지난 2000년 도입된 공인인증서는 이제 우리 생활 깊숙이 자리잡았다. 온라인 쇼핑, 주택 청약 등 이제 공인인증서 없인 그 어떤 온라인 상거래도 어렵게 됐다. 이용자도 1500만명을 넘어 1인 1공인인증서 시대를 예고하고 있다. 전자신문은 한국커머스넷, 한국정보사회진흥원과 함께 지난 29일 서울 소공동 웨스틴조선호텔에서 전문가들을 초청, ‘웹2.0 시대의 생활 공인인증에 대한 과제’를 진단하는 ‘제43차 e Biz클럽 토론회’를 마련했다.
참석자
권용현 정통부 소프트웨어협력진흥팀장
류한석 소프트뱅크코리아 연구소장
백영란 한국소프트웨어진흥원 팀장
이석래 한국정보보호진흥원(KISA) 전자인증팀장
이창희 이니텍 연구소장(가나다 순)
사회: 이준기 연세대학교 정보대학원 교수
◇사회(이준기 연세대 교수)=공인인증 사용자가 1500만명을 돌파했다. 성공이다. 하지만, 웹 접근성과 보안 등 아직 문제가 많다. 오늘 토론은 ‘공인인증이 나아가야 할 방향’에 집중될 것이다.
◇백영란(한국소프트웨어진흥원 팀장)=온라인 쇼핑몰 덕에 공인인증제가 확실히 정착됐다. 이제 한 단계 업그레이드 해야 할 때다. 한국 공인인증은 PKI 기반 체계가 대세지만 트렌드에 맞춰 새로운 인증 체계도 고민해야 한다. 공인인증제도 관련 법과 담당 기관 정리도 필요한 시점이다.
◇사회=인증의 다양성을 확보해야 한다는 것은 동감이다. 이 점에서 민간 자율을 높이는 방향으로 가야 한다는 지적이 있다.
◇류한석(소프트뱅크코리아 연구소장)=대부분 금융기관은 공인인증과 함께 파이어월 등 보완재를 더해 해킹에 대비하고 있다. 이럴 경우 접근성에 문제가 생긴다. 옵션이 있으면 좋겠다. 보안 인증을 3단계로 구분하고 각 단계 별로 이용자가 책임지게 하는 것도 방법이다. 일회용비밀번호(OTP) 보다는 하드웨어보안모듈(HSM)을 이용하는 방안을 강구해야 한다. HSM이 오히려 실용성 측면에서 더 나아보인다. HSM은 저장장치로도 이용이 가능하기 때문이다.
◇이석래(한국정보보호진흥원 팀장)=OTP는 인증 수단이고 HSM은 공인인증서를 넣어다니는 공간이라는 측면에서 접근할 필요가 있다. 현재 금융 당국은 어느 정도 자율성을 갖고 있다. 거래 금액에 따라 3등급으로 나누고 있다. 예를 들어 ‘거래액 1억원 이상이면 OTP나 HSM 써라’ 하는 식이다. 물론 아직 해결해야 할 부분이 많다.
◇사회=공인인증이 없는 거래도 경우에 따라 허용해야 한다는 이야기인가?
◇류한석=물론 그건 아니다. 하지만, 파워 유저에겐 보다 낮은 보안 등급을 허용하는 등 이용자가 옵션을 선택할 수 있게 해야 한다. 장애인에게 웹 접근성을 확보해주는 것처럼 말이다.
◇이석래=현재 상거래 시 보안카드 등 각종 인증 수단을 사용하지 않는 곳도 있다. 보안은 향후 해당 기관이 결정해야하는 문제라고 본다. 물론 법률 등 기반이 조성돼야 하겠지만 경우에 따라 아이디(ID)·패스워드·지문인식 등을 인증에 사용할 수도 있다.
◇사회=인증은 진흥원이 가장 신경을 많이 쓰는 부분으로 알고 있다. 앞으로 어떤 점을 개선하는 데 주안을 두고 있나.
◇이석래=제도·시스템·시장 등 3가지다. 제도의 경우 민간과 정부 역할을 구분하는 쪽으로 방향을 잡고 있다. 시스템도 MS와 비MS 둘 다 허용하는 등 개방을 기본으로 정책을 짜고 있다. 시장이 문제인데 주체(기업)가 어떤 플랫폼을 요구하느냐가 관건이 될 것이다.
◇권용현(정통부 소프트웨어협력진흥팀장)=특정 시스템을 강제하면 다른 기술은 사장될 수밖에 없다. 그래서 정통부는 공인인증에 대한 가이드라인만 잡아주고 있다.
◇이창희(이니텍 연구소장)=현행 공인인증의 문제점은 ‘체계’의 오류라기 보다는 ‘구현’의 잘못이라고 본다. 어떤 공인인증 체계라도 웹 접근성을 고려해 구현한다면 문제가 없을 것으로 본다. 구현에는 자율과 개방이 전제돼야 한다.
◇사회=공인인증에 대한 정부 규제가 너무 심하다는 지적이 나온다. 예를 들어 공인 인증을 하드웨어 등 특정 매체로 지정해 의무화한 것은 개방화 시대에 맞지 않다는 반론도 있다.
◇이석래=전자금융 거래의 기본은 피해 방지다. 사용 편의를 위해 인증을 완화하자는 주장도 있지만 한번 실수는 회복될 수 없다. 에스토니아는 해킹 한번으로 국가 금융 시스템이 완전 붕괴됐다. 규제가 다소 덜한 외국 사례를 드는 사람도 있는데 알려진 것과는 약간 다르다. 미국은 개인 수표를 쓰는 경우가 많고 일부 국가는 인터넷뱅킹 비중이 낮다. 많은 차이점이 있다.
