▲ 출처=픽사베이

인터넷뱅킹, 행정민원 사무, 대학 학사 업무 등 다양한 곳에 쓰이는 공인인증서. 플러그인 설치 등 절차가 복잡해 불편한 인증수단으로 통한다. 최근 더불어민주당 문재인 전 대표는 ‘ICT 현장 리더 간담회’에서 공인인증서와 액티브X(ActiveX)를 폐지하겠다는 공약을 발표하기도 했다.

이런 가운데 문재인 전 대표가 내놓은 공약에 대해 해석이 분분하다. 인터넷 자유를 위해 설립된 사단법인 오픈넷은 “공약을 자세히 보면 문제점을 잘 짚었다”면서 “공인인증서 기술 자체의 문제라기보다는 국가가 개입해 인증하는 시스템의 문제”라는 입장이다.

반면 한국인터넷진흥원(KISA)은 ‘공인인증서와 액티브X가 동급이자 규제의 상징이라는 건 오해’라고 주장하고 있다. 

공인인증서는 인터넷상에서 인감도장과 같은 역할을 한다. 인터넷뱅킹·쇼핑, 증권, 보험, 서류 발급, 세금 납부, 연말 정산 등 다양한 분야에서 활용된다. KISA에 따르면 2017년 1월 기준 공인인증서 발급건수는 3544만건에 달한다.

공인인증서 왜 불편한가

우선 글로벌 표준에 부합되지 않는다. 유명 웹브라우저에서 액티브 등 플러그인 지원을 중단했다. MS 엣지는 액티브X를 미지원하고 구글 크롬은 플러그인 지원을 2015년 9월 중단했다. 액티브 공인인증서 파일 접근을 위하여 도입한 액티브 기술이 과도하게 사용되면서 핀테크 등 국내 산업 발달을 막는 기술이라는 부정적 인식도 퍼졌다. 

유출위험도 크다. 해킹 기술(악성코드 등), 전자금융사기(피싱·파밍·스미싱 등) 수법이 발달하면서 공인인증서 유출 증가 사례가 나타나고 있다. 대부분이 공인인증서를 하드디스크나 USB에 저장하는데, 이럴 경우 폴더 복사 등의 방법으로 쉽게 유출될 가능성이 크다.

매년 갱신해야 하는 점도 불편하다. 공인인증서는 전자서명키 길이, 암호알고리즘, 저장 방식 등을 고려해 유효기간이 1년으로 설정됐다. 갱신 발급 시 이전 공인인증서는 사용하지 못하기 때문에 스마트폰에 갱신 발급돼 공인인증서를 다시 이전 설치해야 하는 번거로움이 있다.

비밀번호 입력이 불편하다는 시각도 있다. 공인인증서 비밀번호는 특수문자를 포함한 10자리 이상으로 지정해야 한다. 최근 스마트폰에서 지문 인식 등을 통한 간편 인증이 도입되는 상황을 고려하면 비밀번호를 입력해야 하는 공인인증서 인증이 상대적으로 불편하다는 지적이다.

문재인 전 대표 “공인인증서 제거 적극 추진할 것”

지난 2일 ICT 현장 리더 간담회에서 문재인 전 대표는 “불필요한 인증절차를 과감히 없애고 공인인증서 제거를 적극적으로 추진할 것”이라며 “모든 인증서가 시장에서 차별 없이 경쟁할 수 있도록 하겠다”고 강조했다. 

또한 “정부가 관리하는 모든 사이트에서 액티브X를 없애고 새로 제작하는 정부·공공사이트는 예외 없이 노플러그인(No-plugin) 정책을 관철하겠다”고 선언했다. 플러그인은 사이트나 프로그램을 이용하기 위한 일종의 추가 기능이다. 업계에서는 문 전 대표가 문제점을 제대로 파악하고 있다는 평가다. 

반면 백종현 KISA 차세대인증보안팀 팀장은 “엄밀히 말하면 공인인증서 폐지라는 말은 안 맞는 말”이라면서 “이통사·금융기관 등이 신규 본인확인 기술을 개발해 활용하는 건 긍정적인 행보지만, 해당 기술이 공인인증서를 대체하기 때문에 공인인증서를 폐지해야 한다는 일각의 주장은 논리에 어긋난다”고 말했다.

이어 “공인인증서의 원래 목적은 전자서명 유통 및 활성화”라면서 “공인인증서가 전자서명 외에 부차적으로 본인확인 수단으로도 사용되는데, 그 이유는 전자서명 기능 중 하나가 신원확인이기 때문”이라고 설명했다.

공인인증서 이슈를 기술 자체의 문제가 아닌 정책의 문제로 보는 시각도 있다.

박지환 오픈넷 자문변호사는 “현재 공인인증서는 정부의 사전 심사를 통해 특정 기술을 공인해주는 방식”이라면서 “정말 안전한 기술인지 등 기술 자체의 논의도 중요하지만, 그보다 앞서 정책을 운용하는 방식의 문제”라고 말했다. 

