“3·20 사건은 보안 참사다. `북한이 그랬어요`가 아니라 13년 관치 보안 때문이다.”
금융거래의 `인감증명`처럼 사용됐던 공인인증제도를 대폭 손질하는 법 개정이 추진되면서 업계 관심이 쏠리고 있다. 지난 13년간 이용됐던 공인인증제가 사라질지 주목되기 때문이다.
공인인증제 폐지를 주장해온 김기창 고려대학교 법학전문대학원 교수는 “특정 보안 기술을 강제하는 나라는 없다”며 “13년 관치 보안을 끝내야 한다”고 말했다.
김 교수는 21일 전자신문 주최 CIO포럼에서 이같이 밝히고 민주당 이종걸 국회의원과 최재천 의원이 발의한 `전자금융거래법`과 `전자서명법` 개정안 통과를 기대했다.
핵심은 공인인증서 강제 사용의 근거로 작용해온 전자금융거래법 제21조 제3항 개정이다. 특정 기술이 아닌 다양한 보안과 인증 기술이 현장에 적용될 수 있도록 하는 것이 골자다.
또 정부 주도의 인증제가 아닌 정부는 인증 업무 수행의 근본원칙만 정하고 인증기관 업무의 안전성과 신뢰성은 전문성이 있는 독립 기관이 검증하도록 했다.
김 교수는 업계 자율과 책임을 강조했다. 그는 “정부가 보안 기준을 만들고 점검까지 직접 하겠다는 발상을 버려야 한다”며 “전문성을 갖는 데 한계가 있기 때문”이라고 주장했다.
정부가 할 일은 민간 전문 보안업체들이 자유롭게 경쟁할 수 있도록 시장 환경을 감시하고, 보다 나은 보안 기술이 채택될 수 있도록 해야 한다는 것이다.
경쟁을 통한 발전이 미진하다보니 해킹에 속수무책으로 피해를 입는 등 국내 보안 수준이 향상되지 못했다는 게 김 교수의 진단이다.
3·20 사이버 테러를 보안 참사, 관치보안의 폐해로 비판한 것도 이 점에서 출발했다.
김 교수는 보안 감시 서비스 시장 활성화가 필요하다고 강조했다. 카드 업계 보안 표준인 `PCI DSS`처럼 해당 분야 전문가 단체가 직접 보안 기준을 만들고 준수 여부도 검사하는 산업이 형성돼야 한다는 것이다.
그는 “선진국은 전자금융거래에서 사고가 발생하면 금융회사가 물어줘야 한다며 책임을 분명하게 정하고 금융규제당국은 아예 개입을 안 하는 이른바 기술 중립적 규제인데 우리나라는 배생책임은 은행에 있지만 공인인증서를 강제하는 법체계”라고 지적했다.
한편 오는 23일 오후 4시 국회의원회관 제2세미나실에서 `전자서명법·전자금융거래법 개정안` 공청회이 열릴 예정으로 많은 이목이 집중될 것으로 예상된다.
윤건일기자 benyun@etnews.com
