온라인 게임업체가 개인 정보보호를 위해 도입한 공인인증서가 실정법을 위반하는 어처구니없는 사태가 발생했다. 게임업체는 그동안 주민등록번호로 본인확인을 했으나 번번이 ID가 도용되거나 유출돼 곤욕을 치른만큼 공인인증서를 도입한 것은 환영할 만하다. 문제는 게임업체가 도입한 공인인증서가 용도가 제한돼 있는 무료 공인인증서라는 점이다. 현재 발급되고 있는 무료 공인인증서는 인터넷뱅킹이나 신용카드 결제 등으로 제한돼 있다. 공인인증서를 용도와 달리 사용하거나 양도·대여할 경우에는 1년 이하 징역 또는 1000만원 이하 벌금이 부과된다.
사실 이번 사태는 우리의 공인인증 체계의 문제점을 적나라하게 드러냈다. 우선 정보보호와 매우 밀접하게 관련돼 있는 온라인 게임사가 전자서명법조차 제대로 몰랐다는 점이다. 이를 제대로 알리고 지도하지 못한 정보보호 당국도 책임을 피할 수 없다. 용도제한용 무료 공인인증서는 지난 2004년 범용 공인인증서를 유료화하면서 만들어졌다. 이때부터 무료 공인인증서의 용도는 분명히 지정돼 있었고 다른 용도로 사용이 제한돼 온만큼 이를 제대로 몰랐다는 것은 이해하기 힘들다.
가장 큰 문제는 바로 공인인증 제도 그 자체에 있다. 공인인증 제도는 디지털 세상에서 하나의 ‘전자 인감’으로 언제, 어디서나 사용할 수 있도록 하기 위해 만들어졌다. 전자 인감을 만들고, 보관하고, 또 필요할 때마다 발급해 주는 데에는 당연히 비용이 든다. 지금의 공인인증 제도는 초기에 사용자의 비용부담을 고려해 무료로 시작됐다. 그러다 유료화를 강행하면서 예외를 두었다. 용도제한용 무료 공인인증서가 바로 그것이다. 엄격하게 따져 보면 용도제한용 무료 공인인증서는 공인인증서로 볼 수 없다. 용도제한용은 인터넷 뱅킹용은 인터넷 뱅킹 시에만,신용카드 결제용은 신용카드 결제 때에만 사용된다. 범국가적 호환성이 없는 것이다. 특정 업계나 분야에서 통용되는 사설 단체인증인 셈이다. 비록 사용자는 무료로 이용하지만 반드시 비용은 발생하고 이 부담을 공동사용 합의체에서 지게 된다. 결국 이번 사태는 위법 여부를 떠나 온라인 게임사가 은행이나 신용카드 업계가 돈을 들여 공동으로 사용하는 인증서에 무임승차한 꼴이다.
공인인증 제도의 원칙을 다시 바로세워야 한다. 공인인증서라는 용어는 범용 공인인증서에만 국한해야 한다. 특정 업계가 소비자를 위해 공동 경비부담으로 무료로 서비스하는 인증서는 ‘용도제한용 공인인증서’가 아닌 이른바 ‘단체인증서’같은 용어로 바꾸는 게 바람직하다. 그래야 용어로 인한 혼동이나 혼란을 막을 수 있다. 공인인증서와 단체인증서가 구별돼 사용돼 왔다면 게임사가 비용갹출이 필요한 단체인증서를 무단으로 이용하는 일은 벌어지지 않았을 것이다.
또 하나 분명히 짚어야 할 것은 용도제한용 무료 공인인증서는 은행·카드·보험·증권 등 금융업체 고객에게만 금융결제원에서 발급한다는 점이다. 유료인 범용 공인인증서에 비해 이용자에게 큰 혜택이 주어지는만큼 이들 단체의 비용분담이 철저히 이뤄져야 합당하다. 만의 하나 범용 공인인증서 시장에서 가장 큰 지배적 사업자인 금용결제원이 여기서 얻은 수익을 특정단체를 위한 무료 서비스에 투입한다면 문제다. 돈을 내고 공인인증서를 사용하는 수많은 이용자에게 그만큼 불이익을 주는 셈이다.
해법은 간단하다. 용도제한용 공인인증서에 대한 비용분담이 확실하다면 온라인 게임사는 별도의 단체인증서를 만들거나 범용 공인인증서를 이용해야 한다. 만약 그렇지 않다면 게임사가 용도제한용 공인인증서를 이용한다 해도 이를 탓할 수는 없다. 이 경우에는 형평성에 어긋나는 법을 다시 고쳐야 한다.