정부 전자서명법 개정으로 공인인증서가 시장에서 퇴출된다. 20일 전자서명법 전부개정안이 국회 본회의 문턱을 넘었다.
이로써 21년간 전자서명 대표 수단으로 자리잡았던 공인인증제도는 사라지고 다양한 대체인증 수단을 제약 없이 쓸 수 있게 된다. 공인인증서는 1999년부터 금융권을 비롯한 온라인 비대면 거래에서 독점적 인증 수단으로 활용돼 왔다.
금융결제원, 코스콤, 한국정보인증, 한국전자인증, 한국무역정보통신 5개 기관이 지정돼 운영해 왔다. 공인인증서 누적 발급 건수만 4293만7666건(2020년 2월 기준)에 달한다.
공인인증서를 대신할 '대체 인증' 시장이 활짝 열렸다.
◇공인인증서가 걸어온 역사…그리고 천송이 코트
전자서명법은 1999년 공인인증기관에서 발급한 인증서를 공인인증서로 정의하고 법적 효력을 부여받았다. 공인인증서에 기초한 전자서명을 공인전자서명으로 정의했다.
과학기술정보통신부에서 5개 공인인증기관을 지정했고 이후 '한국=공인인증서'라는 인증제도가 자리 잡게 된다. 모든 온라인 거래 시 공인인증서 사용 의무가 단계적으로 도입됐다. 인터넷뱅킹은 물론 온라인 증권거래, 전자상거래에서 30만원 이상 신용카드 결제, 계좌이체 등에 공인인증서는 의무인증 수단으로 자리 잡게 된다.
2006년 정부는 전자금융감독규정을 개정하고 모든 전자금융거래에서 공인인증서 사용을 전면 의무화했다. 이로 인해 액티브X 기술을 통한 공인인증서 프로그램 설치가 보편화된다.
공인인증서가 액티브X 기술로만 구현되는 것은 아니지만 금융권을 비롯해 대부분의 전자금융거래시 공인인증서 사용 초기부터 액티브X 기술을 통해 공인인증서가 설치됐다.
2010년 정부는 또 한번 전자금융감독규정을 개정한다. 스마트폰 보급이 확대되고 온라인 중소쇼핑몰 이용이 증가하자 스마트폰에도 공인인증서 사용을 의무화했다.
하지만 액티브X 불편함과 외국인이 한국 전자상거래 이용을 제한받자 결국 정부는 2015년 공인인증서 사용 의무를 전격 폐지한다. 그 발단은 '별에서 온 그대'라는 드라마가 방영되면서 일명 '천송이 코트' 사건이 터졌다. 당시 여배우가 입었던 코트를 중국 소비자가 구매하는데 한국에만 적용하는 공인인증서 때문에 구매가 불가능했다. 30만원 이상 구매 시 공인인증서를 의무적으로 이용해야 하는데 국내 카드사에서 발급한 카드에만 적용됐기 때문이다. 당시 대통령까지 천송이 코트 구매 관련 공인인증서 불편함이 언급되면서 공인인증서 의무사용은 폐지됐고 새 국면을 맞이한다.
문재인 정부는 국정운영 5개년 계획에 금융·공공분야 액티브X 제거를 주요 목표로 담았다. 국민은 웹브라우저에 없는 기능을 수행하기 위해 액티브X, exe 방식 등으로 프로그램을 추가 설치해야만 했다. 현재 금융권 80% 이상이 액티브X를 제거하고 별도 프로그램 설치가 필요 없는 HTML5 기술로 전환한 상태다. 하지만 온라인 계좌이체 등 아직도 다양한 분야에서 공인인증서는 사용되고 있다.
◇전자서명법 개정, 무엇을 담았나
결국 전자서명법을 개정해야만 '공인인증서=퇴출'이라는 공식이 성립할 수 있다.
그동안 시장에서는 공인인증서 시장 독점이 전자서명기술과 서비스 혁신을 저해한다는 의견이 끊임없이 제기됐다. 이용자 선택권을 제한하는 것도 논란이 지속됐다. 민간에서 다양한 전자서명수단이 있는데 정부가 공인인증서만을 강제하고 있다는 지적이다. 전자서명법 개정안은 한국 전자서명제도를 민간 위주로 개편하기 위한 첫 단추다.
2018년 3월 과기정통부는 공인인증제도 폐지를 주요 골자로 한 전자서명법 개정안(정부안)을 발의했다. 최근 전자서명법 전부개정안이 과방위 전체회의(5월 5일)를 통과했고 20일 법사위와 본회의를 통과했다.
개정안 핵심은 공인, 사설인증서간 구분을 폐지하고 동등한 법적 효력을 부여한다는 것이다.
과기부 장관이 지정하는 공인인증기관, 공인인증서, 공인전자서명 개념을 삭제했다.
공인전자서명에 대한 정의가 삭제되면서 공인전자서명의 기술적 요건도 법률에서 삭제됐다.
이로 인해 앞으로 다양한 전자서명 수단을 활용할 수 있게 된다. 또 전자서명의 신뢰성 제고, 이용자의 합리적 선택에 필요한 정보 제공을 위해 '전자서명인증업무 인정·평가제'가 도입된다. 현행 공인인증기관 지정제를 인정·평가체제로 변경하고 정부 주도 관리 체계도 최소화한다.
