유력 대선 주자가 폐지 공약해 다시 도마에 … 공인인증서 자체보단 액티브X가 문제

▎문재인 더불어민주당 전 대표가 3월 2일 오후 서울 구로구 G밸리 컨벤션센터에서 열린 ‘민간이 만드는 좋은 일자리 ICT 현장 리더들과의 대화’에 참석했다. 이 자리에서 문 전 대표는 공인인증서와 액티브X 폐지를 대선 공약으로 내걸었다. / 사진:뉴시스

공인인증서 논란이 다시 도마에 올랐다. 야권의 유력 대선주자인 문재인 전 더불어민주당 대표가 공인인증서와 액티브X 완전 폐지를 대선 공약으로 걸면서다. 문 전 대표는 3월 2일 서울 구로구 G밸리 컨벤션센터에서 열린 ‘민간이 만드는 좋은 일자리, 정보통신기술(ICT) 현장 리더 간담회’에 참석해 “신산업 ICT 분야는 금지된 것 빼고는 다 할 수 있도록 규제를 ‘네거티브’ 방식으로 바꾸고, 불필요한 인증 절차를 과감하게 없애겠다”며 특히 “정부가 관리하는 모든 사이트에서 ‘액티브X’를 없애고 새로 제작하는 정부·공공사이트는 예외 없이 노플러그인(No-plugin) 정책을 관철하겠다”고 강조했다.

공인인증서는 전자상거래를 할 때 신원을 확인하고 문서의 위조와 변조를 막기 위해 공인인증기관이 발행하는 일종의 사이버 거래용 인감증명서다. 주요 기능은 ‘본인 확인’과 ‘전자서명’이다. 은행에서 신분증을 확인하고 거래 서류에 서명하는 것을 온라인상으로 할 수 있도록 했다고 보면 된다. 정부는 안전한 전자금융거래 환경을 조성한다는 취지로 1999년 전자서명 법을 제정하고 공인인증서를 도입했다. ‘공인’된 인증기관이 발급한 ‘공인’인증서만이 법적으로 효력을 가질 수 있도록 했다는 얘기다. 그러나 전자상거래가 활성화하고 공인인증서의 사용처가 늘면서 문제가 나타나기 시작했다.

‘설치-재실행’ 무한루트에 사용자 ‘부글부글’

▎액티브X 대신 ‘.exe’ 보안을 도입한 국내 한 온라인쇼핑몰 화면. / 사진:중앙포토

특히 액티브X에 대한 소비자들의 불만이 커졌다. 사실 우리가 말하는 공인인증서는 한국형 공개키기반구조(PKI) 기술, 즉 일종의 ‘암호화 방식’ 자체를 말한다. 다만 이런 기술을 웹 브라우저에서 실행시키려면 별도의 프로그램을 설치해야 하는데 이를 ‘플러그인’이라고 한다. 그리고 웹 브라우저 가운데 국내 사용자가 주로 사용하던 인터넷 익스플로러의 플러그인 기술이 액티브X다. 사용자들은 공인인증서 사용을 위해 액티브X와 그에 수반되는 키보드 보안 및 해킹 방지프로그램 등의 소프트웨어를 몇 분간 내려 받고 또 웹 브라우저를 수 차례 종료·재실행 하면서 큰 불편을 감수해야 했다.

또 크롬·파이어폭스 등 인터넷 익스플로러 외 다른 웹브라우저 사용이 증가하는 상황에서 공인인증서는 액티브X 기반으로만 만들어져 다른 브라우저에서는 작동하지 않는다는 점도 사용자의 불만을 키웠다. 여기에 수시로 갱신·재발급 해야 하는 불편이 더해졌다. 해킹 문제도 불거졌다. 액티브X를 컴퓨터에 설치하는 과정에서 악성코드가 유입돼 보안사고가 빈번하게 발생한 것이다. 또한 공인인증서는 PC에 그대로 저장할 수 있기 때문에 해커가 PC에 침입할 경우 개인키를 통째로 가져갈 수 있어 개인정보가 노출될 가능성이 크다. 공인인증서를 해킹하기 위해 신상정보와 보안카드 정보를 묻는 보이스피싱도 증가했다.

