[이슈분석]공인인증서 논란 '2라운드'로

지난 20일 청와대에서 열린 규제개혁 점검회의에서 ‘공인인증서’는 대표적인 악성 규제로 꼽혔다. 공인인증서 때문에 외국인이 국내 온라인 쇼핑몰에서 구매가 어렵다는 설명이 이어졌다.

금융위는 27일 내외국인 모두 공인인증서를 쓰지 않고 전자상거래가 가능하도록 전자금융감독규정 시행세칙을 개정한다고 발표했다. 현행 30만원 이상 공인인증서 의무 사용을 폐지한다. 카드사와 전자지급결제대행사업자(PG)가 공인인증서 사용 여부를 자율적으로 결정한다. 다양한 인증 수단 도입에 첫 물꼬를 텄지만 과연 얼마나 많은 전자상거래 사이트가 이를 받아들이고 자체적인 보안을 강화할지 미지수다.

전자상거래 의무 사용이 폐지되며 인터넷뱅킹과 전자정부 서비스 등에서 공인인증서 강제 사용 규정 폐지 목소리가 더욱 힘을 받을 전망이다.

◇공인인증서가 정말 외국인 국내 쇼핑 발목 잡았나

이른바 ‘천송이 코트’ 사건으로 공인인증서 논란이 더욱 증폭됐다. 과연 공인인증서가 외국인이 한국 전자상거래 사이트에서 쇼핑을 막는 주범이었을까.

윤석찬 한국모질라커뮤니티 대표는 외국인이 한국 인터넷 쇼핑을 하기 위한 조건으로 결제와 배송을 꼽았다. 30만원 이상 물품 구매 시 공인인증서 의무 사용 규제가 있을 때도 외국인이 아무런 문제없이 쇼핑할 수 있는 사이트는 이미 존재한다.

지마켓은 해외 배송은 물론이고 해외 신용카드 결제가 가능하다. 해외 카드 결제와 페이팔로 한국 외 지역 고객의 주문을 받는다. 외국인은 지마켓에서 아마존에서와 마찬가지로 카드번호, 유효기간, CVC, 우편번호 정도를 넣으면 결제가 된다. 공인인증서는 한국 발급 카드에만 해당되는 사항이지 외국 발행카드에는 적용되지 않는다.

그렇다면 왜 중국인은 천송이 코트를 구매하지 못한 것일까. 쇼핑몰이 해외 배송을 안 하거나 해외카드 결제를 승인하지 않은 탓이다. 해외나 국내 카드 모두 PG 제휴로 사용하는데 국내 쇼핑몰 PG가 해외카드를 받지 않기 때문이다.

윤석찬 대표는 “이 문제의 본질은 공인인증서가 아니라 바로 국내 쇼핑몰에 외국인을 위한 결제 및 배송서비스가 부족한 것”이라고 지적했다.

◇왜 공인인증서가 천덕꾸러기 됐나

공인인증서는 초창기 열악한 인터넷 환경에서 인터넷뱅킹과 전자상거래를 보다 안전하게 구현하기 위한 기술이었다. 도입당시 목적은 좋았지만 무분별한 사용과 잘 못된 이용법이 논란을 불러왔다.

인터넷뱅킹이나 전자상거래를 하려면 사용자 PC에 깔리는 각종 프로그램 때문에 한두 번 이용을 포기해본 기억이 있다. 특히, 마이크로소프트 윈도 운용체계(OS)가 아닌 다른 OS를 쓰는 사용자는 아예 생각조차 못한다.

공인인증서는 인터넷뱅킹과 전자상거래에서 본인확인과 서명 기능을 하는 사이버 인감인데 액티브X 프로그램을 깔아야 사용할 수 있다. 공인인증서 도입 당시 정부와 개발사는 국내에서 가장 많이 쓰는 OS와 웹브라우저에 최적화해 공인인증 서비스를 확산했다. 웹 표준을 지키지 않았고 보안 위협에 대한 고려도 미흡했다.

UN 최고정보보호책임자(CISO) 멤버로 유엔난민기구 정보보호를 총괄하는 최운호 박사는 “국제통신연합(ITU)이 정한 공인인증서 본래 목적은 개인·금융·생체 정보 등 최소한 2~3가지 암호 알고리즘으로 보호해 저장하고 원천정보는 공유하지 않는 인증코드만 제공한다”며 “국내는 표준과 반대로 소유자 비밀번호만 확인한다”고 지적했다. 그는 “해외는 공인인증서에 생체정보나, 일회용비밀번호(OTP)를 혼합해 보안에 활용하는데 한국은 공인인증서만 지나치게 의존했다”고 말했다.

◇공인인증서 어디로 가야하나

일부에선 공인인증서제도 완전 폐지를 주장하지만 보안 전문가는 인터넷뱅킹과 전자상거래 등 강제 사용 폐지에 무게를 둔다. 금융위가 전자상거래에서 공인인증서 강제 사용을 폐지하며 이제 물꼬는 트였다.

김승주 고려대 정보보호대학원 교수는 “과거 정보통신부가 무리하게 공인인증서 1000만개 보급운동을 전개하며 은연 중 사설인증서는 공인인증서에 비해 안전하지 못하다는 인식이 퍼졌다”며 “금융권이 공인인증서 사용을 의무화하며 사설인증서가 자취를 감췄다”고 설명했다. 그는 “우리 생활에서 막도장(사설인증서)과 인감도장(공인인증서)을 필요로 하는 분야가 다르고 도장 없이 신분증만으로 거래가 이뤄지는 분야가 공존한다”며 “인터넷 상거래에서도 사설인증서와 공인인증서가 얼마든지 공존할 수 있고 인증서 없는 상거래도 가능하다”고 말했다.

김 교수는 “지금 필요한 것은 공인인증서를 거의 모든 인터넷 거래에 과도하게 사용하도록 한 ‘공인인증서 강제사용 규정 폐지’이지 ‘공인인증서 자체 폐지’가 아니다”라고 덧붙였다.

심종헌 지식정보보안산업협회 회장은 “과도한 규제가 오히려 기업의 보안 수준을 떨어트리고 사고 발생 시 면죄부를 줬다”며 “해외처럼 다양한 인증 수단을 인정해 기업 스스로 보안 수준을 높이고 사고 발생 시 엄중하게 책임을 물어야 한다”고 말했다.

김인순기자 insoon@etnews.com