앱스토리

네트워크를 이용한 금전거래가 일어날 때는 거래하는 자가 본인임을 인증하기 위한 수단을 필요로 하게 된다. 어느 플랫폼에서는 ID와 비밀번호만으로, 다른 플랫폼에서는 신용카드 번호로, 또 어떤 플랫폼에서는 휴대전화 인증으로 본인임을 인증하는 내용을 인정하고 있다. 다양한 수단 중에서 우리나라에서 제일 널리 쓰이는 인증수단은 ‘공인인증서’가 될 것이다. ‘공적으로 인정된 인증서’라는 의미의 공인인증서의 시작을 알아보기 위해서는, 먼저 1999년 전자서명법 발효 당시를 돌아볼 필요가 있다.

1999년 7월 전자거래기본법과 전자서명법이 발효됐다. 이 법은 전자문서 인증시대의 개막을 예고한 법이다. 각종 거래 때마다 사용되던 인감, 서명 대신 공인인증기관이 이를 대행할 수 있도록 한 법이었기 때문이다. 이에 맞춰서 동년 7월 5일, 첫 번째 정보공인인증 기관인 ‘한국정보인증’이 출범했다. 삼성SDS, LG전자 등 9개 기관이 공동으로 출자해 만든 이 기업은 출범 후 국내에서 공인인증 시스템을 개발했다. 외국업체의 기술을 종속시키지 않고 국내 산업을 육성할 수 있도록, 그리고 이를 통해 비싼 로열티를 매년 지급하는 걸 피하기 위해서였다.

한국정보인증은 삼성SDS와 공동으로 개발한 사인게이트1(Signgate 1)을 내놓았으며, 2000년 2월 10일 대한민국 첫 번째 인증기관으로 지정을 받았다. 이어서 한국증권전산, 금융결제원이 각각 2호, 3호 인증기관으로 지정받았다. 바야흐로 공인인증서 시대의 개막이었다. 이후 공인인증서는 다양한 네트워크 서비스 분야에서 활용되게 된다. 은행의 인터넷 뱅킹, 이커머스 플랫폼의 결제, 공공기관의 사용자 인증 등 다양한 용도로 공인인증서가 활용됐다. 하지만 시대의 변화에 따라, 익스플로러 환경의 액티브X에서 최적화된 공인인증서는 현재 ‘적폐’로 불리고 있다.

공인인증서는 발급 자체가 번거롭고, 관련 플러그인인 액티브X가 지원되는 웹브라우저에서 원활하게 사용할 수 있는 구조다. 즉 마이크로소프트의 인터넷익스플로러에서만 사용하게 되는 기술일 뿐 아니라, 익스플로러 버전이 바뀔 때마다 사용자들이 곤욕을 겪을 수밖에 없는 기술이기도 하다. 즉, 국내에서는 비교적 점유율이 낮은 맥OS나 익스플로러 외의 다른 브라우저에서는 원활하게 사용할 수 없다는 이야기다. 윈도우OS가 지배적인 OS였을 때에는 그나마 괜찮았다. 하지만 지금은 모바일과 데스크탑 환경을 아우르는 다양한 OS, 브라우저가 국내 이용자들에게도 선택지로 주어진 상황이다. 바뀐 세상에 용법이 한정적인 공인인증서는 도태될 수밖에 없다.

여기에 공인인증서의 근간이 되는 액티브X의 이용도 앞으로는 곤란해졌다. 2020년 1월 14일을 기해 마이크로소프트는 윈도우7, 윈도우 서버 2008, 그리고 인터넷익스플로러의 모든 지원을 중단했다. 예고된 액티브X 시대의 종말을 대비하기 위해 박근혜 정부 시기인 2015년 4월 1일, 미래창조과학부는 2017년까지 주요 사이트에서 액티브X를 제거하는 액티브X 프리 사이트 플랜을 발표했다. 해외 소비자들이 국내에서 물품을 구매할 수 없다는 문제제기, 즉 ‘천송이 코트’ 논란과 함께였다. 하지만 사람들이 기대하던 형식의 변혁은 이뤄지지 못했다. 액티브X 방식이 보다 사용이 까다로운 설치 프로그램 방식(exe)으로 전환된 것에 불과했기 때문이다.

사람들의 불만은 대선에서도 주된 화두가 됐다. 지난 대선에서 각 후보들은 공약으로 공인인증서, 액티브X 폐지를 내걸었고, 이는 지금의 대통령인 문재인 대통령도 마찬가지였다. 하지만 폐지는 쉽게 이뤄지지 못했다. 코로나19 극복을 위한 긴급재난지원금 조회에도 공인인증서가 요구될 정도로, 오랜 시간 공인인증서 폐지는 이뤄지지 못했다. 그렇다고 해서 지금껏 이 화두가 묻혀있기만 했던 것은 아니다. 2018년 9월 과기정통부의 안으로 공인인증서 폐지가 발의되었지만 여야 간 대립 속에 정치권의 관심을 받지 못해 논의가 진전되지 못한 것뿐이었다.

지지부진하던 개정안은 마침내 합의가 이뤄졌다. 여야는 5월 20일 본회의를 열고 민생법안을 처리하기로 합의했는데, 여기에 공인인증서 폐지를 골자로 한 전자서명법 개정안이 상정되고 또 통과된 것이다. 이에 앞서 국회 과학기술정보통신위원회는 5월 7일 전체회의를 열고 전자서명법 개정안을 통과시킨 바 있다. 본 개정안에는 공인인증서의 독점적 지위를 폐지하고, 모든 전자서명에 동일한 효력을 부여하는 것이 내용으로 담겨있다. 또한 전자서명의 신뢰성을 높이고 전자서명인증서비스 선택에 필요한 정보 제공을 위해, 국제적 기준을 고려한 전자서명인증업무 평가, 인정 제도를 도입하는 내용도 함께 실렸다.

