1998년 어느 날. 인감도장 판매업자들이 ‘한 목소리’를 내는 일이 벌어졌다. 이들 주장의 요지는 ‘대체 뭐길래 우리의 밥줄을 위협하느냐’는 것. 지금은 눈만 깜박여도 계좌이체를 할 수 있지만 당시만 해도 은행 거래를 하거나 부동산을 사고팔 때 이름 석 자가 새겨진 인감도장이 없으면 안 되던 시절이었다. 도장 판매업자들을 두려움에 떨게 한 것은 바로 ‘공인인증서’였다. 그렇게 생소하게 세상에 나왔지만, 공인인증서는 온라인 공간에서 인감도장 역할을 대신하며 지난 20년간 디지털인증시장을 독점해왔다.
사실 공인인증서만큼 공(功)과 과(過)가 뚜렷하게 공존한 IT역사 산물은 없다. 당시 웹 환경에서 사용할 수 있는 최고의 기술로 만들어진 공인인증서는 전자상거래와 인터넷 금융거래 서비스 등 우리나라의 IT(정보기술)이 비약적으로 발전한 동력이었다. 반면 보안 기술이 공개키기반구조(PKI)라는 특정 기술에 얽매이게 해 다양한 인증 기술 발전을 막고 ‘액티브X’ 종속을 심화시킨 주범으로 비난받아 온 것도 사실이다.
우려가 더 컸던 걸까. 공인인증서가 폐지될 위기에 몰렸다. 2015년 공인인증서 의무 사용제도를 없앤 데 이어 그동안 유지돼왔던 공인인증서의 우월적 법적 효력도 폐지하기로 했다. 사실상 폐지 수순에 접어들었다는 분석이다.
◇당대 최신 IT 기술 총망라…인터넷뱅킹 시대 이끈 주역=공인인증서 시대의 시작은 1999년 2월 전자서명법이 만들어지면서부터다. 전자서명이란 ‘나만이 유일하게 소지하고 있는 전자서명키를 이용한다’는 사실을 공인된 기관 즉 공인인증기관이 보증해 준 서명이라는 뜻이다. 인터넷뱅킹을 할 때나 전자정부에서 주민등록등본을 발급받을 때 공인인증기관이 ‘본인’임을 인증해 주기 때문에 마음 놓고 서비스를 이용할 수 있었다.
공인인증서에는 당시 웹 환경에서 구현할 수 있는 최고 보안 기술들이 동원됐다. 20년 전에 만들어진 공개키 기반의 암호화 기술은 지금으로 치면 4차 산업혁명식 발상이나 다름없는 ‘혁신’에 가깝다. 이 같은 보안성을 무기로 공인인증서는 인터넷뱅킹은 물론 증권거래, 인터넷쇼핑, 전자세금계산서, 인터넷청약 등 생활 곳곳으로 스며들었다. 공인인증서가 발급되기 시작하면서 전자상거래와 인터넷뱅킹이 비약적으로 성장했다는 점에서 전자금융 시장 발전에 혁혁한 공을 세웠다는 점에 반론의 여지가 없다.
공인인증서는 수출효자 종목이기도 했다. 정확히 말하면 공인인증서를 구성하는 기반 기술인 공개키기반구조(PKI) 기술이 그 역할을 했다. 업계에 따르면 지난 2005년부터 현재까지 PKI 기술 수출로 거둔 수익은 340억원여에 달한다. 주요 수출국은 IT 기술력이 낙후된 베트남, 라오스, 캄보디아, 필리핀 등 동남아시아권에서는 지금도 우리나라 PKI기술을 도입하고 있다.
