공인인증서 문제, “기술은 중립적이다?”

"공인인증서는 2010년 12월까지는 용도에 따라 범용과 용도제한용으로 나뉘었다. 범용 공인인증서는 사용범위가 제한되어 있지 않아 인증서가 필요한 모든 거래에서 사용 가능하다. 단 수수료가 붙는다. 발급시 개인은 4,400원(부가세 포함), 사업자는 110,000원(부가세 포함)을 지불해야 하며, 1년 단위로 갱신할때마다 같은 비용을 지불해야 한다. 발급기관에 따라 추가서비스가 포함된 프리미엄 상품이 있으며, 2년 혹은 3년치를 한꺼번에 지불할 경우 할인이 되는 곳도 있다. 용도제한용 공인인증서는 정해진 특정 용도로만 사용할 수 있다. 은행/카드/보험용. 증권/카드/보험용, 관세청 통관포털용, 원산지 증명용, 전자세금계산서용 등이 있으며, 범용 공인인증서보다 저렴하다. 또한 개인용 공인인증서는 대부분 무료로 발급되기 때문에 특정 분야에서만 공인인증서가 필요한 사람이라면 용도제한용 공인인증서를 택하는 것이 좋다. – 네이버 지식백과

activex
▲ActiveX 형태의 공인인증서 SW 예시(출처: KISA)

공인인증서는 국민의 불편을 담보로 소수의 먹거리를 보장해준다. 2013년 현재 한국에서 발급된 건수는 약 3,000만 건으로, 경제활동 인구의 90퍼센트 이상이 사용한다.(인용)

비록 개인에게 무료가 많지만 공인인증서는 국민의 90%이상을 사용자로 갖는 거대 시장이다. 그런데 이 보안 시장은 특정 업체가 독식하는 구조로 수십년 동안 이어왔다. 

위키 내용을 살펴보면, 1999년 전자서명법이 발효되면서 전자정부의 초석을 다지기 위해 11명의 암호학 교수들이 모여서 연구를 시작했다. 그러나 연구 도중 두 파벌로 나뉘면서 상공회의소+행정부를 중심으로 한 축과 금융결제원, 은행, 보험등 금융업계로 나뉘게 된다.

처음 공인인증서를 1999년 부터 연구해 우리나라에 정착시켜 나갔는데, 그 뒷받침은 든든한 법에 근거했다. 발급은 전자서명법 제4조의 규정에 의하여 지정된 몇몇 공인인증기관만이 할 수 있었다. 

이런 독점과 유사한 과점으로 해당 몇몇 국내 암호학 교수와 그 제자 집단이 급성장했지만,  새로운 상거래 보안 기술 및 정책 개발 그리고 상용화에 소홀했다. 

한번 만든 제도로 몇몇 기관과 그 직원들 그리고 소수의 전문가들이 암호라는 특수성을 가지고 전문가 행세를 하며 호위호식할 수 있는 법적·기술적 토대가 마련된 마당에 누가 이를 개선하고 도전적으로 바꾸려고 하겠는가?

급기야 2013년 2월 전문 해커들이 신한 · 국민 · 우리 · 하나 · 농협은행 등 주요 시중은행이 발급한 공인인증서 약 700개를 빼간 것이 적발되고 5월에는 공인인증서 수백 개가 파밍(pharming) 수법 등 수 많은 해킹으로 해커들에게 유출된 것으로 드러나면서 공인인증서의 안전성에 대한 문제 제기가 이어졌다.(인용

그 뿐만 아니라, 아마존 등 해외 직구 등을 경험한 국내 이용자들이 우리나라의 공인인증제도와 연동되는 엑티브 엑스가 얼마나 후진적이고 무모한 기술인지를 체험하게 된 것이다. 

"이런 문제가 덕지덕지 쌓여갈 동안 공인인증서로 전문가 행세를 하고 수익을 올렸던 이들 중 어느 누구도 공인인증서에 대한 책임을 지겠다는 전문가(양심선언이든, 그간의 잘못에 대한 반성의 글 한 줄 등)는 없다. 심지어 2014년 공인인증서 의무사용 조항이 삭제(전자금융거래법 개정안)되자, 자신들은 잘못이 없는 듯 행세하는  전문가마저 있어 눈쌀을 찌프리게 한다."

"현재 금융 업계 표준으로 자리 잡은 공인인증서는 사라지기 어려운 현실이다. 금융 보안 시스템은 대규모 자금 투입과 운영인력의 교육 등 노하우가 필요하다  이미 업계의 표준이되고 금융 비즈니스에 경로의존적으로 엑티브엑스 기반의 공인인증서을 사용하는데 익숙해진 곳이다 따라서 법으로 공인인증서를 사용못하게 하는 강력한 정책말고는 이를 빠르게 해결할 방안은 없다 그렇다고 법적 강제도 부작용이 커서 쉽게 실천할 수 없다".

결국 공인인증서는 지금도 대한민국의 주요 은행과 쇼핑몰에서 30만 원 이상을 거래할 때 꼭 필요한 엑티브 엑스 기반의 기술이다. 

공인인증서로 수십년 동안 호위호식한 그들만의 리그에 있는 몇몇 대학교의 교수와 암호학자 그리고 공인인증기관의 종사자들은 지금도 전문가라는 미명 아래 엑티브 엑스의 문제이지 공인인증서가 문제가 아니다. 그래서 공인인증서를 이렇게 수정하고 고쳐나가면 된다는 등의 발언을 한다. 

아마도 이러한 발언을 시민단체나 피해를 입은 소비자 보다 학자로서 산업계의 전문가로서 앞장서서 이야기 하고 제도 개선을 하였다면, 필자는 이들의 높은 직업 정신에 경외감을 가질 것이다. 

그러나 그들은 곪을 대로 곪아진 기술을 고집하고 이를 표준화하여, 지금까지 끌고 옮에 따라 수많은 핀테크와 보안 관련 벤처 청년들이 더 좋은 암호나 보안 기술을 개발해도 시장에 팔수 없는 ICT 산업의 사막화에 앞장섰다. 이런 폐단을 저지른 당사자들은 여전히 자신들의 노력으로 우리나라의 ICT가 여기까지 왔다는 생각에 사로잡혀 있다. 

IT 전문가들은 공인인증서만을 고집하는 현행 체계를 다양한 표준이 가능하도록 열어달라고 말한다. 다양한 공인인증 서비스가 허용되면 여러 플레이어가 들어올 것이고, 시장의 경쟁에 의해 소비자와 사업자들이 자연스럽게 우수한 서비스를 선택할 것이라는 주장이다.(인용)

최근 보안에 가장 안전한 블록체인 기술은 분산 원장에 기반한 분산환경이다. 보안에 가장 안전한 방식은 초분산환경이다. 국가가 관장하는 공인인증 기관과 소수 암호학자들에게 금융 보안 등을 맡긴다는 것은 이미 시대 흐름에 거를만큼 거른것이다.

안타까운 점은 이들은 정권이 바뀌어도 “기술은 중립적이다” 라는 미명아래 자신들의 이익을 여전히 확장하고 보장받는 기술 정책을 그럴듯한 미사어구와 전문 지식을 앞세워 펼치고 있다는데 있다. 

[강장묵 고려대학교 교수]

◆외부 필진 기고와 칼럼은 IT NEWS 편집방향과 다를 수도 있습니다.