공정거래위원회가 지난 1월 전자금융거래 피해를 원칙적으로 은행이 책임지도록 만드는 표준약관을 개정한 후, 이를 은행권이 전격적으로 수용했다는 사실이 최근 알려졌다. 이르면 4월부터 적용이 되며 해킹 및 피싱, 파밍과 스미싱 등의 사고로 벌어진 책임은 전적으로 은행이 책임지게 된다.

지금까지 전자금융거래 사고가 발생할 경우 대부분 개인이 책임을 졌다는 것을 고려하면 의미있는 진보다. 나아가 송금의 경우 수신자의 계좌번호를 잘못 입력해 착오 송금사고가 벌어질 경우 은행도 일정부분 강력하게 대응해야 한다는 점도 포함되어 있다. 전자금융거래 사고 전반을 보면, 개인보다 은행의 책임이 더 커진 셈이다.

은행 입장에서는 부담스러운 일이지만 지금까지 전자금융거래 사고에 있어 은행은 소극적인 대응으로만 일관해 사회적 물의를 일으켰던 전례가 있다. 게다가 통상적으로 사고의 경우 개인보다는 전문조직이 더욱 확실하게 대응할 수 있기 때문에 이번 표준약관의 현장적용은 그 자체로 의미가 있다는 평가다.

▲ 출처=픽사베이

업계에서는 이러한 책임론의 이동, 즉 개인보다 은행의 책임이 더욱 강해지는 일련의 분위기를 통해 공인인증서와 관련된 논란도 일정정도 사회적 합의를 찾을 수 있지 않을까 기대하고 있다. 표준약관이 의미하는 사고에 대한 책임의 아젠다가 최근 유력 대선주자인 문재인 전 더불어민주당 대표의 공인인증서 폐지 담론과 맞물리면 나름의 성과를 거둘 수 있다는 뜻이다.

최근 벌어지고 있는 공인인증서 폐지 논란을 살펴볼 필요가 있다. 문재인 전 대표는 지난 3월2일 서울 구로구 G밸리 컨벤션센터에서 열린 ‘민간이 만드는 좋은 일자리 ICT 현장 리더들과의 대화’에서 공인인증서와 액티브X 완전 폐지를 대선공약으로 내세워 눈길을 끌었다. 불필요한 인증절차를 없애고 능동적인 전자금융거래 환경을 구축하겠다는 것이 골자다.

소위 천송이 코트 사건을 거치며 공인인증서와 액티브X에 대한 불만이 높아지는 상황에서 문재인 전 대표의 '선언'은 그 자체로 상당한 후폭풍을 일으킨 바 있다.

하지만 이 부분은 면밀하게 따져볼 필요가 있다. 우선 공인인증서를 무조건적인 악(惡)으로 규정하는 것은 사태의 본질을 흐린다는 주장에 집중하자. 정부는 1999년 전자서명법을 제정, 공인인증서 제도를 도입하며 전자금융거래 활성화를 기치로 걸었다.  그리고 초창기 공인인증서가 이러한 정부의 기대에 부응했던 것은 사실이다. 공인된 인증기관이 발급한 공인인증서로 더욱 안전한 전자금융거래가 확립되었으며, 이는 곧 시장의 활성화로 이어졌기 때문이다.

특히 공인인증서의 주요 기능인 본인확인과 전자서명의 측면에서 보면, 공인인증서는 그 자체로 시장의 활성화와 투명성을 보장하는 장치로 여겨졌다. 현재의 인터넷 뱅킹 발전에 고무적인 영향을 미쳤기 때문이다. 참고로 공인인증서는 UN의 전자서명 모델을 충족하며 애플의 애플페이에도 적용된 공개키기반구조로 구동되는 등 기술적 문제는 거의 없다는 것이 중론이다.

문제는 공인인증서의 방식이다. 공인인증서는 플러그인(웹브라우저에서 구현하기 힘든 프로그램을 별도 응용 프로그램을 다운로드받아 사용하는 방식)을 기반으로 구동되는데, 이 과정에서 액티브X가 리스크로 부상했다. 플러그인 방식은 키보드 보안 및 해킹 프로그램을 다운로드 받아야 하며 그 과정에서 이용자는 수 차례 브라우저를 강제로 종료해야 하고, 시간도 많이 걸리며, 심지어 PC가 다운되는 현상을 겪어야 했다.

특히 액티브X가 천덕꾸러기다. 공인인증서를 가동하기 위해 반드시 필요하지만 액티브X 자체가 악성코드 유입의 창구로 활용되는 사례가 많았기 때문이다. 구글의 크롬이나 파이어폭스 등이 액티브X를 원천적으로 지원하지 않는 이유도 바로 여기에 있다.

더 큰 문제는 우리의 인식이다. 박근혜 정부 당시 소위 천송이 코트 논란의 핵심은 '외국 네티즌들이 국내 전자상거래 사이트에서 쇼핑을 제대로 할 수 없고, 그 책임은 공인인증서에 있다'에 집중된 바 있다. 하지만 진짜 문제는 공인인증서 자체가 아니라 해당 공인인증서를 구동하는 플러그인, 즉 액티브X에 있다고 보는 편이 더 정확하다. 그런 이유로 문제의 본질은 공인인증서의 방식인 액티브X에 집중되었어야 하지만, 애먼 공인인증서가 공공의 적으로 부상해버렸다.

▲ 출처=픽사베이

다만 협업에서는 공인인증서와 더불어 플러그인, 즉 액티브X에 대한 문제제기도 비중있게 다뤄졌다. 하지만 이에 대한 대응도 어슬프기 짝이 없었다. 공인인증서와 액티브X 철폐라는 투 트랙 전략을 가동하면서도 액티브X 대신 exe(실행파일)로 대체하는 초유의 방법론을 들고 나왔기 때문이다. 지금 이 시간에도 정부 기관들은 공인인증서 중독 증상을 보이고 있으며, 액티브x와 exe는 여전히 혼재되어 시장의 혼탁함을 가중시키고 있다.

여기서 문제의 핵심을 다시 짚어 공인인증서로 돌아갈 필요가 있다. 공공의 적으로 규정된 상태에서, 기술적 인프라가 탄탄하며 세계 각 국의 흐름까지 고려하면 일단 공인인증서 자체에 비판의 화력이 집중되는 것은 일견 부당해 보인다. 하지만 문제가 묘해지는 것은 전자금융거래에서 벌어지는 사고의 책임이다.

왜 지금도 많은 은행들은 공인인증서를 포기하지 않을까? 정부는 2015년 이후 공인인증서를 강제하지 않고 있으나 왜 상황은 그대로일까? 간단하다. 공인인증서는 전자금융거래에서 사고가 벌어질 경우 은행의 면책수단이 될 수 있기 때문이다. 공인된 인증서를 발급했으니, 은행의 책임은 없다는 논리가 성립된다.

그런 이유로 공정위의 표준약관으로 불거진 전자금융거래 책임론을 면밀히 살핀 후, 액티브X 철폐라는 절대적인 목표를 설정한 상태에서 공인인증서의 성격을 원천적으로 보완하는 방식이 필요하다는 주장이 나온다. 당연히 그 보완의 고려대상 중 핵심은 기술적 고도화를 유지하며 은행의 면책수단화를 걷어내는 쪽으로 가닥이 잡혀야 한다. 일각에서 블록체인과 생체인식 등을 공인인증서의 대안으로 생각하고 있지만 아직 뜬구름 잡는 이야기 일색이다. 이들은 중장기 목표로 설정해 차근차근 기회비용을 계산하고, 가장 핵심적인 요소부터 고민해야 한다는 뜻이다.