◇적폐대상 왜?…액티브X 프레임에 갇히다=‘1인 1인증서’ 시대(2017년 9월 기준 3724만개 보급)가 도래할 정도로 생활 속을 깊이 파고든 공인인증서는 어느 때부터인가 적폐 대상으로 거론되기 시작했다. 액티브X 프레임에서 벗어나지 못한 이유가 크다. 이 과정에서 정부의 실책이 크다. 당시 정부는 공인인증서 대중화 전략에 따라 보다 빠르게 편하게 인증서를 배포하고 사용할 수 있는 기술과 수단이 필요했다. 정부가 선택한 것이 액티브X 기술이다. 90년대 우리나라 사람 절대다수가 사용하는 웹브라우저는 마이크로소프트(MS)의 인터넷 익스플로러(IE). 여기서만 작동되는 액티브X는 사람들이 쉽게 공인인증서를 내려받을 수 있게 돕고 공인인증서 확산에 도움을 줬다. 공인인증서는 의도치않게 MS와 액티브X라는 특정 기업, 특정 기술 종속을 심화시키는 결정적 역할을 했다. 액티브X 방식의 보안 취약성 문제도 불거져 나왔다. 기존 프로그램과 충돌하거나 악성코드 전파통로가 됐던 것. 공인인증서가 ‘공공의 적’으로 인식된 것도 이 때문이다.
공인인증기관들도 그 책임에서 자유로울 수 없다. 면허 취득에만 안주한 채 사용 편의 노력을 등한시했다. 공인인증기관들이 지속적으로 다양한 종류의 브라우저에 적합한 인증서를 개발해 액티브X의 굴레에서 벗어나게 해줬더라면 지금과 같은 결말을 초래하지 않았을지 모른다.
왜곡된 사용문화도 문제였다. 국내 금융회사들은 공인인증서를 사실상 면피용으로 이용해왔다. 우리나라에서는 공인인증기관을 통해 인증된 사용자가 거래를 한 것이기 때문에 사고가 나도 은행 책임이 아니다. 해커가 공인인증서를 갈취해 거래를 했어도 은행에 책임을 물을 수 없는 법 구조하에서 은행들은 침묵했다. 이는 공인인증서 외에 다양한 보안기술과 서비스가 자유롭게 경쟁할 수 있는 환경을 가로막는 구조적 장애물이 돼 왔다. 민간 영역에서 단순 본인 확인 용도로 남용됐다.
그러나 이제는 시대가 달라졌다. 이제 불편한 인증서를 쓰는 사이버 공간은 이용자들의 외면을 받을 것이고, 사설이든 공인이든 보다 편리하고 안전한 서비스가 시장을 지배할 전망이다. 인증 시장의 상향 평준화를 위해선 공인인증서를 완전폐기하는 게 아니라 인증기관으로 진입하는 문턱을 낮춰 인증시장의 질적 수준을 높이는 것도 방법일 수 있다는 지적이 나온다.
정부는 공인인증의 대안으로 블록체인과 생체인증을 제시했지만 공인인증서의 기존 역할을 대체하기까지는 상당한 시간이 필요할 것으로 보인다. 생체인증 표준기술(FIDO)이나 블록체인은 현재 기술 수준에서는 공인인증서의 기능 중 하나인 ‘부인방지’ 역할을 하지 못하기 때문이다. 부인방지 기능은 데이터를 주고받는 거래 당사자들이 거래 행위 자체를 부인하는 것을 막기 위해 증거를 제공하는 보안 서비스로, 분쟁 발생 시 사용자의 책임을 입증하는 용도로 쓰인다. 전문가들은 기술 수준이 높아지기 전까지는 공인인증서의 부인방지 기능이 혼용된 기술이 활용될 수밖에 없을 것으로 보고 있다.
새로 도입되는 인증수단에 대한 안전성 평가도 필요하다. 대통령 직속 4차산업혁명위원회는 최근 ‘규제·제도혁신 해커톤’을 열고 공인인증서 폐지 후 다양한 인증서가 활용되는 환경에 대한 보완책이 필요하다는데 의견을 모았다. 이용자들이 공인인증서 폐지로 인한 불편함을 겪지 않도록 하기 위해 서비스제공자 간 상호연동 등의 다양한 방안을 검토하고 공공서비스부터 시범 사업을 해야 한다는 제안도 나왔다. 보안업계 고위 관계자는 “공인인증서 폐기를 기점으로 전자인증 시장이 성숙하게 발전할 수 있도록 정부 정책과 산업 환경이 뒷받침 돼야 할 것”이라고 말했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]