현재도 우리나라에서 많은 기업들은 공인인증서가 아닌 ‘사설’인증서를 발급하고 있다. 다수의 금융기관이 자체 사설인증 서비스를 제공하고 있으며, 모바일 메신저 카카오톡 기반의 ‘카카오페이 인증’도 높은 이용률을 보이고 있다. 특히 두각을 나타내는 서비스는 이동통신 3사와 보안기업 ‘아톤’이 모바일 환경에서 제공하고 있는 ‘PASS 인증서’다. PASS 인증서는 휴대폰 번호, 핀, 생체인증으로 간소화한 절차를 내세워, 사설인증서 시장 진출 1년 만에 1,300만 건 이상의 인증서를 발급한 바 있다. 스마트폰 디바이스의 발전을 통해 다양한 생체인증 방식들도 이제 사람들에게는 친숙하다. 앞으로는 생체정보 자체가 인증서로서의 역할을 제대로 수행하게 될 것이다.

정부는 법안 통과 전부터 액티브X를 줄이는 데에 업무역량을 집중하고 있다. 과기부가 조사한 바에 따르면 국내 500대 웹사이트를 대상으로 조사한 결과, 지난 2017년 당시 810개 수준의 액티브X가 작년에는 510여 개로 줄어든 것으로 나타나고 있다. 정부는 내년까지 90%를 없애는 것을 목표로 하고 있다. 공공영역에서는 총 8,059개 웹사이트 중 2,413개에 액티브X를 비롯한 플러그인이 존재하는데, 올해 말까지 1,278개 사이트에서 이를 제거할 것을 상정하고 있다. 작년에는 국세청 홈택스 연말정산, 기상청 기후정보포털, 법제처 국가법령정보 등 776개 웹사이트에서 1,159개의 플러그인이 제거된 바 있다.

액티브X의 제거도 순조롭게 진행되고 있으며, 공인인증서 폐지 이후를 대비한 사설인증서 시장도 어느 정도 대비가 된 모습이다. 국회 본회의 전에 전자서명 서비스를 제공하는 기업들의 주가가 급등하는 모습도 보였다. 그렇다면 과연 법안이 정부의 계획대로 통과가 된 지금부터는, 우리는 과거와는 확연히 달라진 새로운 인터넷 환경을 누릴 수 있을까. 아쉽게도 정부 그리고 관련 기업들이 제시하는 청사진과는 달리, 법안의 폐지가 곧 지금의 인터넷 환경 혁신으로 이어지게 될 것으로는 보이지 않는다는 점이 문제다.

현재 상정된 법안은 공인인증서의 독점적 지위를 폐지한다는 것이지, 공인인증서를 없애겠다는 내용은 아니다. 차별을 없애면서 사설인증서를 공인인증서의 대체수단으로 삼는 서비스도 많아질 테지만, 기존의 공인인증서 체제를 유지하려는 이들도 만만치 않게 많을 것으로 예상된다. 또한 개정안에 따르면 공인 인증영역에서 활용 가능한 인증서를 본인확인기관이 발급한 인증서로 제한하고 있어, 결국 정부부처 및 공공기관은 여전히 기존의 공인인증서를 고집하게 될 것이라는 우려도 있다.

공인인증서는 이미 지난 2015년 의무사용 규정이 폐지됐다. 그러나 폐지 이후에도 공인인증서가 대부분의 금융기관, 공공기관에서 사용되고 있는 데에는 그만한 이유가 있다. 여러 이유 중에서도 가장 큰 이유는 ‘돈’이다. 막대한 예산을 들여 구축해야 할 보안 시스템이 가장 큰 부담인 것이다. 공인인증서가 지금의 지위를 잃게 되더라도, 공인인증서를 이용하고 있는 기관 및 기업은 사설인증서 도입에 소극적일 수밖에 없는 구조다.

공인인증서가 지적을 받는 또 하나의 문제는 금융사고 발생 시의 책임 소지였다. 현재는 금융사고가 발생하더라도 공인인증서 사용을 강제해 놓으면 면책이 가능한 구조를 취하고 있다. 전자금융거래법은 제9조를 통해 ‘사고 발생 시 관련 약정을 미리 체결한 경우에는 책임의 전부 또는 일부를 이용자가 부담’할 수 있도록 규정하고 있다. 많은 이들은 공인인증서 폐지를 통해, 이 책임을 서비스 제공자가 온전히 지게 될 것을 기대했다. 하지만 현재의 개정안은 사설인증서를 도입하는 경우에도 해킹 등에 대한 책임은 여전히 인증서 발행기관이 아닌 개인에게 전가되게 돼 있다. 지금의 개정안은 완벽하지 않으며, 법이 통과된 이후에도 시행 방향을 설정하는 데 주의를 기울여야 하는 구조를 띠고 있다. 그럼에도 불구하고 사설인증서의 확대, 액티브X 퇴출은 사람들을 보다 더 편리하게 만들 것이 분명하다. 이를 위해 걸어가야 할 순탄치 않은 길은 부디 잘 걸을 수 있도록, 많은 이들의 주목과 또 의견 개진이 필요한 시점이다.