한겨레

[한겨레] '액티브 엑스' 기반 보안 취약

유출 쉽고 피싱 위험에 노출

국회, 의무사용 삭제 개정안 발의

전자서명 대체할 방법이 없고사설기관 난립주장 등 반발 커'하반기까지 좀더 검토' 폐지 유보

"10년 넘게 유지돼 온 잘못된 제도를 고치기 위해 최근 두 달 동안 총력을 기울였다. 그런데 단 15분 만에 무산돼버렸다. 허탈하다."(한 인터넷업체 관계자)

'액티브 엑스'와 더불어 우리나라만의 낙후된 인터넷 환경의 대표적 사례로 손꼽혀 온 '공인인증서 의무화 제도' 폐지가 좌절됐다. 지난달 24일 국회 정무위 법안심사소위는 공인인증서 의무화 폐지를 담은 전자금융거래법 개정안 통과를 유보하기로 결론내렸다. 법안 통과를 기대했던 시민단체 쪽은 낙담하면서도 "가을 국회 때는 꼭 통과돼야 한다"며 기대를 접지 않고 있다. 공인인증서는 어떤 문제가 있기에 이렇듯 논란이 되는 것일까.

■ 보안에 취약한 구식 '전자 인감'

공인인증서는 인터넷뱅킹 등 금융거래와 전자정부 같은 공공서비스 이용 때 이용자 본인 확인용으로 쓰이는 일종의 '전자 인감'이다. 전자금융거래법에서 정부(금융위원회)가 금융기관 등에 사용을 의무화하도록 하고 있다. 인터넷뱅킹 때 아이디와 비밀번호를 이용해 로그인한 뒤, 계좌 비밀번호와 보안카드 비밀번호에 이어 공인인증서 비밀번호를 입력해야만 이체 등을 할 수 있다. 2000년 도입된 공인인증서는 국내 경제활동 인구(2550만명)보다도 많은 3000만건 가량이 발급됐을 정도로 광범위하게 사용되고 있다.

그런데 공인인증서는 국제표준이 아니라 미국 마이크로소프트(MS)가 임의로 만든 '액티브 엑스' 기반이다. 액티브 엑스는 엠에스의 익스플로러에서만 구동돼 웹브라우저의 다양화를 가로막고, 시스템에 부담을 줄 수 있는 여러 프로그램을 깔도록 강요한다. 악성코드 유포 경로로 활용돼 엠에스마저 '지양'을 선언했다. 공인인증서는 보안에 취약하다는 치명적인 약점도 있다. 최근 잇따른 정보 유출 사건에서 확인되듯이 공인인증서는 특정 폴더에 저장돼 있어 유출되기 쉬울 뿐더러 (사이트가 가짜 서버인지) 서버 인증을 하지 않아 피싱(전화·인터넷사기) 위험에 노출될 수도 있다. 이때문에 공인인증서 의무화가 되레 보안을 해치고, 국내 보안기술을 1990년대 수준에 머물도록 한다는 지적이 끊이지 않았다.

■ 폐지 유력했으나 "가을에 재논의"

이때문에 보안 전문가들 사이에서는 공인인증 시스템은 유지하더라도 공인인증서 사용 강제는 문제라는 견해가 많았지만, 실제 법안 개정을 위한 구체적인 움직임은 올해 들어서야 본격화했다. 5월 국회 정무위 소속 이종걸 의원(민주당)이 공인인증서 사용을 강제하는 근거가 됐던 전자금융거래법 개정안을, 미래창조과학방송통신위원회 소속 최재천 의원(민주당)이 정부 주도 인증제도를 폐지하는 내용의 전자서명법 개정안을 각각 발의했다. 공인인증서 사용 의무를 삭제해 금융회사가 보안기술을 선택하고, 정부 주도 인증제도를 폐지해 '관치 보안' 논란을 불식시키도록 하자는 취지였다. 안철수 의원(무소속)도 지지의사를 밝혔다.

