥을 만드는 것이나 마찬가지다. KISA에 문제가 있으면 KISA를 개선하면 될 일이다. 더욱이 정부 루트인증기관을 부정하면 제 3의 전문기관의 기술력과 전문성은 어디서 검증 받아야 할까. 정부를 신뢰하지 못한다면 외국에 검증을 맡겨야 하는 것인지 궁금하다.
개정안은 `공인`이라는 말과 공인전자서명의 법적효력 부분을 삭제했다. 공인인증기관도 `공인`이라는 기득권을 떼고 사설인증기관과 공정하게 경쟁하면서 인증·보안 기술을 제고하자는 취지다. 일정 기준을 만족하면 인증기관으로 인정한다고 한다. 그런데 일정 기준이 문제다. 지금도 공인인증기관이 되려면 자본금 80억원을 비롯해 정부가 고시하는 각종 설비와 인원 등을 갖춰야 한다. 루트인증기관도 못 믿는 판에 인증기관이 되려면 적어도 지금의 공인인증기관 자격 요건보다는 엄격해야 하는 것 아닌지 싶다.
전자서명법 개정안은 지난 22일 예정된 법안심사소위에 올라가지 못했다. 국회가 더 중요한 다른 법 처리를 위해 상정을 미룬 것으로 보인다. 공인인증제도를 둘러싼 찬반 대립은 갈수록 점입가경이다. 개정안이 통과돼 공인인증제도가 없어지면 엄청난 사회적 혼란이 야기된다. 당장 제도를 없애기보다 공인인증과 사설인증이 공존하는 선에서 개선을 꾀하는 방향으로 생각할 필요가 있다. 해킹에 의한 탈취 등으로부터 공인인증서를 안전하게 지킬 수 있는 기술 개발하고 2채널 인증 등으로 보안성을 높이는 방향으로 가야하는 것 아닌지 싶다.
주문정 논설위원 mjjoo@etnews.com