“오해하지 마십쇼. 공인인증서를 무작정 없애자는 게 아닙니다. 공인이라는 말만 떼자는 겁니다. 정부가 국민들에게 획일적인 보안 시스템을 강요해서는 안 된다는 겁니다.”
김기창 고려대 법대 교수를 처음 만나는 사람들은 두 번 놀란다고 한다. 논리정연한 주장에 어울리지 않는 어눌한 경상도 사투리 억양에 한 번 놀라고 공인인증서 폐지 운동을 주도하고 있는 그가 컴퓨터공학과가 아니라 법대 교수라는 사실에 두 번 놀란다.
김 교수는 “이번에야 말로 드디어 공인인증서를 폐기할 수 있을 거라고 믿었다”고 말했다. 국회 미래창조과학방송통신위원회 소속의 최재천 민주당 의원이 발의한 전자서명법 개정안과 정무위원회 소속의 이종걸 민주당 의원이 발의한 전자금융거래법 개정안이 동시에 발의됐다. 김 교수는 지난 두어 달 거의 의원회관으로 출근하다시피 하면서 관련 의원들을 만나 공인인증서를 폐기해야 하는 이유를 설명했다.
그러나 25일 최재천 의원실 관계자에 따르면 전자서명법 개정안은 일부 의원들의 반발에 부딪혀 제대로 논의조차 되지 못했다. 전자금융거래법 개정안도 이종걸 의원실 관계자에 따르면 9월 국회에서 다시 논의하기로 미뤄진 상태다. 일단 금융위원회에서 발주한 연구용역 결과를 보고 결정하기로 했다는 이야기다. 결국 두 법안 모두 6월 국회 상정은 물 건너갔다는 분위기가 지배적이다.
전자서명법 개정안에는 한국인터넷진흥원(KISA) 이외의 최상위 검증기관을 두는 방안이 포함돼 있다. 지금은 KISA가 공인인증을 검증하는 역할을 맡고 있지만 개정안이 통과되면 베리사인이나 코모도 같은 해외 사설 인증업체들이 그 역할을 대신하게 될 수도 있다. 정부 기관을 어떻게 믿느냐는 주장과 그렇다고 어떻게 해외 업체들에게 보안을 맡길 수 있느냐는 주장이 엇갈린다.
전자금융거래법 개정안은 “금융위가 공인인증서의 사용 등 인증방법에 대하여 필요한 기준을 정할 수 있다”는 내용을 삭제하고 다양한 보안 및 인증기술을 적용할 수 있도록 허용하는 방안이 포함돼 있다. 개정안이 통과되면 공인인증서를 의무적으로 쓰지 않아도 된다. 공인인증서를 계속 써도 되고 필요하다면 사설인증서를 써도 된다는 이야기다. 이 경우 은행마다 다른 인증서를 설치해야 하는 불편함이 있을 수 있다.
김 교수는 “기자들이 누구도 주장한 바 없는 ‘인증서 폐지론’을 멋대로 상상한 다음 ‘폐지론 vs 존치론’으로 보도하고 있는데 정확하게 말하면 특정 기술을 강제하지 말고 선택할 수 있게 하라는 이야기일 뿐”이라고 지적했다. 김 교수는 “미국에서도 여러 최상위 인증기관이 존재하는데 무슨 불편이나 혼란을 초래했다는 이야기는 들은 적이 없다”고 강조했다. “지금까지는 KISA가 독점했지만 KISA도 여러 사업자 가운데 하나로 들어오면 된다”는 이야기다.
김 교수는 “월요일(24일) 오전까지만 해도 통과가 확실하다고 들었는데 막판에 뒤집힌 이유를 모르겠다”고 말했다. 김 교수는 “이런 분위기라면 9월 정기국회에서도 어려울 것 같다”고 덧붙였다. 정무위 위원장을 맡고 있는 박인식 새누리당 의원실 관계자는 “개정안의 취지에는 동의하지만 일단 연구용역 결과를 보고 판단하기로 한 것일 뿐”이라면서 “시각을 다투는 게 아니라면 3개월 정도는 더 기다릴 수 있는 것 아니냐”고 말했다.
김 교수가 공인인증서 폐기 운동에 발 벗고 나선 건 한국 인터넷을 갈라파고스로 만드는 이 오래된 악법을 더 이상 방치할 수 없다고 보기 때문이다. 세계 어느 나라에도 없는 국가 주도의 보안 시스템 덕분에 한국은 액티브엑스를 가장 많이 쓰는 나라가 됐다. 마이크로소프트 의존도도 세계 최고 수준이다. 김 교수는 전응휘 녹색소비자연대 이사 등과 함께 사단법인 오픈넷을 만들어 인터넷 프라이버시와 저작권법 개정 등 정보운동에도 앞장서고 있다.
