지난 5월 ‘전자서명법’ 개정으로 공인인증서의 폐지가 확정되면서, 오는 11월 유예 기간이 끝나면 국가에 의해 공인된 인증서는 사라질 예정이다. 공인인증서는 오랜 기간 은행 거래나 증명서 발급과 같이 높은 보안성이 요구되는 분야에 활용돼 왔으나 사용상의 불편함으로 많은 비판을 받기도 했다. 2015년 공인인증서 사용을 의무화했던 규정이 사라졌고, 가까운 시일에 공인인증서가 완전히 폐지되면서 인터넷뱅킹이 한층 편리해질 것이라는 기대를 표하는 사람들이 있다. 그러나 공인인증서 폐지가 기대만큼의 효과를 거둘 수 있을지에 대해 우려하는 목소리가 높은 것도 사실이다. 이에 『대학신문』에서는 공인인증서의 폐지가 앞으로 가져올 구체적인 변화를 알아 봤다.

공인인증서, 무엇이 문제였나

공인인증서는 사이버 공간에서 행해지는 거래에서 이용자 인증 기능을 수행하는 일종의 전자신분증으로, 1999년 전자서명법이 시행된 뒤 2001년 처음 도입됐다. 보안 기술이 충분히 발달하지 않았던 시기에 인터넷에서 금전 거래나 개인정보 처리를 위해서는 높은 보안성을 담보할 수 있는 기술이 필요했기에 공인인증서는 ‘부인방지’ 기능을 갖도록 설계됐다. 부인방지란 데이터를 송수신한 후에 송신자가 송신 사실을 부인하는 경우를 방지하기 위한 보안 기술로, 오프라인 거래에서 계약 당사자가 계약서에 서명을 하거나 인감을 찍는 것에 대응된다. 사이버 공간에서는 정부가 공인한 기관에서 발급한 공인인증서를 통해 전자서명을 하면 정부가 이를 보증하는 식으로 부인방지가 이뤄진다. 한국인터넷진흥원(KISA) 팀장을 역임했던 김승주 교수(고려대 정보보호대학원)는 “공인인증서 덕분에 인터넷뱅킹을 이용한 실시간 계좌 이체가 가능해졌다”라며 “공인인증서를 사용하지 않는 국가에서는 보안 문제로 실시간 계좌 이체를 서비스하지 못하고 있다”라고 말했다.

공인인증서의 부인방지 기능은 ‘공개키 암호화 방식’을 통해 구현된다. 공개키 암호화 방식은 암호화와 복호화에 각각 다른 키를 사용하는 방법으로, 사전에 암호키를 나눠가지지 않은 사용자들이 안전하게 정보를 주고받기 위해 고안됐다. 가령 은행 거래가 이뤄질 때 거래에 임하는 개인만이 알 수 있는 ‘개인키’로 전자서명을 함으로써 거래 내용이 암호화되고, 공증기관이 개인키와 한 쌍을 이루는 ‘공개키’로 그 내용을 해독하는 식이다. 개인키를 알지 못하는 타인은 동일한 암호를 만들어내는 것이 불가능하기에, 한 개인이 공인인증서를 선택해 자신만의 개인키를 지급받고 비밀번호를 입력한 뒤에는 자신의 거래 사실을 부인할 수 없게 된다. 천정희 교수(수리과학부)는 이에 대해 “공개키 암호화 방식을 사용하지 않으면 사용자가 금융 이체 사실을 부인할 때 은행이 이를 증명할 방법이 없다”라고 설명했다.

하지만 처음 도입된 이후 많은 시간이 흐르면서 공인인증서의 여러 문제점이 드러나기 시작했다. 가장 많이 지적되는 지점은 사용상의 불편함이다. 인터넷으로 금융거래를 할 때마다 컴퓨터에 ‘액티브X 플러그인’을 설치해야 하는데, 그때마다 인터넷 브라우저가 재시작되고 컴퓨터가 느려지는 문제가 있다. 공인인증서의 유효기간이 1년밖에 되지 않아 매년 갱신이 필요하다는 점, 지문 인식이나 안면 인식과 같은 기술을 도입하지 않고 복잡한 비밀번호를 입력하는 방식이 유지돼 온 점도 불편을 가중시켰다.

