전자상거래와 공공 서비스, 금융 거래 등에 꼭 필요했던 공인인증서 제도가 오는 11월 말부터 폐지된다. ‘공인인증서’라는 개념이 사라지지만 기존에 발급받았던 공인인증서를 당장 쓸 수 없게 되거나 인증서 자체가 필요 없게 되는 것은 아니다. 앞으로도 은행 대출을 받거나 연말정산을 할 때처럼 이용자가 본인의 신원을 증명하고 직접 문서에 서명했다는 사실을 확인해야 할 경우에는 인증서와 같은 전자서명 수단이 필요하다. 다만 이제까지는 국가가 지정한 기관에서 발급한 ‘공인’ 인증서를 써야 했다면 앞으로는 민간의 다양한 전자서명 수단을 써도 되는 환경으로 바뀌게 되는 것이다.
공인인증서의 독점적 지위가 깨짐에 따라 더 편리하고 안전한 인증 서비스로서 선택받기 위한 경쟁이 치열해질 것이란 기대가 커졌다. 다만 한편에서는 정작 공인인증서 자체보다 이용자들이 더 큰 불편을 호소했던 액티브엑스(ActiveX)나 실행파일(.exe) 등 각종 보안 프로그램 설치 문제는 해결되지 않았다는 볼멘소리도 나온다. 금융사고가 발생했을 때의 관리 소홀 책임도 이용자에게 돌릴 수 있는 제도적 구조는 그대로이기 때문이다. 결국 공인인증서와 상관 없이 금융사에 접속할 때마다 서로 다른 보안 프로그램을 덕지덕지 깔아야 했던 불편함은 계속될 우려도 남았다.
이번 전자서명법 개정의 핵심은 정부가 지정하는 ‘공인’ 인증기관과 그곳에서 발급한 공인인증서, 그리고 공인인증서에 기반한 공인전자서명의 개념을 없애는 것이다. 현재는 한국정보인증·코스콤·금융결제원 등 과학기술정보통신부가 지정한 5개 기관에서 발급한 인증서만 ‘공인’ 자격이 있는데 앞으로는 이 계급장을 떼고 다른 민간 인증서와 법적으로 동등한 지위를 갖게 된다.
따라서 기존 5개 기관에서 발급한 공인인증서는 유효기간까지 그대로 이용할 수 있으며 공인인증서 제도가 폐지된 후에도 이용 기관과 개인의 선택에 따라 계속 쓰는 것도 가능하다. 네이버 인증서, 카카오페이 인증, 이동통신 3사 패스(PASS) 인증 등 다양한 민간 인증서와 마찬가지로 다양한 인증 서비스 가운데 하나로 선택을 받으면 된다.
이에 맞춰 기존 공인인증서 발급 기관들도 서비스 개선에 나섰다. 대표적으로 국민들이 금융거래 때 가장 많이 사용해온 금융결제원 공인인증서도 유효기간을 현재의 1년에서 3년으로 늘리고 자동갱신도 가능하도록 바뀔 예정이다. 금융결제원은 설정 조건이 까다로웠던 비밀번호를 여섯자리 PIN 번호나 지문·안면·홍채 등 생체인증으로 바꾸고 은행별로 제각각이었던 인증서 발급·이동 절차도 간소화하기로 했다.
공인인증서 제도의 이런 변화에도 불구하고 이용자들이 가장 큰 불편을 호소했던 각종 플러그인 보안 프로그램 설치 문제는 개선되지 않을 우려가 있다. 인증서를 발급·이용하는 기관들이 보안프로그램 설치를 요구하면 이용자로서는 어쩔 도리가 없기 때문이다. 인증서 발급기관의 한 관계자는 “공인인증서와 보안프로그램 설치는 별개 문제”라며 “인증서 발급·이용 과정에서 별도 프로그램 설치를 하지 않도록 개선하더라도 이와 별개로 은행이 금융거래 때 보안 프로그램 설치를 필수적으로 요구한다면 어쩔 수 없다”고 말했다.
실제 현재의 공인인증서도 그 자체로는 액티브X와 실행파일 설치가 필수가 아니다. 2014년 ‘천송이 코트’ 논란으로 액티브X 퇴출 요구가 거세짐에 따라 보안업계에서는 이미 수년 전부터 별도로 프로그램을 설치할 필요가 없는 웹 표준 기반의 공인인증서 솔루션을 개발해 적용했다. 그런데도 공공기관이나 금융사 등이 기존 보안 시스템에 따라, 혹은 개인이 지켜야 할 보안 절차를 강화하기 위해 각기 다른 보안 프로그램 설치 방식을 고수하고 있는 실정이다.
결국 금융사 등이 ‘겹겹이’ 보안 프로그램 설치에 의존하는 보안 절차를 고수하고 금융사고가 발생했을 때 사실상 면책 요건으로 활용할 수 있는 제도적 여건을 개선해야 한다는 지적이 나온다. 현행 전자금융거래법상으로는 고객의 공인인증서가 해킹돼 금융사고가 발생할 경우 관리 소홀의 책임은 고객에게 돌아간다. 가령 인터넷뱅킹을 할 때 은행들이 고객에게 공인인증서와 함께 각종 보안 프로그램 설치를 요구하고 이를 따르지 않으면 이용을 제한하는 것도 이런 이유에서다. 보안업계의 한 관계자는 “소위 ‘액티브 엑스’ 문제는 공인인증서가 아니라 보안 노력을 개개인에게 떠넘기는 관행 때문”이라며 “금융사고에 대한 관리 책임을 금융사가 더 강하게 질 수 있도록 개선될 필요가 있다”고 말했다.
/빈난새기자 binthere@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
