![[스마트폰 보안 좌담회] "공인인증서 전자결제 `溫故知新`의 미학 되새길때"](https://img.etnews.com/photonews/1003/100323084349_1584840974_b.jpg)
업계는 2010년 정보기술(IT) 분야에서 최고 이슈이자 새로운 도전과 기회로 스마트폰에 집중하고 있다. 특히 그동안 잠재돼 있던 모바일 비즈니스의 폭발력은 가공할만하다. 산업 지도 재편을 넘어, 수십년에서 수백년간 유지되던 기업간의 석차도 바뀌고 있다. 그러나 업계가 스마트폰 비즈니스를 펼치기 전에 다양한 걸림돌도 등장하고 있다. 대표적인 사례가 전자 결제다. 스마트폰에서 공인인증서를 반드시 사용하도록 한 정부 정책에 대한 다양한 의견이 나오고 있다. 애플리케이션 개발을 저해한다는, 모바일비즈니스의 핵심인 금융결제시스템의 발전을 막는다는 지적도 나온다. 공인인증서를 스마트폰에 적용하기는 현실적으로 불편하고 어렵다는 사용자 불만도 이어지고 있다. 전자신문은 이에따라 전자결제와 관련 공인인증서 사용 의무화에 대한 해결 과제와 대안을 모색하기 위한 긴급좌담회를 개최했다.
◇ 참석자
김기창 고려대학교 교수
류한석 IT기업호민관
박광춘 한국정보인증상무
장영환 행정안전부 정보보호정책과장
최운호 박사(사이버테러전문가)
(이상 가나다순)
◇사회 = 안수민 전자신문 보안팀 팀장
◇사회(안수민 전자신문 보안팀장)=이 자리는 스마트폰 전후방 산업 활성화를 위해 산업계 의견을 청취하고 정부의 정책 방향을 들어보기 위해 마련됐다. 현행 공인인증서가 전자결제에서 사용시 어려움이 있다는 지적과 산업발전을 저해한다는 등의 문제점도 지속적으로 제기하고 있다. 스마트폰 기반의 전자 결제서비스가 확산되기 위한 합리적인 방안은 무엇인지 의견을 도출해보자.
◇장영환 행안부 정보보호정책과 과장=우선 최근 행안부에서 언론에 브리핑한 이유는 스마트폰에서 전자 결제가 안된다는 논조의 기사가 연일 언론 지상에 발표되고 있었기 때문이다. 다만, 특정사의 액티브X 기반을 이용해 공인인증 서비스를 제공하고 있어 다른 웹브라우저에서 사용이 어려운 것은 사실이지만 이를 개선해나갈 계획이다.
정부는 스마트폰에서 전자결제의 도입이 늦어지는 이유가 공인인증서 때문이라고 생각하지 않는다. 스마트폰에서 공인인증서 사용을 위한 별도의 결제프로그램도 개발했다. 스마트폰에서 공인인증서 사용에는 아무런 문제가 없다. 또한 스마트폰에서 SSL이나 OTP에 대한 사용을 정부가 막고 있는 것도 아니다.
◇김기창 고려대 교수=근본적인 문제를 지적하자면 국가가 공인인증서란 특정 기술만을 고집해서 국민에게 사용하게 한다는 것은 산업 경쟁력을 약화시키는 원인이다. 가장 큰 피해를 보는 것은 사용자다. 정부가 공인인증서 사용을 강제하는 것에 대해 납득하기 어렵다. 전자서명법 어디에도 전자 금융거래에서 전자서명을 반드시 사용해야한다는 규정이 없다.
◇류한석 IT호민관=현재는 스마트폰 뿐만 아니라 애플의 아이패드, IPTV 등 다양한 서비스·플랫폼 위에서 여러 가지 서비스를 제공해야하는 상황이다. 시대가 바뀌면 새로운 서비스가 나와야한다. 과거에는 공인인증서가 최선의 방법이었다 해도 신규 기술이 계속 출현하는 상황에선 새로운 서비스가 이를 뒷받침해줘야한다. 공인인증서 사용에 대해 시간을 두고 재검토해야할 것이다.
◇박광춘 한국정보인증 상무=공인인증서비스를 국내 1호로 지정받아 쓰고 있는 기관의 대표로서 그간 공인인증서는 개인공인인증서의 발급이 2000만건을 넘어가며 20여년간 서비스해온 역사가 있다. 현재와 같은 스마트폰의 출현과 급격한 발전은 누구도 예상치 못했고 준비가 미흡했다는 점도 인정한다. 하지만 그간 사용해왔던 공인인증서의 모든 것을 버리고 새로운 것을 받아들이자는 것은 문제가 있다. 공인인증서 장점들도 생각해봐야한다.
금융기관에서는 개인들이 본인의 귀책사유가 아닐시 공인인증기관 및 해당 금융기관에서 일정 부분 책임을 지기 때문에 공인인증서 사용은 일종의 금융거래상의 보험이라고도 생각할 수 있다. 실제 개인사용자가 보상을 받은 사례도 있다.