한편 공인인증서는 인터넷뱅킹으로 인한 금융사고가 발생했을 때 그 책임을 은행이 아닌 이용자에게 돌리도록 만든다는 비판도 받았다. 보이스피싱 등으로 공인인증서가 유출돼 금융사고가 생겼을 때 부인방지 서명을 했다는 이유만으로 정상적인 거래로 취급돼, 그 책임이 사용자에게 돌아간다는 것이다. 김기창 교수(고려대 법학전문대학원)는 “공인인증서의 부인방지 기능은 공인인증서를 탈취당한 경우를 고려하지 않는다”라며 “공인인증서가 부인을 완전히 방지할 수 있다고 보기 어렵다”라고 지적했다. 실제로 최근 국정감사에서 두 달 동안 4만 건이 넘는 공인인증서가 유출됐다는 점이 밝혀져 충격을 주기도 했다. 2011년에는 한 해커가 공인인증서를 탈취한 뒤 중국 산동성에서 이체를 시도했음에도 국내 은행이 아무런 조치를 취하지 않아 문제가 된 바 있다. 당시 법원은 해당 거래가 공인인증서를 통해 이뤄졌다는 이유를 들어 은행의 배상 책임을 인정하지 않았다.

공인인증서 폐지의 명과 암

오는 11월 공인인증서가 폐지되더라도 인증서 없이 인터넷 금융 거래를 하게 되는 것은 아니다. 전자서명법 개정안의 요지는 공인인증서 발급 기관이었던 한국인터넷진흥원을 비롯한 6개 기관 외에 네이버, 카카오 등이 서비스하는 사설 인증서에도 기존 공인인증서와 동등한 권한을 부여하고, ‘공인인증서’라는 명칭을 ‘인증서’로 통일하는 것이다. 빅데이터 분석 업체인 ‘링크브릭스’ 지윤성 대표는 “공인인증서에서 사용되던 인증 체계만 준수하면 어떤 기업이라도 인증서를 서비스할 수 있게 된 것”이라 설명했다.

◇더 편리해지나=지난 9월 농협 앱 ‘올원뱅크’에서 도입한 ‘패스(PASS) 인증서’는 기존 공인인증서의 편리성 문제를 개선했다. 공인인증서를 만들기 위해서는 계좌번호와 보안카드 번호를 입력하고 ARS 인증을 해야 하는 것과 달리, 패스 인증서는 이름과 주민등록번호 및 휴대폰 번호를 입력하면 손쉽게 가입할 수 있다. 공인인증서는 영문자, 숫자 및 특수문자를 포함해 10자 이상의 비밀번호를 요구하지만, 패스 인증서는 6자리 숫자만으로도 충분하며 지문 인식과 안면 인식 기술을 도입해 한층 편리해졌다.

그러나 공인인증서 폐지로 사설 인증서가 난립해 더 큰 불편을 야기할 것이라는 관측도 제기된다. 어떤 인증서를 도입할지는 각 은행의 정책에 달렸기에 개별 은행이 요구하는 인증서를 모두 설치하다 보면 인증서 사용이 더욱 불편해질 수 있기 때문이다. 지윤성 대표는 “공인인증서 폐지 초기에는 인증서 난립과 같은 부작용이 예상된다”라면서도 “장기적으로는 여러 은행들이 연합한 통합 인증 체계가 나오면서 해결될 것”이라 예측했다.