하지만, 이미 강력한 생태계(시장)를 구축하고 있는 공인인증서 진영의 반발도 컸다. 금융결제원·한국정보인증 등 5개 공인인증기관과 인터넷진흥원(KISA) 등은 "공인인증서가 이미 대중화된 전자거래 방식이고, 중국·오스트레일리아·스웨덴 등에서도 운용되는 제도"라고 반박했다. 또 전자서명을 대체할 방법이 없고, 정부가 공인인증기관을 지정하는 제도를 폐지하면 사설기관이 난립해 국민 불편으로 이어진다는 주장도 내놓고 있다. 공인인증서 관할 부처인 금융위도 비슷한 태도였다.

최근엔 공인인증서 시장점유율 75% 가량을 차지하는 것으로 알려진 금융결제원과 관리·감독기관인 금융위의 유착 의혹이 제기되기도 했다. 금융위는 공인인증서를 강제하고, 대신 공인인증서 시장을 대부분 차지하고 있는 금융결제원은 금융위(기존 기획재정부·재정경제부) 출신 공무원들을 대대로 감사로 받아줘 3년 동안 10억원 가량의 보수를 지급한다는 얘기다. 비영리 사단법인인 금융결제원이 수익사업을 펼치지만, 사업내용이 전혀 공개되지 않는 등 투명성도 문제가 있다는 게 시민단체인 오픈넷 등의 지적이다. 이에 대해 금융결제원 쪽은 "발급되는 공인인증서 대부분은 무료여서 수익이 나지 않고, 금융위 출신 감사는 금융권에서 일반적인 일"이라며 반박했다.

■ 가을 국회 때 삭제될까? 안개 속

이런 상황을 종합해보면, 개정안 통과가 유력해 보였다. 워낙 오랫동안 지적돼온 문제인 데다 여야 모두 이견이 없어보였기 때문이다. 하지만 지난달 24일 정무위 법안심사소위에서는 여당 의원들을 중심으로 대안 부재론과 이용자 혼란 우려가 제기되더니, 결국엔 '올해 하반기까지 좀 더 검토를 해야 한다'는 금융위 의견을 받아들여 법안 통과가 유보됐다.

결국, 공인인증서 의무화 폐지 여부는 가을 정기국회 때 결정될 전망이다. 여기서는 급격한 제도 변화에 따른 혼란을 우려해 법안심사소위 때 유보 쪽에 선 의원들이 어떤 태도를 취하느냐가 열쇠가 될 전망이다. 주무부처인 금융위의 태도 변화 여부와 9월까지 진행될 것으로 알려진 '전자금융 인증체계 개편 관련 연구용역' 결과에도 관심이 쏠린다.

공인인증서 의무화 폐지 운동을 벌여온 김기창 고려대 교수(법학)는 "개정안의 취지는 공인인증 제도를 폐지하자는 게 아니라, 독점을 풀어 금융사가 자율적으로 금융보안 수단을 결정할 수 있도록 하자는 것이다. 그런데 반대 쪽에서는 '공인인증서가 사라지면 혼란이 온다'며 엉뚱한 얘기만 반복했다. 그 자체가 (공인인증서 독점을 지지하는 쪽이) 별 논거가 없다는 반증"이라고 말했다. 이순혁 기자 hyuk@hani.co.kr

<한겨레 인기기사>■ 박정희 전 대통령이 깔았던 호피는 어디로 갔을까?■ 이 눈빛…차유람의 큐는 '칼'이었다■ 평균나이 75살…'할배 4인방' 예능에 떴다■ 후원 2개월만에…박인비 스폰서의 선견지명■ [화보] 이집트 군부 개입 초읽기 '일촉즉발'

공식 SNS [통하니][트위터][미투데이]| 구독신청 [한겨레신문][한겨레21]

Copyrights ⓒ 한겨레신문사, 무단전재 및 재배포 금지

<한겨레는 한국온라인신문협회(www.kona.or.kr)의 디지털뉴스이용규칙에 따른 저작권을 행사합니다.>