액티브X 프레임에 갇힌 `공인인증서`, 정말 철폐 대상일까?

공인인증서가 대선 정국 핵심 이슈로 부상했다. 유력 대권 주자인 문재인 전 더불어민주당 대표가 정보통신기술(ICT) 규제를 네거티브 방식으로 전환한다며 공인인증서와 액티브X 완전 폐지를 공약으로 내걸었다. 각종 온라인 금융서비스나 전자결제, 공공기관 사이트 등을 이용하며 고통 받던 많은 이용자가 환호했다.

보안 전문가를 비롯한 IT업계에서는 우려를 표한다. 불필요한 규제를 청산하고 이용자 편의성을 높인다는 정책 방향성에는 공감한다. 동시에 기술에 대한 정확한 인식이 요구된다.

Photo Image
문재인 전 더불어민주당 대표는 2일 구로디지털단지에서 열린 ICT 현장 리더 간담회에서 공인인증서와 액티브엑스를 완전 폐지하겠다고 밝혔다.

정부가 사용하지 말라고 권고한 액티브X와 폐지가 거론되는 공인인증서는 적용분야가 다른 기술이다. 공인인증서는 액티브X처럼 쉽게 사용을 폐지할 수 있는 기술이 아니다. 이용자가 불편을 겪는 이유 역시 공인인증서가 아닌 `실행파일(.exe) 설치` 때문이다. 인터넷 환경에서 불편함 대명사로 지목된 공인인증서에 대한 정확한 이해가 요구된다.

◇공인인증서가 불편을 초래하나?

국내 대다수 금융·공공기관 사이트와 온라인 결제 시스템에서 공인인증서 사용은 인내를 요한다. 사이트에 접속하면 보안 프로그램 설치를 요구하고 인터넷 브라우저 재시작이 반복된다. 다른 사이트에 접속하면 똑같은 프로그램이 설치된다.

불편함의 원인은 공인인증서 자체에 있지 않다. 문제 근원은 액티브X나 실행파일 설치 등 웹브라우저 플러그인에 있다. 공인인증서 제도 자체를 폐지하더라도 이를 해소하지 않는다면 불편함은 이어진다. 대부분 이용 환경은 액티브X 못지않게 불편한 실행파일 설치 방식이다.

Photo Image
금융권 보안 프로그램
Photo Image
은행 사이트에 접속하면 여전히 각종 보안 프로그램 설치를 요구한다.

정부도 이를 인식하고 액티브X, 실행파일 설치 없는 논플러그인 방식 공인인증서 활용 기술을 권고했다. 한국인터넷진흥원(KISA)은 관련 가이드라인을 만들어 금융권에 배포했다. 금융사가 해당 기술을 선택해 웹사이트에 적용하면 당장이라도 번거로운 보안프로그램 설치 없이 온라인 금융 서비스 이용이 가능하다.

Photo Image
별도 보안 프로그램 설치를 요구하지 않는 국민은행 `브라우저인증서 로그인`

실 사례가 있다. 국민은행이 홈페이지에 적용한 `브라우저인증서 로그인`이 대표적이다. 자바 기술을 바탕으로 웹브라우저에 공인인증서를 한번 저장해두면 별도 보안 프로그램 설치 없이 금융 서비스를 이용한다. 인터넷익스플로러뿐만 아니라 크롬 등 다양한 브라우저에 대응한다.

지문, 홍채 등 생체인식 기술과 접목해 공인인증서 비밀번호를 대체, 편의성을 높인 사례도 있다. 우리은행이 모바일 앱에 적용한 `생체 기반 공인인증서`다. FIDO 기술과 연계해 생체인증 정보와 공인인증서를 활용한 모바일 뱅킹 서비스를 제공한다.

◇정부, 공인인증서 사용 강제하지 않아

온라인 환경에서 본인확인은 공인인증서 외에도 아이디·비밀번호나 아이핀, 문자메시지 인증(SMS), 생체인증 등 다양한 수단으로 가능하다. 다만 본인확인이 아닌 `전자서명` 역할은 아직까지 공개키기반구조(PKI)로 작동하는 공인인증서를 대체할 기술이 없다. 전 세계 대부분 나라가 준용하는 UN 전자서명 모델법에서 제시한 요건을 충족하는 기술이 바로 `PKI`다.

Photo Image
공개키기반구조(PKI) 기술 기반 전자서명 기술 기본 구조

미국, 유럽, 중국 등 해외에서도 공적 분야에는 공인인증서와 유사한 PKI 전자서명제도를 운영 중이다. 민간 영역에서도 구글이 웹사이트 보안에 요구하는 암호화통신(SSL) 인증서나 애플페이, 구글 안드로이드페이 등 최신 핀테크 기술에 PKI가 기반 기술로 적용됐다.

정부가 한 가지 인증방식을 강제한다는 오해는 전자서명이 필요 없는 단순 본인확인 용도까지 공인인증서를 남용하는 관행에서 비롯했다. 다양한 본인확인 기술 등장이 어려워지고 사용자 피로감이 누적된 배경이다.