◇더 안전해지나=보안 측면에서 공인인증서는 상대적으로 쉽게 유출될 수 있고 ‘무차별 대입 공격’에 취약하다는 점이 지적돼 왔다. 공인인증서 파일은 별도의 보안 저장 공간이 아니라 USB 메모리나 하드 디스크 등에 저장되기에, 누구나 이 파일을 복사 및 유출할 수 있다는 것이다. 2020년 과학기술정보방송통신위원회 국정감사에서 더불어민주당 김상희 의원이 최근 5년간 75,710건의 공인인증서가 유출됐다고 지적하기도 했다. 또 공인인증서는 비밀번호를 여러 번 틀렸을 때 인증서의 실제 주인에게 경고하거나 추가 입력을 막는 기능이 없어 무차별 대입 공격에 취약하다는 지적을 받는다. 이에 대해 김승주 교수는 “공인인증서의 특성상 무차별 대입 공격이 가능한 것은 사실”이라면서도 “고도의 암호화 덕분에 해커가 비밀번호를 알아내는 데 30년 이상이 걸리는 데다 공인인증서의 유효기간이 1년이므로 이는 문제가 되지 않는다”라고 말했다.

한편 사설 인증서들은 공인인증서와는 다른 방식으로 보안성을 확보하고 있다. 일례로 카카오뱅크와 기업은행의 경우 스마트폰 내 별도의 보안 영역에 인증서를 저장하고 있어, 이를 함부로 복사하거나 유출하기는 어렵다. 그러나 인증 절차가 간소화되고 짧은 비밀번호를 사용하다 보니 보안이 약화될 가능성이 있다. 김승주 교수는 “토스나 카카오페이 같은 금융시장의 후발주자는 고객을 확보하기 위해 보안성보다 편리성을 우선시하고, 그 대신 금융사고가 발생했을 때 전액 보상하는 정책을 펴고 있다”라며 “미국 페이팔이 인증서 없는 결제 시스템을 제공하면서 매년 10억 달러를 금융사고 배상에 지불하는 것과 같은 방식”이라고 설명했다.

◇시장의 다양성이 확보될까=지난 2015년 금융결제원은 ‘전자금융감독규정’을 개정해 공인인증서 의무 사용을 폐지했지만, 대부분의 은행은 기존의 공인인증서를 그대로 사용해 왔다. 전자서명법 개정안은 이를 의식한 것인지 ‘국가는 생체인증, 블록체인 등 다양한 전자서명수단의 이용 활성화를 위하여 노력하여야 한다’라는 조문을 포함하는 등 여러 인증 수단을 경쟁시킴으로써 시장의 다양성을 확보하도록 유도하고 있다. 김기창 교수는 “공인인증서 폐지로 일회용 비밀번호(OTP) 등 다양한 인증 방식이 경쟁하게 될 것”이라 예상했다. 반면 인터넷 관련 시민단체 ‘오픈넷’ 박경신 이사는 “이용자가 공인인증서처럼 USB에 저장된 인증서를 사용하는 것에 익숙하고, 은행도 기존 시스템을 쉽게 바꾸려 하지 않을 것이기에 큰 변화는 없을 것”이라 말했다.

◇금융사고 책임은 누구에게=공인인증서 폐지 후에도 금융사고의 책임 소재가 이용자에게 전가될 것인지에 대해서는 의견이 분분하다. 일부는 ‘국가 공인 기술’이라는 공인인증서의 권위가 사라진 만큼 책임 소재 분배에 변화가 있으리라 전망한다. 김기창 교수는 “지금까지 법원은 ‘국가에서 공인한 기술을 사용했으므로 은행은 보안 관련 의무를 다했다’라는 식의 판결을 내렸다”라며 “공인인증서가 사라진 후에는 은행의 책임이 인정될 것”이라 말했다. 반면 공인인증서가 폐지되더라도 금융사고의 책임 소재가 달라지지는 않을 것이라는 의견도 나온다. 김승주 교수는 “금융사고의 책임이 이용자에게 돌아가는 것은 ‘전자금융거래법’ 제9조에 의거해 이용자에게 중대한 과실이 있는 경우”라며 “공인인증서 폐지는 전자서명법 개정에 의한 것으로 금융사고 책임과는 직접적인 관련이 없다”라고 주장했다.