◇백영란=우리나라는 금융기관에 대한 규제가 너무 많다. 금융기관의 책임은 당연하지만 도를 넘는 규제는 오히려 시장을 해친다. 지나치게 보안을 강화하는 금융기관 사례를 봐도 알 수 있지 않는가? 많은 의무 사항이 존재한다는 것도 접근성에 문제지만 각종 보안 프로그램이 자동 설치되는 것도 해결해야 할 것으로 본다. 설치와 관련해선 최소한이 동의를 거쳐야 한다. 이것이 바로 세계 표준이다.
◇사회=보안을 강화하면서 접근성을 확대할 수 있는 방안은 없겠나?
◇이석래=보안(인증)과 접근성이라는 건 양날의 칼이지만 해결 안될 사안은 아니다. 실제 인증이 웹 접근성을 막는다고 볼 순 없다. 이건 제도가 아닌 시장이 결정할 문제다.
◇이창희=인증을 강화하면서도 접근성을 높일 수 있는 가장 좋은 방법은 오픈소스에 대한 진입 장벽을 낮추는 것이다. 현재 이런 지원이 없다. 그래서 문제가 생기는 것이다.
◇사회=한국 공인인증 체계를 한 단계 발전시키기 위해 해결해야 할 점을 지적해달라.
◇류한석(소프트뱅크코리아 연구소장)=전자상거래는 글로벌 트렌드에 맞춰 고쳐져야 한다. 외국은 물건 구매시 신용카드 번호만 입력하면 거래가 성립된다. 우리는 액티브X를 사용해야 하고 30만원 이상 구매시 공인인증서를 사용해야하는 등 접근성이 많이 떨어진다.
◇이창희=새로운 환경에 적응하기 위해선 현행 공인인증서보다 더 효과적인 기술이 있다면 이를 빠르게 적용할 수 있도록 제도를 개선해야 한다.
◇권용현=글로벌 스탠더드에 맞는 인증 체계를 위해선 정부와 시장이 머리를 맞대고 논의해야 한다. 보안은 가장 낮은 수준에서 가장 효과적인 결과를 낳게 하는 것이 이상적이다.
◇백영란=시장 관점에서 보면 의외로 쉽게 풀릴 수 있다. e베이 등 외국 쇼핑몰의 경우 전 세계인에게 오픈돼 있다. 한국인들도 e베이에서 물건을 많이 산다. 인증을 글로벌 환경에서 경쟁력 있는 개방형 시스템으로 표준화하면 접근성도 개선될 것으로 본다.
◇사회=오늘 토론에선 인터넷 개인 보호와 관련된 다양한 논의가 나왔다. 다들 이제 새로운 인증 시스템이 나와야 할 때라는 것에는 동감하는 것 같다. 대승적인 차원의 양보와 협조가 필요한 시점이라고 본다.
정리=황지혜기자@전자신문, gotit@
◆발제-우리나라 공인인증의 문제점
: 백영란 한국소프트웨어진흥원 팀장
우리나라 전자공인인증의 역사는 지난 99년으로 거슬러 올라간다. 국제적으로 공개키기반구조(PKI) 기반 전자서명 바람이 불던 당시 우리나라도 ‘전자서명법’을 통해 온라인 공인인증을 도입했다.
공인인증 수용은 단계적으로 이뤄졌다. 2000년 인터넷뱅킹, 전자조달 등에 처음 쓰였고 2001년과 2002년엔 온라인 증권거래까지 영역이 확대됐다. 이후 정부는 주택청약, 국세청 연말 정산 서비스(2006년)에 전자공인인증을 허용, 현재는 금전 거래와 관련한 거의 모든 영역에 공인인증 사용이 의무화됐다.
이런 노력으로 공인인증은 빠르게 자리 잡았다. 현재 공인인증 서비스 가입자는 전체 인구의 3분의 1 수준인 1500여만명에 이른다. 그러나 도입 7년이 지난 지금, 단기 성장에 따른 ‘후유증’이 나타나고 있다. 첫째는 운용체계(OS) 문제다. 과거 90% 이상의 공인인증이 MS 윈도 기반으로 개발됐다. 리눅스 등 여타 OS에서 작동되지 않는다는 의미다.
오픈 웹 환경에서 가장 중요한 ‘표준’도 해결해야 할 문제점으로 지적된다. 정부도 행자부 행정전자서명(GPKI), 정통부 공인전자서명(NPKI) 등으로 나뉜 상태다. 한·미 FTA는 거래 인증 방법을 상호 간 임의로 결정하는 것을 금지하고 있어 표준 문제는 더 이상 미룰 수 없다.
PKI 기반 인증 논란도 거세다. 우리나라가 표준으로 삼은 PKI가 중요한 기술이지만 널리 사용되는 것은 아니기 때문이다. 사용자 편의를 위해 PKI만을 고집한다면 국제 흐름에 뒤질 수 있다는 반론이 제기되고 있다. PKI 외에 바이오·ID·패스워드 등 다양한 인증 기술이 상용화 돼 있다. 그렇다면 정부의 역할은 무엇인가? 물론 전자서명 방법과 기술 표준을 선택하는 것은 민간의 몫이다. 하지만 정부는 이런 사회적 합의에 도달할 수 있도록 기준을 제시해야 한다. 민간의 자발성과 정부의 책임감이 기술 발전을 이끈다.