◇최운호 사이테러전문가=미국에서 가장 한국을 가장 부러워하는 법이 전자서명보호법과 정보통신보호기반법이다. 국내 금융권의 하루 평균 해킹시도건수가 5억건이 넘어가는 현실에서 SSL이든 공인인증서든 안전한 금융거래를 위한 방안을 모색해야한다.
은행에만 약 5000여대의 서버가 투자돼있고 그간 누적투자금액이 연평균 400∼500억원이며 2조원 이상의 투자가 들어간 현 시점에서 그간의 투자를 완전히 버리고 새로운 투자로 이행하는 것은 낭비다. 기존의 과오만을 문제삼지말고 기존 투자를 업그레이드한다는 생각도 필요하다.
◇사회=공인인증서가 전자서명에서 안전성을 담보한다면 그 이유는 무엇인가, 반대로 안정성을 담보할 수 없다면 그 이유는 무엇인지 말씀해달라.
◇장영환=정부가 공인인증서를 필요로 하는 이유는 거래에 대한 기록이 남아야하고 신분확인이 필요하기 때문이다. 법 제도상 공인인증서를 통해 거래를 인정할 수 있는 안전한 거래를 보장해야 전자 금융거래에서 전 국민의 안전을 지킬 수 있다.
전체적으로 유기적인 체제가 안정화돼야 한다고 본다. 서비스를 이용하는 국민들이 다른 보안 기술에 대한 인식하는 자세도 필요하다. 기술만의 검증이 아니라 기술과 제도의 종합적인 검증을 통해 국민들의 안전을 담보해야한다. 100가지 방법과 기술들을 모두 쓰게 해줘야하겠는가? 혼란이 와서 오히려 발전이 아니라 역행할 가능성이 높다.
◇김기창=전자서명법에는 공인인증서의 사용을 강제하는 규정이 없다. 행안부가 법의 취지를 해석해 필요하다고 하는 것은 월권이다. 표준이라는 개념은 획일화와 엄밀히 구분된다. 인터넷 기술에서 표준이라는 것은 호환성을 유지하기 위해서이지 똑같은 기술로 똑같이 적용한다면 호환성이라는 말이 필요없다.
같은 기술로 통일하게 하는 것이 아니라 다른 방식으로 서비스하고 싶은 사업자가 있다면 적용하게 해달라는 의미다.
또 현행 공인인증서는 쉽게 유출된다는 약점이 있다. 공인인증서가 유출되고 나서 다른 사람이 사용했는 지 본인이 사용했는 지를 증명할 방법이 없는 데 신분확인을 위해 필요하다는 말은 어불성설이다. 공인인증서와 함께 다른 보조적인 방법을 사용해서 보다 안전한 확인을 수행해야한다.
◇장영환=전자상거래를 수행함에 있어 공인인증서는 다수를 보호하기위한 기술적 장치다. 인감과 같은 공인인증서를 보호하기 위해 보안토큰·보안카드 등 보다 안전한 저장 방식을 지원하는 것이 아닌가. 인감 자체(공인인증서)를 무용지물이라고 치부해선 안된다.
◇최운호=키보드 해킹 문제가 발생해 새로운 기술인 OTP 등을 적용했다. 이처럼 기존 보안카드 유출 문제점을 인식해 OTP를 도입한 것처럼 공인인증서 자체는 안전한 제도지만 보완적인 요소가 분명 필요하다. 현행 공인인증서의 보안성을 강화시켜 나가야한다는 방향으로 의견을 모아야한다.
◇김기창=사용자 중심으로 완전히 새로운 서비스로 바꿔달라는 게 아니다. 다른 서비스를 할 준비가 되어있고 제공할 수 있는 사업자라면 새로운 서비스를 제공할 수 있도록 법과 제도를 열어달라는 뜻이다.
◇사회=SSL 방식이 국내 공인인증서를 대체하는 기술이 될 수 있는 가. 또 SSL 방식이 대체할 수 없다면 그 이유는 뭔지 말씀해달라.
◇김기창=SSL 방식은 현존하는 기술 중 서버의 동일성(identity)을 가장 효과적으로 확인할 수 있는 방법이다. 하지만 지난 20여년간 우리가 사용한 공인인증서는 서버의 동일성을 증명할 방법이 없다. 공인인증서 등 특정 기술을 강제하는 것은 바젤 원칙에도 어긋나고 국내 공인인증서 방식이 SSL보다 탁월한 것도 아니다. 피싱이나 중간자 해킹에도 취약하다. 서버의 동일성을 인정하지 않는 공인인증서는 이해할 수 없는 기술이다.
◇박광춘=거듭 주장하지만 인증서는 인증 기관이라는 곳에서 이용자 잘못이 아닌 경우 인증기관이 배상해준다는 보험과 같은 거다. 다양한 사례를 통해 SSL이 유리한지 인증서가 유리한지 고려해봐야 한다.