Photo Image
ⓒ게티이미지뱅크

전자서명법 제18조 2 `본인확인` 규정에서 공인인증서를 본인확인 용도로 활용할 수 있다고 명시한 대목이 논란의 씨앗이다. 해석에 따라 공인인증서 활용을 강제한다고 받아들여진다. 오픈넷 등 시민단체도 완전 자율 경쟁을 위해 이에 대한 법 개정 필요성을 제기한다.

정부는 법령을 확대해석한 오해라고 설명한다. KISA에서는 별도 회원가입 없이도 아이디·비밀번호와 같은 본인확인 용도로 공인인증서도 사용토록 허용하는 근거조항일 뿐이라고 해명했다. 해당 조항을 삭제하면 전자민원 발급이나 연말정산 등에 공인인증서를 사용하지 못해 이용자 개별로 추가 불편과 비용 부담이 발생할 수 있다.

국내 공인인증기관은 다섯 곳이다. 일정 기준을 충족하면 누구나 신청해 공인인증기관 역할을 수행할 수 있다. 정부에서는 자격요건이 맞는지 여부를 심사하고 관리·감독한다.

공공을 제외하고 민간 금융사에서는 자율적 선택에 따라 국내 공인인증기관이 발급한 공인인증서가 아닌 사설 인증서나 해외 인증서를 사용할 수 있다. 다만 사용자가 보편적으로 통용되는 공인인증서 외에 각 업체에서만 사용되는 별도 인증서를 추가 발급·관리하는 부담이 있다.

◇세계 각국 공인인증서 도입

공인인증서는 공개키 암호알고리즘 운영 기반 국제 표준(ITU-X.509) 기술이다. 인증서를 발급·운영하는 기반 제도 자체가 인증체계다. 전자문서 기반 전자상거래 활성화를 위해 해외 대부분 국가가 채택·운영한다. 때문에 이를 두고 세계 어디에도 없는 `갈라파고스` 규제라는 지적은 확대해석이다.

Photo Image
해외 공인인증서 이용 사례

해외에서는 인증제도를 강화하는 추세다. 유럽연합(EU)은 지난해 7월 전자서명 관련법을 전면 도입해 공공, 금융분야에 공인인증서 사용을 시작했다. 유럽 중앙은행은 2013년 PKI 구축 필요성을 제기하고 시스템을 운영 중이다. 중국은 지난해 7월부터 비은행계 지급 수단에 대해 5000위안 이상 금액을 이체할 시 공인인증서 사용을 의무화했다. 알리페이 등 새롭게 등장한 결제 수단이 대상이다. 지난해까지 중국 내에서 발급된 공인인증서 규모는 3억5000만장에 이른다.

일본도 지난해 우리나라 주민등록증과 유사한 마이넘버카드 도입을 계기로 공공서비스, 금융결제 등에 공인인증서(JPKI) 사용을 본격화했다. EU에 속한 에스토니아는 전자주민증을 이용해 공공과 각종 금융 서비스에 공인인증서를 보편적으로 사용한다. 개별 금융 차원에서 공인인증서 활용 서비스를 늘려간다.

미국은 정부, 공공기관 관련 전자 업무 처리 시 우리와 동일한 공인인증서 체계를 사용한다. 민간 영역에는 정부가 관여하지 않는다. 사고가 발생하면 기업에 큰 책임을 물린다. 사용자 단에서 인증절차를 간소화한 대신 부정거래탐지시스템(FDS)을 강화하는 추세다.

사용자단 인증을 강화하는 공인인증서 방식과 미국 방식 중 어떤 쪽이 우위라는 판단을 내리기는 어렵다. 단 국내에 미국과 같은 이용환경을 조성하기 위해서는 배상책임 문제와 신뢰성 높은 FDS 고도화 체계가 선결돼야 한다.

◇공인인증서 대체기술은?

금융권에서는 비트코인 기반 기술인 블록체인(분산 데이터 처리 기술)이 주목받으면서 공인인증서를 대체할 `신무기`로 관심을 모은다. 은행권 블록체인 컨소시엄, 금융투자협회 블록체인 기반 공동인증서 등 관련 사업이 진행되면서 블록체인을 적용하면 공인인증서가 필요 없다는 인식이 확대된다.

Photo Image

블록체인은 거래 내역 등 지속 생성되는 정보를 블록 단위로 만들어 순서대로 연결해 저장하는 기술이다. 해킹이나 데이터 조작으로 인한 위변조 예방에는 효과적이지만 블록체인 자체는 사용자를 확인하는 기술이 없다. 결국 블록체인을 활용하더라도 사설인증서(PKI)나 생체인증을 결합해야 한다. 은행권 컨소시엄이나 금융투자협회 컨소시엄 모두 공인인증서를 함께 사용하거나 이용 방식을 그대로 따른다. 공인인증서를 퇴출했다는 각종 간편결제 서비스와 생체인증 기술 역시 상당 수 공인인증서와 동일한 기반 기술이 적용됐다.


 

<공인인증서 관련 정책 추진 경과>

공인인증서 관련 정책 추진 경과

박정은기자 jepark@etnews.com


브랜드 뉴스룸