◇공인인증서 폐지, 자기정보결정권 보장 생태계 조성
공인인증제도 폐지는 수조원에 달하는 대체인증 산업을 촉발하는 매개체가 될 전망이다. 그간 공인인증서가 법적으로 누렸던 독점 지위가 사라짐에 따라 다양한 전자서명, 인증수단 활용이 장려되기 때문이다. 특히 생체정보인증, 분산신원확인(DID) 등 새롭게 출현하는 다양한 인증수단 활용이 급물살을 탈 것으로 보인다.
일각에서는 공인인증서 폐지에 따른 보안 사각지대 우려 문제도 제기한다. 보안성이 검토되지 않은 다양한 전자서명의 무차별적인 활용으로 오히려 소비자 피해나 분쟁이 증가할 수 있다는 의견이다. 특히 금융 분야는 대량 거래가 실시간 발생하는 특성상 전자서명, 인증수단의 안전성과 보안성이 우선돼야 한다는 주장도 설득력을 얻고 있다.
금융보안 전문가는 “공인인증제도 폐지에 금융권이 선제적으로 대비할 필요가 있다”며 “EU(유럽연합)의 전자신원확인 및 인증 등에 관한 규정을 한국에 적용하는 방안도 고려해볼만 하다”고 설명했다.
EU는 고급 전자서명의 기술적 요건을 규정하고 고급 전자서명에는 법령상 요구되는 서명의 효력을, 기타 전자서명에는 당사자간 서명 효력을 부여했다. 기술적으로 다양한 고급 전자서명이 통용되게 하면서도 안전성과 보안성을 갖추는 효과를 거두고 있다.
금융결제원 관계자도 “금융 분야 특수성을 반영해 전자금융거래 안전성과 신뢰성을 높일 수 있는 별도 방안을 마련할 필요가 있다”고 밝혔다.
EU의 규정처럼 사설전자서명이 충족시켜야 하는 요건을 법제화해야 한다는 것이다.
특히 한 기관의 인증 결과를 다른 기관에서 활용할 수 있게 하는 DID의 제도적 편입 방안도 고려해야 한다고 설명했다.
최초의 실명 확인으로 발급받은 DID로 이후 금융거래(계좌개설 등)시 실명확인을 생략하는 방안이다. 오는 25일 혁신금융심사위원회에서 SK텔레콤 DID 관련 안건이 상정될 예정이어서 그 결과에 관심이 쏠리고 있다.
이와 함께 고위험거래 인증절차 강화 방안도 마련해야 한다. 정부는 '금융분야 전자서명·본인확인·인증제도 혁신방안 연구' 정책연구용역을 진행 중이다. 이에 앞서 금융규제 샌드박스를 통해 안면인식결제, DID 등을 혁신금융서비스로 지정한 바 있다.
금융위원회 관계자는 “정책연구용역에서 도출된 방안을 구체화하기 위해 이달 중 TF 킥오프 회의를 개최하고 운영방안을 모색할 예정”이라고 분위기를 전했다.
이를 통해 도출된 정책적 대안은 '디지털금융 종합혁신방안'과 '전자금융거래법 개정안' 세부 추진과제로 실행에 옮겨진다.
<소박스>공인인증서 대체기술, 어떤게 있나?
공인인증서 시장 퇴출로 대체 인증 수단에 대한 관심도 뜨겁다. 다양한 인증 수단이 있지만 공인인증서 대안으로 손꼽히는 기술은 많지 않다. 시장에 나와 있는 대체기술에는 △신용카드 인증 △ARS/SMS 인증 △휴대폰 인증 △폰OTP 인증 △IC 태깅 인증 △생체 인증 등이 있다.
최근에는 분산신원확인(DID) 기술이 공인인증서 대안기술로 손꼽힌다.
고객이 한 기관에서 인증하면 다른 기관에서 다시 인증할 필요가 없도록 하는 디지털 신원확인 방식이다. ID나 패스워드 등을 통한 인증방식의 경우 고객이 특정 기관에서 한번 발급 받으면 다른 기관에서는 사용이 불가능했다. 반면에 DID의 경우 다른 기관이 추가 인증을 하지 않고 특정 기관이 수행한 인증 결과를 차용해 사용할 수 있다.
DID 체계는 신원확인 기관, 개인 전자지갑(eID), 서비스 이용기관으로 구성되며 신뢰성을 갖춘 ID 저장소를 통해 이뤄진다.
아이콘루프, 파운트의 DID 서비스가 금융위 혁신금융서비스로 지정된 바 있다. 금융결제원, 통신사, 블록체인 기술업체 등이 컨소시엄을 구성해 국내에는 3개 주요 DID 컨소시엄이 경쟁을 벌이고 있다.
신원확인을 위해 여러 기관에 관련 서류를 제출하거나 개별 인증을 받지 않고 한번의 신원확인만 하면 모든 서비스를 이용할 수 있다는 점에서 DID 기술 도입 필요성이 제기되고 있다.
다만 DID의 법적, 기술적 요건이 산·학에서 연구 단계에 있어 보안성 확보와 법적 지위에 대한 규제 완화가 필요한 상황이다.
길재식기자 osolgil@etnews.com