[공인인증서 논란, 해법은]<중>공인인증서는 국가의 중요 인프라

지난주 최재천 민주당 의원실이 발끈하고 나섰다. 공인인증서 폐지안을 담은 전자서명법 개정안을 발의해 놓고 있는 가운데 미래창조과학부가 현행 `허가제`로 운영되는 공인인증기관 지정 제도를 `등록제`로 전환할 계획을 발표했기 때문이다. 전문가들은 공인인증제도 개선과 혁신은 국회와 정부의 갈등과 자존심 싸움이 아니라 국익과 국민의 편의성이 최우선적으로 고려돼야 한다고 강조한다.

◇위기에 몰린 공인인증서

공인인증서 폐지론은 공인인증서가 한국 IT산업을 고립시켰다는 가정에서 출발한다. 공인인증 체계 폐지로 관치보안의 족쇄를 깨야 한다는 주장이다.

공인인증서 폐지론은 우선 보안이 취약하다는 점에 근거한다. 폐지론 진영은 마이크로소프트(MS) 브라우저에 액티브X를 설치하는 과정에서 보안 취약점에 노출될 수 있다는 평가를 제시한다. 지난 2월 공인인증서 460개가 유출되는 사건에 이어 마이너스 통장 해킹 및 파밍 사고가 끊이지 않고 있는 점도 거론된다.

하지만 일부 학자와 전문가들은 이와 관련, 액티브X 문제는 대체기술을 개발하거나 하드웨어보안토큰(HSM)을 통한 보관으로 해소해야 한다고 강조한다. 중장기적으로 차세대 웹표준인 HTML5에서는 기본적으로 액티브X 없이 이용할 수 있는 기술을 국제표준으로 채택하는 것을 추진해야 한다고 조언한다.

◇공인인증서 없는 세상

지난 13년 간 이용돼 왔던 공인인증서가 없어진다면 사회적 혼란이 불가피할 전망이다.

공인인증서는 정부가 지정한 공인인증기관이 발급하는 인증서이기 때문이다. 즉 법령에서 서명 서명날인 또는 기명날인을 하도록 규정한 경우 공인인증서를 이용하면 이와 동일한 효력을 가지게 돼 법정에서 증거수단으로 사용할 수 있다. 반면에 사설인증서를 이용한다면 발급기관과 거래 당사자 간의 약정에 의해서만 그 효력을 발휘할 수 있다.

염흥렬 순천향대 교수는 “공인인증 시스템의 바탕인 PKI 기술은 낡은 기술이 아니고 성숙된 기술”이라며 “공인인증체계는 국가의 중요한 근본 인프라다. 전자서명 체계에 문제가 생긴다면 온라인뱅킹 등 모든 서비스가 영향을 받을 수 있다”고 우려를 나타냈다.

기술적으로 공인인증 제도는 전자서명인증 기반으로 운영한다. PKI는 전자문서 유통 과정에서 본인확인 및 전자문서의 진위 여부를 관리하기 위한 체계다. 암호화, 인증서비스, 무결성서비스, 부인방지서비스 네 가지 기능을 특징적으로 제공한다.

오승곤 미래부 정보보호산업과장은 “공인인증서는 기본적으로 정부가 관할하는 인증서로, 발급을 아무나 할 수 없고 관리 책임이 필요하다”며 “하지만 공인인증서가 없어진다면 어떤 일반인이 신뢰성과 공신력을 갖고 사용하겠는가”라고 반문했다.

◇아프리카·중남미 `IT한류`에 치명적

우리나라 공인인증시스템은 카메룬, 케냐, 이란, 인도네시아 등이 도입을 검토하고 있다. 그만큼 우리나라의 공인인증체계는 전자정부 해외 수출 과정에서 가산점을 받게 만드는 플러스 요인이다. 해외에서도 탐내는 토종 IT보안기술로, UN 전자정부 평가 2년 연속 1위의 초석이 됐다. 수출현장을 다니는 업계는 이와 관련, 공인인증 체계를 우리 스스로 부정한다면 수출에도 악영향이 미칠 것이라는 전망을 내놓고 있다.

박인재 미륭에이스 대표는 “일본이 우리나라 전자정부서비스와 관련해 가장 부러워하는 게 국가적 통일 시스템과 부처간 연계시스템”이라며 “특히 인증체계를 비롯한 전자정부 인증체계에 높은 신뢰감을 표하고 있다”고 설명했다. 공인인증서는 우리나라뿐 아니라 호주, 일본, 스웨덴, 노르웨이, 독일, 중국 등 많은 나라가 독자적인 자국의 인증 보안체계를 구축하고 있다.

국내 5대 공인인증기관 현황

주요국가 공인인증제도 현황

김원석기자 stone201@etnews.com