‘꼭 이 방법만 써야 되나’라는 불만이 쌓이면서 논란은 특정 인증 방식을 반강제적으로 사용하도록 한 정부의 규정으로까지 번졌다. 정부가 특정 방식의 인증 기술과 이를 보관·유통하는 업체를 ‘공인’하면서 사실상 이들이 발급한 인증서를 우대해 준다는 지적이다. 정부가 특정 ‘보안’ 기술을 강제하거나 후원해 전자인증시장은 다른 기술이 시장에 진입해 영업할 수 있는 가능성이 없는 과점시장이 됐고, 결과적으로 보안기술 시장이 위축됐다는 것이다. 이에 따라 공인인증서를 없애지 않더라도 다양한 인증기술이 경쟁할 수 있도록 공인인증서 사용 의무화를 폐지해 시장을 열어줘야 한다는 목소리가 커졌다.

여론이 형성돼 2014년 한 차례 변화의 계기가 생기기도 했다. 중국인들이 공인인증서로 인해 한류 드라마에 나온 코트를 온라인에서 구입하지 못한다는 일명 ‘천송이 코트’ 논란이 일면서다. 2014년 3월 열린 ‘규제개혁 끝장토론’에서 박근혜 대통령이 이를 지적했고, 이후 관계부처는 부랴부랴 공인인증서 관련 규정을 고치기 시작했다. 금융위원회는 30만원 이상 카드결제 하는 전자상거래와 인터넷뱅킹의 공인인증서 사용 의무를 폐지했다. 전자금융감독규정을 개정해 해당 거래에서 인증 방식을 각 기업의 ‘선택 사항’으로 바꾼 것이다. 미래창조과학부는 액티브X가 필요 없는 공인인증서 발급 및 이용 기능 개발을 시작했다.

그러나 이후에도 상황은 크게 변하지 않았다. 의무화는 폐지됐지만 공인인증서는 여전히 인터넷 상거래에서 사라지지 않았다. 공공기관 홈페이지에서도 사용자의 전자서명이 필요한 항목마다 공인인증서가 쓰인다. 민원서류 발급, 연말정산, 통합 연금포털 등이 대표적이다. 액티브X 역시 마찬가지다. 대다수 금융사와 공공기관은 액티브X를 계속 사용하고 있다. 달라진 것은 다른 브라우저에서도 공인인증서를 구현할 수 있도록 액티브X 대신 ‘exe 파일’을 직접 내려받아 설치할 수 있게 됐다는 정도다. 결과적으로 액티브X가 ‘exe 파일’ 방식으로 바뀌었을 뿐이다.

“공인인증서 로비 상당한 수준” 비난도

전문가들은 공인인증서를 보는 시각에 따라 이를 다르게 해석하고 있다. 공인인증서를 옹호하는 입장에서는 시장에서 별다른 대체 인증 수단을 찾지 못한 것이라고 말한다. 한호현 경희대 컴퓨터공학과 교수는 “공인인증서와 액티브X를 분리해서 봐야 하는데, 공인인증서 자체는 현재 선진국에서도 도입하고 있을 정도로 보안성이 입증된 기술”이라며 “공인인증서 말고는 단순 본인 확인뿐 아니라 전자서명 기능까지 가능한 기술이 현재 마땅치 않기 때문에 지속적으로 사용되고 있는 것”이라고 설명했다. 다만 “액티브X의 경우 각 금융사가 새 시스템을 도입하는 데 드는 비용 부담 때문인 것으로 보인다”며 “이는 정부 차원에서 금융사를 독려하면 금방 바뀔 것으로 보인다”고 덧붙였다.

애초에 공인인증서와 액티브X의 개념을 잘못 이해한 정책 당국의 실책을 지적하는 시각도 있다. 익명을 요구한 한 IT업계 관계자는 “엄밀히 말해 불편을 초래한 것은 공인인증서가 아니라 액티브X인데, 천송이 코트 논란 때 대통령부터 ‘공인인증서=액티브X’인 것처럼 잘못 전달하면서 오해기 시작된 것 같다”며 “이후에도 정부에서 액티브X보다는 공인인증서 없애기에 치중하자 금융권에서도 엉뚱하게 인증방식 교체에만 신경 쓴 측면이 있다”고 말했다. 다른 관계자는 “2013년에 이미 국회 본회의에 의무화 폐지 법안이 상정된 적이 있는데, 공감대가 형성되다 갑자기 부결된 적이 있다”며 “당시 업계에 공인인증서와 관련된 이해관계자의 로비가 상당한 수준이라는 얘기가 돌았다”고 귀띔했다.

