[공인인증서 논란, 해법은]<하> 공인인증 논란 이렇게 풀자

공인인증서 무용론과 관련, 보안 전문가들은 신중한 접근을 주문한다.

기업과 시장의 자율권을 과도하게 훼손하는 관치보안 정책은 개선돼야 하지만 13년간 국가 인프라로 성장해온 공인인증체계를 일시에 부정하는 것은 득보다 실이 클 수 있다는 지적이다. 부인방지 및 전자서명 기능을 대체할 만한 뾰족한 수단이 존재하지 않는 상황에서 발생할 수 있는 사회적 혼란을 우려하는 것이다.

◇제3의 증인 공인인증서 폐지, 신중해야

임종인 고려대 정보보호대학원장은 “공인인증서는 사실상 온라인에서 신분확인을 하는 디지털 주민등록증이 됐다”며 “(공인인증서가 없어진다면)국세청 또는 국민건강보험 사이트 접속 시 신분확인을 무엇으로 하겠느냐”고 반문했다. 공인인증서를 폐지하는 것은 무책임한 결정이라고 강한 톤으로 비판했다.

인증수단을 다양화하자는 의견도 제기됐다. 2채널 인증처럼 멀티팩터인증 시스템 도입을 통해 액티브X와 재발급으로 인한 보안 취약점을 개선하자는 의견이다.

장화철 민주당 인터넷소통위원회 위원장은 “외국과 한국의 환경을 다르며, 허가제이든 등록제이든 전자서명 기능은 반드시 있어야 한다”며 “개인과 은행, 은행과 은행 간 거래에서 제3의 증인은 반드시 필요하다”고 강조했다. 장 위원장은 다만 “PKI 기반 공인인증서 이외에 전화승인 등 다양한 방식의 공인인증 기술이 채택돼야 한다”고 덧붙였다.

공인인증 체계와 비공인인증 체계를 병행하자는 방안도 제기된다.

염흥렬 순천향대 교수는 “공인 인증체계의 경우 단일 루트인증기관으로 인증서의 상호 연동과 효율적 관리가 가능하다”며 “공인인증심의위원회를 통해 다양한 기술을 활용한 공인인증서 도입을 유도할 필요가 있다”고 강조했다. 제3자의 감사를 통해 투명성과 안전성에 대한 우려를 불식할 필요가 있다는 지적이다.

김승주 고려대 교수는 공인인증서와 사설인증서를 병행할 것으로 주장했다.

김 교수는 “공인인증서는 국가가 발행하는 인감도장으로, 개인이 발행하는 막도장과 분명 차이가 있다”며 “공인인증서 폐지가 국민의 선택권을 보장하는 것이냐”고 반문했다.

고봉식 금융보안연구원 수석본부장은 “공인인증서가 긍정적으로 기여한 점을 무시할 수 없다”며 “의존도가 굉장히 높은 시스템을 일시에 걷어낼 경우 사회적 혼란도 있을 것”이라고 말했다.

◇보안 취약점 개선, 기술적 대안은

사회적 합의를 전제로 공인인증서의 안전성을 높이는 정책이 개발돼야 한다는 목소리도 높다. 임종인 고려대 정보보호대학원장은 “소비자 편의성을 위해 공인인증서 복사를 허용하는 정책을 변경하든지, 특정 PC에서만 사용하도록 하는 방안이 있을 수 있다”고 언급했다.

이와 함께 공용 PC에서 공인인증서 사용을 금지하고 통상 PC나 USB에 보관하는 인증서를 하드웨어보안모듈(HSM)에 보관하는 캠페인을 통해 금융거래 문화를 개선해야 한다는 목소리도 나온다.

은행 등 금융권이 전향적으로 보안카드 대신 일회용비밀번호생성기(OTP) 보급에 나서야 한다는 의견도 제기됐다. 마이너스통장 해킹 사건, 공인인증서 유출 등 잇따라 터지는 전자금융 사고를 줄이기 위한 조치다. 특히 오는 11월 시행되는 개정 전자금융거래법은 부정한 방법으로 공인인증서를 만들어 고객이 손해를 보면 금융기관이 책임을 져야 한다는 내용을 명문화하고 있다.

김원석기자 stone201@etnews.com