스마트폰 시대를 맞아 전자 인증 기술을 다변화해야 한다는 목소리가 높다. 정부가 스마트폰을 이용한 금융 전자거래에도 MS 인터넷익스플로러(IE)의 ‘액티브 엑스’(Active X)에서만 작동하는 공인인증서를 의무화하면서 다양한 모바일 전자결제 서비스의 탄생을 막고 있기 때문이다. 보안의 취약성 문제도 끊임없이 제기됐다. 공인인증서 사용 의무화의 문제점은 무엇인지, 대안은 있는지 3회에 걸쳐 짚어본다.
전자 금융 거래에서 공인인증서의 의무 사용을 놓고 정부와 오픈웹 진영 간 찬반 논쟁이 치열하다. 특히 지난 10여년간 사용했던 공인인증서가 논란의 중심에 섰다. 스마트폰 이용자들이 공인인증시스템을 거치지 않으면 금융권의 결제 거부로 물품을 온라인에서 구매하지 못하는 등 전자상거래의 불편함을 호소했다. 이 현상은 스마트폰뿐만 아니라 향후 선보일 각종 디지털 기기(플랫폼)에도 되풀이될 수밖에 없다.
공인인증서 사용의 의무화는 한마디로 웹 2.0시대의 ‘주홍글씨’라는 지적이다. 정부가 ‘액티브 엑스’ 기반의 특정 전자 인증 사용에만 매달리면서 더욱 나은 신기술의 등장과 다양한 플랫폼 개발을 억제하게 된다는 주장이다. 급변하는 IT 환경에 낙오될 우려가 큰 만큼 공인인증서 사용 규제를 완화, 전자 인증 기술을 다원화해야 한다는 지적이다. MS IE에만 맞춰진 공인인증서로 인해 다른 웹브라우저에서 작동하는 새 보안 기술은 물론이고 전자결제 서비스를 제대로 쓸 수 없을 뿐만 아니라 해외 수출도 힘들어진다. 이동산 페이게이트 이사는 “웹 표준에 기반을 둔 전자결제 서비스를 새롭게 개발해 알라딘에 결제서비스를 제공했는데 일부 카드사가 작년 말 거래를 막았다”며 “아이폰처럼 공인인증서를 쓸 수 없는 플랫폼도 있는 만큼 정부가 규제를 완화, 사업 기회를 박탈하지 말아야 한다”고 말했다.
업계 전문가들은 사파리 등 다른 웹브라우저에 기본 내장한 국제 공통 데이터 암호화 기술인 SSL(Secure Socket Layer)·일회용 비밀생성장치 OTP(One Time Password) 등 각종 기술을 통해 전자금융거래 서비스를 제공하라고 주장했다.
MS마저 고백한 액티브 엑스의 보안 위험성도 여전히 논란을 일으킨다. 사용자들은 공인인증서를 내려받을 때 액티브 엑스 기반의 보안 접속 프로그램도 함께 설치해야 하는데 이 과정에서 자칫 악성코드에 감염된 프로그램을 설치할 수 있다. 김홍근 KISA 단장은 “한 실험 논문에 따르면 사용자에게 액티브 엑스를 4∼5회 내려받기한 이후에 악성코드을 내려받도록 유도해보니 실험자의 70% 이상이 악성코드를 내려받았다”며 “액티브 엑스 위에서만 가능한 전자 서명을 개선할 필요가 있다”고 말했다.
김기창 고려대 법대 교수는 “공인인증제도를 뒤집자는 것이 아니라 금감위가 ‘전자금융 감독 규정 제7조’만을 수정해 금융기관들이 SSL·OTP 등 사설 인증을 선택해 다양한 전자결제 서비스를 등장시켜 달라는 것일 뿐”이라고 말했다.
한국은행 한 관계자는 “금융권이 사설 인증을 도입하는 투자비용은 크지 않지만 금감위가 금융기관에 공인인증만을 사용토록 강요해 SSL·OTP 등의 전자인증 도입을 사실상 꺼린다”며 “정부가 다양한 전자 인증 기술 등장을 허용하고 이후 기술 승패 여부를 시장 자율에 맡겨야 한다”고 지적했다.
안수민기자 smahn@etnews.co.kr
관련 통계자료 다운로드 스마트폰 공인인증서 사용 문제점과 개선방향