미흡한 제도 자체에 문제가 있다는 지적도 있다. 전자서명법이나 전자금융거래법에서는 공인인증서 의무화가 사라졌다지만, 오랜 기간 공인인증서가 사용되면서 다른 개별법에 공인인증서 사용 의무화 조항이 명시돼 있어 다른 인증서 사용에 제약이 있다는 것이다. 대표적으로 현재 국세기본법, 지방세법, 정당법, 약식절차 등에서의 전자문서 이용 등에 관한 법률, 취업 후 학자금 상환 특별법, 교육정보시스템 운영 규칙, 정당사무 관리규칙 등에 공인인증서 의무사용 관련 규정이 포함돼 있다. 한 핀테크 업체 관계자는 “대체할 기술이 없는 게 아니라, 그 기술이 나올 만한 여건이 안 됐던 것”이라고 말했다.

금융사들이 면책을 위해 공인인증서를 강제한다는 것에 대해서도 의견이 엇갈린다. PKI 기술은 온라인 거래 과정에서의 해킹 가능성은 적다. 그러나 PC 등에 저장된 인증서가 해킹될 가능성이 있다. 문제는 이렇게 발생한 금융사고의 책임을 누가 져야 하는가다. 일각에서는 지난 2015년 공인인증서 의무사용 규정이 폐지됐음에도 금융사들이 자체 보안 시스템 구축의 어려움 등을 이유로 공인인증서 사용을 강제하는 주된 이유가 공인인증서를 쓰면 사고가 발생해도 기업들이 배상 책임을 피할 수 있어서라고 주장한다.

이에 대해 한 교수는 “법률상 공인인증서를 사용해서 사고가 발생하는 경우 공인인증기관이 손해배상 책임을 지도록 되어 있다”며 “금융사가 면책된다는 건 잘못된 내용”이라고 설명했다. 반면 익명을 요구한 한 전문가는 “국내에서 소비자가 은행에 소송을 걸어 승소한 사례는 적다”며 “법률마다 개인의 책임을 따지는 단서 조항이 있어 사실상 금융사에 책임이 면제되는 게 현실”이라고 지적했다. 또 다른 전문가는 “정부가 특정 기술을 ‘공인’하면서 해당 기술에 안정성에 대해 과장된 인식이 자리 잡았다”며 “이로 인해 사법기관에서도 사고 거래의 책임을 고객에게 지우는 쪽으로 판단할 위험이 있다”고 말했다. 구태언 테크앤로 대표변호사는 “사용자의 중과실이 있다고 해서 금융사가 책임을 전부 면제하는 건 지나친 경향이 있다”며 “사용자 과실에 맞춰 금융사의 책임을 감경하는 방안이 필요가 있다”고 말했다.

“엑티브X 곧 사라질 것”

공인인증서 논란은 거세지고 있지만, 그에 비해 대안에 대한 공감대는 넓은 편이다. 일단 핵심 사안인 공인인증서의 의무화 폐지에 이견은 크지 않다. 옹호론과 반대론 양측 모두 의무화 분야에 대해서는 시장을 여는 것에 동의한다. 때문에 액티브X는 곧 사라질 것으로 전망된다. 김진형 지능정보기술연구원장은 “HTML5 기반 웹 표준이 개발되면서 공인인증서도 액티브X나 exe 파일에 의존할 필요가 없어졌다”며 “더 이상 기술적인 문제가 없는 만큼 공인인증서를 계속 사용하더라도 금융사가 의지만 가지면 액티브X는 조만간 사라질 것으로 보인다”고 말했다. 다만 전자서명 기능을 갖춘 다른 인증 수단이 나오기 전까지는 공공기관의 공인인증서 사용 의무화 폐지의 범위와 사고 책임 소재에 대한 문제는 논란이 지속될 가능성이 있다.