새로운 인증서가 나아갈 길

앞으로 사설 인증서가 안전하고 편리하게 사용되기 위해서는 최신의 보안 기술을 도입할 필요가 있다. 일반 비밀번호에 더해 2차 비밀번호, 지문 인식 등의 다른 인증 수단을 함께 사용하는 방식인 ‘이중 인식’을 도입하거나, 블록체인 기술을 기반으로 하는 ‘분산신원증명’을 활용하는 방향을 고려해봄 직하다. 천정희 교수는 “새로운 인증서가 편리해진 만큼 안정성이 다소 떨어질 수 있다”라며 “송금 액수를 제한하는 등 보조적 도구를 같이 사용해 보완해야 할 것”이라 말했다. 현재 미국·영국 등에서는 정부·법원 등 행정 서비스를 처리할 때만 공인인증서를 사용하고, 일반적인 금융거래는 아이디와 비밀번호 정도만이 필요하다. 이 과정에서 부정 사용에 따른 금융사고를 방지하기 위해 일정 금액 이상을 이체할 때는 일회용 비밀번호(OTP)를 사용하는 등 추가적인 장치를 넣고 있다. 지윤성 대표는 “해외에서는 ‘이상금융거래탐지시스템’(Fraud Detection System)이라는 기술을 사용한다”라며 “예를 들어 강남과 강북에서 10분 간격으로 금융 결제가 이뤄지는 등의 이상 거래가 탐지됐을 때 계좌 정지와 같은 조치를 취하는 것”이라고 소개했다.

금융사고에 대한 책임 소재를 보다 공정하게 분배하는 제도를 고민하는 것도 필요하다. 해외의 금융거래 시스템은 공인인증서보다 사고율이 높지만, 사용 과정이 편리하고 사고 시 소비자를 보호하는 규정이 제대로 마련돼 있다. 예를 들어 독일이나 영국에서는 금융사고가 발생했을 때 소비자가 일정 기간 내에 신고할 경우 소비자에게 책임을 물리지 않는다. 반면 우리나라 ‘전자금융거래법’은 ‘이용자의 고의나 중대한 과실’이 있는 경우에 이용자에게 책임을 물릴 수 있다는 규정을 두고 있으며, 위와 같은 소비자 보호 규정은 전무한 상황이다. 박경신 이사는 “공인인증서에 안주해 온 은행권에 변화를 일으키려면 금융기관에 더 무거운 책임을 부여하는 방향으로 법 개정이 필요하다”라고 말했다.

보다 근본적으로는 인증서의 기술적 발전을 촉진하기 위해 규제의 방향성을 개편할 필요가 있다는 지적도 나온다. 기술 발전과 상용화를 위한 제도 제정이 미비한 상태에서, 보안성이나 이용자 편의와 직접적인 관련이 없는 규제가 많이 남아 있기 때문이다. 특히 특정 업체가 인증서 시장을 독점하지 못하도록 제한하는 제도적 장치가 필요하다. 전자서명법 개정안에서는 국가로 하여금 다양한 인증서 간의 경쟁을 독려해야 한다고 규정하고 있지만, 그에 따른 구체적인 지침은 존재하지 않는다. 지윤성 대표는 “전자서명법 개정은 이제 시작일 뿐”이라며 “개정안의 취지에 맞게 세부 세칙 또한 함께 개정돼야 한다”라고 지적했다.

공인인증서는 과거 인터넷뱅킹 활성화 및 전자정부 도입과 맞물려 사람들의 생활을 편리하게 만들어 줬지만, 현재에 와서는 기술적, 제도적 한계로 폐지되기에 이르렀다. 그러나 사설 인증서의 본격적인 도입을 앞두고 있는 현시점에서도 기존 공인인증서가 갖고 있었던 문제 중 일부가 아직 해결되지 않았을 뿐 아니라, 사설 인증서의 난립과 같은 새로운 문제도 등장하는 실정이다. 전자서명법 개정이 ‘개선’이 아닌 ‘개악’이 되지 않도록, 공인인증서의 빈자리를 채우기 위한 제도적 보완책이 요청되는 시점이다.

삽화: 김채영 기자 kcygaga@snu.ac.kr

김지온 기자 kion27@snu.ac.k