메뉴

[디지털라이프] 공인인증서 20년 만에 사라지나

너 없으니 편하더라, 이제 그만 떠나줄래

1999년 등장한 사이버 인감증명서

기사입력 : 2018-04-18 07:00:00

문재인 정부의 공약이었던 공인인증서 의무사용 폐지가 올해 안에 이뤄질 예정이다. 올해 1월 22일 규제혁신토론회에서 문재인 대통령이 공인인증서 의무사용 폐지 방침을 밝혔다. 그리고 지난 3월 29일 과학기술정보통신부는 공인인증서 의무사용을 폐지하는 ‘전자서명법’ 개정안을 발표했다. 개정안이 국회를 통과하면 6개월 후부터 공인인증서 의무사용 제도가 폐지된다.


◆공인인증서 폐지?

공인인증서가 없어지는 건 아니다. 바뀌는 건 공인인증서에서 ‘공인’을 떼는 것이다. 그동안 공인인증서만이 법적인 효력을 인정받는 전자서명이었다. 이번 개정안의 주요 내용은 공인인증서와 사설인증서 간의 구분을 없애고 동등한 법적 효력을 부여하는 것이다.

메인이미지

◆공인인증서 이미 폐지됐다?

2014년 드라마 ‘별에서 온 그대’의 ‘천송희 코트’가 공인인증서 때문에 해외에서 구매를 못한다는 지적 이후로 그해 5월에 30만원 이상 공인인증서 의무사용이 폐지됐고, 2015년 3월에는 금융위원회의 전자금융감독규정 개정으로 공인인증서 사용 의무 규정과 국가인증 정보보호제품 사용 의무도 폐지됐다. 하지만 금융회사들은 계속해서 사용해오고 있다.

지난해 카카오뱅크가 처음으로 공인인증서 없이 지문·패턴 등 다른 인증방식으로 서비스하고 있다.

이번에 바뀌는 건 전자서명법이다. 이 법은 금융거래뿐만 아니라 민원서류 온라인 발급 등 다양한 분야에서 사용되던 공인인증서의 전자서명 법적 효력을 개정하는 것이다. 민원24 사이트에서 공인인증서 없이도 주민등록등본을 뗄 수 있는 날이 오는 것이다.

◆앞으로 공인인증서 못 쓰나?

공인인증서 의무 사용 조항이 사라지는 것일 뿐 기능이 사라지는 것은 아니다. 다른 인증방식을 사용할 수 있지만 공인인증서도 사용할 수 있다. 이미 의무사용은 폐지됐지만 지금도 공인인증서를 사용하는 온라인 뱅킹처럼 기관의 판단에 따라 사용 여부는 달라진다.

◆공인인증서 왜 썼나?

공인인증서는 1999년 전자서명법이 제정되면서 만들어졌다. 전자상거래 시 본인만이 해당 인증서를 갖고 있고, 인증서 비밀번호는 본인만 알기 때문에 본인임을 인증할 수 있는 전자서명 역할을 해왔다. 이때 인감증명서와 같이 공인인증기관이 발급하는 인증서를 공인인증서라 한다. 공인인증서 안에는 가입자 전자서명 검증키, 일련번호, 소유자 이름, 유효기간 등의 정보를 포함하고 있다. 공인인증서에는 당사자 신원 확인, 문서 위·변조 방지 입증, 부인방지 기능 등이 있다.

현재까지 공인인증서는 많은 분야에서 사용된다. 인터넷뱅킹, 연말정산, 온라인에서 주민등록등본을 출력하거나 웹사이트 로그인에도 필요하다.

◆공인인증서의 문제점

1999년 개발 당시에 128비트 암호화는 미국의 수출 금지 품목에 들어갈 정도로 높은 수준이었지만, 우리나라의 개발 소식에 2000년부터 128비트 암호화 기능이 웹브라우저에 내장되면서 의미가 퇴색됐다. 웹브라우저에 내장된 기능을 활용한 표준 보안기술이 발전하는 동안 우리나라는 플러그인을 통해서 설치해야 하는 공인인증서를 고집해오면서 국제 표준과는 다른 국내용 보안기술이 되어버렸다.

공인인증서에는 세 가지 큰 문제가 있다. 국제 표준은 사이트가 누구인지 밝히는 방식이다. Https://로 시작하는 사이트 주소에 열쇠 표시를 보면 알 수 있다. 공인인증서는 해당 인터넷 사이트가 진짜 사이트인지 밝히지 않는다. 사용자가 가짜 사이트에 접속하더라도 알 방법이 없다. 이는 피싱 사고의 원인이 되기도 한다.

또 액티브X를 사용해 보안에 취약하다. 액티브X 기술의 남용으로 전 국민이 ‘yes’를 누를 수밖에 없는 상황이 반복돼 해커들이 손쉽게 개인 PC에 침투할 수 있게 된다.

특히 공인인증서는 특정 폴더에 저장돼 유출이 쉽다. 악성 코드가 침투하면 일단 공인인증서부터 빼간다. 지난 2014년 1만9000건이 넘는 인증서 유출 사건이 발생했다. 인증서 비밀번호는 해킹한 포털사이트나 쇼핑 사이트의 개인 정보에서 얻을 수 있다. 이러한 조합으로 금융사고가 발생하기도 했다.

◆공인인증서 왜 계속 쓰나?

지금도 공인인증서와 보안프로그램을 자유롭게 선택할 수 있지만, 많은 금융회사와 정부 기관들이 ‘대안이 없다’는 등의 이유로 공인인증서를 본인인증 수단으로 계속 활용하고 있는 게 현실이다.

대안이 없다기보다는 배상책임 규정이 문제다. 유출된 공인인증서로 해커가 돈을 빼가더라도 금융회사는 사용자가 공인인증서를 사용한 것으로 인식한다. 공인인증서의 부인방지 기능 때문이다. ‘공인인증서를 제대로 관리하지 못한 이용자의 과실’이라며 고객에게 책임이 떠넘겨졌다. 지난 2013~2017년까지 1506건의 전자금융 보안·기술 사고가 발생했으나 45건의 재판 중 이용자가 승소한 사례는 한 건도 없다. 이 때문에 금융회사가 공인인증서를 안 쓸 이유가 없는 것이다.

◆앞으로는 어떻게 되나?

현재 국회에는 전자금융거래법 개정안도 발의돼 있다. 전자금융거래법 9조에는 “이용자의 고의나 중대한 과실이 있는 경우로서 그 책임의 전부 또는 일부를 이용자의 부담으로 할 수 있다”고 되어 있다. 따라서 금융사고시 손해배상을 받기 어렵다는 지적이 있어 왔다. 전자금융 기술은 일반인이 접근하기 어려운 전문영역이자 정보 비대칭성이 큰 분야로 이용자가 사고 원인과 중대한 과실이 없었음을 스스로 입증하기는 어렵다. 이에 이용자의 고의·중과실 등 책임 있는 사유를 금융회사 또는 전자금융업자가 입증하도록 하고, 약관 변경 시 이용자의 동의를 받는 등 소비자 부담을 완화하고 금융사 책임을 강화하는 방향으로 개정안이 발의됐다. 개정안이 통과되기까지 시간이 걸리겠지만, 공인인증서의 사용도 서서히 사라져 갈 것이다. 더 편리하고 안전한 보안인증기술은 날로 개발되고 있다.

박진욱 기자 jinux@knnews.co.kr

  • 박진욱 기자의 다른 기사 검색