이어 “국가가 개입해 인증하는 인감 시스템은 해외에서 찾아보기 힘든, 국내에만 있는 특이한 제도”라고 주장했다.

그는 “공인인증서는 국가서비스 이용과 같은 공적 영역에 한정돼야 한다. 정부가 나서서 특정기술을 공인 인증 함으로써 다른 기술보다 우대를 주는 건 잘못됐다”고 설명했다. 공인인증서 역할을 논하기에 앞서 국가가 본인확인 방식에 개입해야 하느냐에 대한 문제 제기다. 

또한 박 변호사는 UN전자계약협약비준을 예로 들며 주장을 뒷받침했다.

UN전자계약협약비준에 따르면 제9조는 당사자의 신원 및 의사를 확인하는 방법이 사용되었고, 그 방법이 여러 정황에 비추어 신뢰할 수 있는 경우에는 서명요건을 충족하는 것으로 규정한다. 이에 대해 박 변호사는 “UN은 안정성 등 기술 자체의 신빙성만 존재하면 기술을 차별하지 않겠다는 취지”라면서 “국내 상황은 UN규제와도 맞지 않는 상황”이라고 설명했다.

백 KISA팀장은 “인증 수단이 아이디·패스워드랑 공인인증서밖에 없던 시절에 널리 사용했지만 현재는 아이핀, 휴대폰 인증 등 다양한 인증방식이 나왔다”며 “공인인증서는 여러 가지 인증 수단 중 하나”라고 말했다. 실제로 공인인증서 사용을 강제한 금융 규제가 문제라는 비판이 일자 전자금융거래법 개정을 통해 2015년 3월 의무 규제는 폐지됐다.

공인인증서 의무 규제가 폐지된 것에 대해 박 변호사는 “공인인증서를 강제로 써야 하는 상황은 아니지만 다른 기술에 비해 특혜가 분명 존재한다”며 “국가가 보장하는 안전한 인감시스템이 존재하는 상황에서 업체가 공인인증서를 안 쓸 이유도 없을 것”이라고 말했다.

이어 “예를 들어 전자금융거래법상 손해배상책임에 있어서 공인인증서를 사용했을 때와 그렇지 않을 때의 취급이 다르다”고 말했다. 금융권 등 인증을 도입하는 업체에서 공인인증서를 사용했을 때 분명 유리한 측면이 있다는 얘기다.

끝으로 “국가가 나서서 인감제도를 운영할 필요가 있느냐에 대해 근본적으로 생각해볼 시점”이라며 “국가가 공인하는 시스템 자체를 개혁해(시장에 맡겨) 공정하게 경쟁할 수 있는 기반을 마련해야 한다”고 주장했다.

개선된 공인인증서 믿고 써도 되나

한국인터넷진흥원(KISA)은 공인인증서에 대한 표준을 만들어 발급하고 관리하는 업무를 전담한다. KISA는 공인인증서의 불편함을 해소하기 위해 관련 제도를 개선해왔다고 설명했다. 

▲ 출처=KISA

먼저 액티브X 설치 과정을 없앴다. KISA는 액티브X 설치가 필요 없는 웹표준 방식의 공인인증서 이용 가이드라인 개발 및 보급했다. 지난해 2월 액티브X 없는 간편 웹 표준 공인인증서 기술이 발표돼 국민·신한·시티은행 등 총 14개 사이트에 간편 공인인증서 기술이 적용됐다.

또한 KISA는 안전한 저장매체를 보급하고 있다. 금융IC카드, USIM, 보안토큰 등 안전한 공인인증서 저장매체 보급 확대 추진으로 보급율은 2016년 12월 기준 20.8%로 증가했다. 금융IC카드, USIM, 보안토큰 등 안전한 저장매체에 공인인증서를 발급받을 경우 유효기간을 최대 5년으로 확대했다. 

생체정보 연계 기술도 개발했으며 2017년 상용화 계획을 추진 중이다. KISA는 2015년 12월 생체정보를 연계해 비밀번호 입력 불편 없이 지문 홍채 등 생체정보 인식만으로 공인인증서를 간편하게 이용할 수 있는 기술을 개발했다. 우리은행은 지난해 8월부터 갤럭시노트7 사용자를 대상으로 홍채인식 공인인증서 발급을 시작했다.

향후 KISA는 전자상거래, 은행·증권, 공공 등 분야별로 HTML5 기반 웹표준 방식의 공인인증서 이용 기술을 연중 보급할 계획이다. 현재 웹표준 방식 기술 발표회 등 홍보를 통해 액티브 없는 공인인증서 이용환경으로 개선한다는 생각이다. 더불어 PC 및 스마트폰 내 안전 저장소에 공인인증서를 저장·이용하게 해 공인인증서 유출을 원천적으로 차단할 수 있는 기술을 개발하고 있다.