공인인증서의 주 용도인 전자서명에는 ‘부인 방지 기능’이 있다. ‘거래 내용이 변경되지 않았음을 증명하는 것’이다. 현행 전자서명법과 공인인증서 제도는 국제 공통암호 기술 SSL(Secure Sockets Layer)이나 일회용비밀번호(OTP)와 같은 다른 대체 기술에 이 기능이 없어 뱅킹 사고에 따른 분쟁 발생 시 보호를 받을 수 없게 돼 있다. 그런데 이 기능은 공인인증서가 해킹될 경우 아무런 의미가 없다.
김기창 고려대 법대 교수는 “부인방지 기능이 제 효과를 얻으려면 전자서명에 사용하는 공인인증서의 개인키가 유출되지 않았다는 전제가 충족돼야 한다”며 “개인키가 유출될 경우 서버가 전자서명을 받아도 이것이 고객이 한 것인지, 공격자가 한 것인지 분간할 수 없어 법적으로 의미가 없다”고 말했다.
금감위·행안부 등 공인인증서 의무화 유지를 주장하는 측의 설명은 다르다. 부인방지 기능은 금융 사고에 대비해 갖춰야 할 보안 기술을 언급한 게 아니라 피해 구제를 위한 규정이어서 SSL과 OTP를 쓰려면 전자서명법 전체를 건드려야 한다고 주장한다.
공인인증 업체 관계자는 “현 공인인증서가 2000만건 이상 발급, 민관에 널리 보급된데다 특히, 금융 거래는 공인인증서 신뢰성에 기초해 활성화한 것을 간과해선 안 된다”며 “공인인증서를 보완하면서 발전시키는 논의가 필요하다”고 강조했다.
이에 대해 오픈웹 등 규제 완화 진영은 공인인증서 사용 자체를 전면 부정하는 게 아니라고 선을 그었다. 다만, 금감위가 공인인증서의 부인방지에만 집착하지 말고 전자금융거래 감독규정을 개선해 다양한 전자 결제 기술이 시장에 등장하도록 해달라고 목소리를 높인다.
웹브라우저에 기본적으로 탑재한 보안 접속 기능인 SSL을 이용하면 플러그인 보안 접속 프로그램이 필요 없고 웹서버의 신원을 글로벌 인증기관이 보장하는 장점이 있는 만큼 미국 등 선진국처럼 사용자 편의성 등을 고려해 다양한 기술을 도입하자는 것뿐이라고 강조한다.
류한석 전문호민관은 “공인인증서와 SSL 및 OTP 양쪽을 비교, 어느 쪽이 보안성이 우수한가 하는 논쟁으로 간다면 반박, 재반박이 끝없이 이어진다”면서 “SSL과 OTP를 반드시 써야 한다는 게 아니라 스마트폰 전자결제에서 공인인증서만을 쓰도록 한 금감위 내부 규정을 바꾸는 정책 결정이 필요하다”고 강조했다. 이를테면 스마트폰에서 30만원 이하 소액결제에서는 SSL+OTP 등의 기술을 이용해 결제 과정을 간소화하고 30만원 이상 전자 결제에는 공인인증서를 쓰는 등 기술을 거래 규모에 맞게 도입하자는 주장이다.
보안 전문가들은 “보안에는 가장 안전한 기술이 없으며 단 한 가지의 취약성으로 인해 안전이 위협받을 수 있어 가능한 모든 방향에서의 보안을 고려해야 한다”면서 “적용 가능한 보안 방법들을 다각도에서 모색한다는 의미로 여러 기술을 검토하는 유연한 시각이 필요하다”고 덧붙였다.
장윤정기자 linda@etnews.co.kr
관련 통계자료 다운로드 스마트폰 공인인증서와 SSL+OTP 비교