공인인증서의 역사는 1999년 7월로 거슬러 올라간다. 전자서명법이 발효되고 2003년부터 인터넷 뱅킹과 온라인 증권 거래 등에 공인인증서 도입이 의무화됐다. 금융결제원과 한국증권전산, 한국정보인증, 한국전자인증, 한국무역정보통신 등이 공인인증 기관으로 등록돼 있는데 KISA에 따르면 전체 인증 서비스 시장은 지난해 기준으로 520억원 규모, 이 가운데 공인인증 기관들이 70% 정도를 차지하는 것으로 추산된다.
오승곤 미래창조과학부 정보보호정책과 과장은 “공인인증서가 가진 기본 요건을 충족하거나 더 안전하고 편리하고 저렴한 방식이 있다면 얼마든지 이용, 활성화할 수 있다”면서도 “현행 전자서명법 테두리 안에서도 충분히 가능한 일”이라고 지적했다. 전요섭 금융위 전자금융과 과장은 “대체수단이 없는 상황에서 갑작스럽게 제도가 변화되면 혼란이나 또 다른 충격이 발생할 수 있어 충분한 검토와 논의 과정을 통해 제도 개선이 필요하다”고 지적했다.
안기범 한국정보인증 전략기획팀 팀장은 최근 한 토론회에서 “개정 법률안은 공인인증서 사용에 대한 조항을 모두 삭제해 사실상 공인인증서를 폐지하는 것과 다름없다”면서 “공인인증서를 폐지할 경우 국민들이 다수의 인증서를 발급받아 사용해야 하는데 사설인증 제도 아래서는 인증기관별 호환성이 사라져 수십 개의 보안인증서를 보유해야 하는 불편함이 생길 수 있다”고 설명했다.
김 교수와 함께 공인인증서 폐기 운동을 벌이고 있는 강정수 연세대 커뮤니케이션연구소 연구원은 “의원들도 개정안의 내용을 제대로 이해하지 못했던 것 같다”면서 “공인인증서가 국제 표준이라거나 공인인증서 이외의 다른 대안이 없다거나 하는 황당무계한 소리를 믿는 의원들도 많았다”고 말했다. 강 연구원은 “가장 안전하다고 생각하는 공인인증서가 일상적으로 보안 위험을 키우고 있다는 데서 출발해야 한다”고 지적했다.
김 교수나 강 연구원 등은 공인인증서가 취약해서라기 보다는 모든 국민들이 하나의 보안 시스템에 의존하는 것이 문제라고 본다. 특히 마이크로소프트 윈도우즈에서만 구동되는 액티브엑스(ActiveX) 기반의 공인인증서 시스템이 액티브엑스 설치를 남발하게 만들고 컴퓨터의 통제권을 송두리째 넘겨주는 결과를 초래한다는 지적이다. 공인인증서를 빙자한 스파이웨어가 나돌아 다니는 것도 이런 이유에서다.
김 교수는 “설령 공인인증서를 폐기한다고 해도 여전히 기존의 방식을 고집하는 금융기관들이 있을 수 있다”면서도 “중요한 것은 다양한 기술적 가능성을 열어두는 것”이라고 강조했다. 김 교수는 “액티브엑스 기반이 아니라 맥이나 리눅스 등 여러 운영체제를 지원하는 보안 시스템이 도입될 수도 있고 그 과정에서 경쟁이 촉진되고 좀 더 혁신적인 기술이 나올 수도 있다, 소비자들에게 선택을 하도록 하면 된다”고 덧붙였다.
강 연구원은 “공인인증서 시스템에서는 금융 사고가 나면 공인인증서를 제대로 관리하지 못한 이용자 책임이라고 떠넘길 수 있기 때문에 공인인증서를 도입하는 것만으로 금융기관들에게 면책이 된다는 믿음이 확산돼 있다”고 설명했다. 강 연구원은 “공인인증서 시스템이 완벽하지 않을 수 있다는 사실을 인정해야 하고 금융기관에서도 계좌 이체 상대방의 계좌에 크레딧 검증을 하는 등 복수의 안전장치를 둘 필요가 있다”고 덧붙였다.
강 연구원은 “공청회를 할 때면 보안 업체 관계자들이 단상을 줄줄이 차지하고 있다”면서 “수백억원의 이해관계가 얽힌 사안이라 로비도 많은 것으로 알고 있다”고 말했다. 강 연구원은 “단순히 금융 결제 뿐만 아니라 정부에서 운영하는 연말정산 사이트나 공과금 사이트에 접속해도 온갖 액티브엑스 프로그램을 깔라고 강요하는데 이런 업체들이 거대한 공인인증서 카르텔을 형성하고 제도 변화를 가로막고 있는 상황”이라고 지적했다.
김 교수는 “이제는 국회 차원에서 해법을 기대하기는 어렵게 됐다”면서 “일부 스타트업 벤처들을 중심으로 공인인증서에 반발하는 움직임이 있는데 만약 금융위 등에서 문제를 삼으면 행정소송을 내서 사법적 판단을 받을 계획”이라고 밝혔다. 실제로 다국적 서비스를 하려는 국내 인터넷 기업들이 폐쇄적인 결제 시스템 때문에 해외 이용자들을 확보하지 못하는 경우가 많다는 지적이다.