◇최운호=SSL 자체는 탁월하다. 하지만 SSL도 해킹을 당한다면 사고가 발생할 수 있다. 김 교수가 서버의 동일성에 대해 이야기했는데 해킹해가서 해커가 나인척한다면 동일성은 소용이 없다.
◇김기창=SSL이 스푸핑 등 여러 사이버 공격에 약했던 것은 사실이다. 하지만 현재 3.0 버전에서 SSL 서버가 인증서를 가로채면 웹 브라우저에서 경고가 뜬다. 기술이 발전됐고 SSL도 발전됐다는 점을 고려해야한다.
◇류한석=보안 기술에 있어 완벽한 것은 없다. 여러 가지 보안기술을 조합해서 안전을 기해야하고 새로운 기술이 나오면 다시 첨가해야한다. 기술보다는 왜 스마트폰에서 공인인증서가 반드시 필요한지 이런 논란이 사회적으로 극대화되고 있는지를 곰곰히 생각해보자. 기존 시스템을 교체해서 발생되는 비용과 신규 시스템을 도입했을때의 투자 등 더 합리적인 방언에 대해 고민해보자. 분명한 것은 공인인증서를 존속하든 보완하든 국민들은 납득할만한 대안을 바라고 있다는 점이다.
◇장영환=현재 쓰고 있는 국민들은 99% 불편하지 않다고 말한다. 기존 시스템을 흔들었을때 불편이 초래한다면 누가 책임을 질 수 있겠는가?
◇김기창=모두 뒤집자는 것이 아니다. 공인인증서를 발급받은 90% 이상 사람들은 그대로 기존 제도를 쓰면 된다. 단, 몇 %의 다른 방식을 쓰고 싶은 사람들은 다른 방식을 쓸 수 있도록 정부가 허용해달라는 것이다.
◇류한석=다양한 표준에 둘러싸여 살고있는 해외의 사례를 보면 기술이나 정책의 민주적인 상황이 매우 부럽다. 해킹시도와 부작용에 문제가 생긴다고 해도 자유로운 사용자에게 선택을 주었으면 한다.
◇최운호=전자 결제 안전을 위해 정부가 선택한 것이 공인인증서다. 해외에서 우리 공인인증제도를 부러워하는 측면도 크다. 우리나라의 공인인증서 제도가 바로 사례이고 선례인 데 우리의 장점은 생각하지 않고 해외 사례만 들어 부러워하는 자세도 새삼 다시 생각해봐야한다.
◇사회자=기존 공인인증서외에 선택적으로 SSL 등 웹표준을 따르는 보안 기술을 금융기관에 허용해 선택의 폭을 넓혀 줘야 하는지, 공인인증서를 계속 고집해야 하는지 결론을 모아달라.
◇김기창=서비스 제공자들의 다양한 판단과 합리적인 결정들이 정부 규정때문에 시장에 들어갈 수 있는 기회를 박탈당하는 것은 말이 되지 않는다. 누구나 어떤 기술이든 자유롭게 시장에 들어올 수 있는 기회를 줘야한다. 정부에서 최선의 판단을 내리려고 노력한다는 것은 인정하겠지만 자유롭고 혁신적인 판단을 하려는 사업자·사용자의 자유를 가로막지 말아달라.
◇장영환=전 국민을 대상으로 서비스를 제공하는 입장에서 수없는 검증을 거쳐 서비스를 배포한다. 공인인증서가 스마트폰의 결제 서비스 발전을 저해하고 있다는 주장은 납득할 수 없다. OTP 사용 역시 발급 비용 부담 등을 누가 감당하고 있는 가. 금융기관의 부담이다.
◇김기창=OTP·SSL만을 사용하게 해달라고 주장하고 있지 않다. 선택의 폭을 넓혀달라는 뜻이다. 다른 방식은 써도 공인인증서만은 절대 양보할 수 없다는 것은 무슨 이유인가.
◇최운호=공인인증서에 홍채, 지문 등 새로운 기술을 결합해 보안성을 높이는 방법도 있다. 실제 조달청 입찰에서는 지문인식+공인인증서를 활용한다. 여러 가지 새로운 기술의 도입을 고려해줬으면 한다.
◇장영환=OTP나 SSL이나 어떤 새로운 기술의 보완이 반드시 필요하다면 검토하는 과정은 있어야할 것이다. 지속적으로 새로운 기술 연구와 개발에 나설 계획이다. 하지만 새로운 기술이나 정책을 정부와 금융기관에서 급히 도입하는 것은 어려움이 있다는 점도 감안해주길 바란다.
◇사회=스마트폰에서의 공인인증서 사용에 대한 여러 가지 의견 고맙다. 오늘 논의한 내용들이 시장 활성화와 글로벌화, 정책수립에 도임이 됐으면 하는 바램이다.
정리=장윤정기자 linda@etnews.co.kr