‘공인인증서’가 스무 살 생일을 맞이해 ‘공인’이란 꼬리표를 뗀다. 정부는 기존 공인인증서의 우월적인 법적 지위 폐지를 주요 내용으로 포함한 ‘전자서명법 전부개정안’을 지난 3월 말 입법 예고하고 금년 하반기까지 법령 개정을 추진할 계획이라고 밝혔다. 공인인증서 폐지를 앞두고 다양한 차세대 인증 수단이 등장하고 있는 만큼, 그 동안 공인인증서 중심으로 돌아갔던 전자서명 시장이 어떻게 변화할 것인지, 공인인증서의 문제점으로 지적되었던 사용자의 불편함이 해소될 수 있을 것인지 관심이 집중된다. 

1999년생 20살 공인인증서, 이제 정부 품에서 독립합니다 

전자서명법 전부개정안 내용을 알아보기 앞서, 공인인증서의 탄생 배경을 먼저 되짚어보자. 공인인증서는 인터넷 인구가 빠르게 증가하던 1999년 전자서명법이 시행되며 태어났다. 온라인 상에서 비대면 전자상거래를 하게 된 사람들이 급격히 증가함에 따라, 거래 당사자의 신원을 확인하고 이 정보가 위·변조되는 것을 막는 이른바 ‘디지털 인감도장’의 필요성이 부각되었기 때문이다. 인터넷 뱅킹을 위해 공인인증서를 채택한 은행을 시작으로 카드사, 인터넷 쇼핑몰 등이 공인인증서를 사용하기 시작했다. 

인터넷 뱅킹(2002년), 인터넷 쇼핑몰 신용카드 결제(2003년) 등 광범위한 온라인 영역에서 공인인증서 사용이 의무화 됨에 따라, 공인인증서의 영향력은 점점 높아졌다. 급기야 2006년에는 30만원 이상의 모든 전자상거래 발생 시 공인인증서 사용을 의무화하는 전자금융감독규정 시행규칙이 마련되었고, 공공기관 웹사이트 대다수는 간단한 본인확인이 필요한 상황에서도 공인인증서 사용을 고집하는 등 이에 대한 의존성은 점차 높아지게 되었다. 

그러나 공인인증서가 웹 서비스를 이용할 때 필요한 프로그램을 자동 설치해주는 비표준 기술인 액티브X에 의존하고 있는 까닭에, 사용자들은 온라인 서비스 이용을 위해 특정 OS(윈도우)와 웹 브라우저(IE)를 사용하고 다수의 보안 프로그램을 설치하는 불편함을 겪어야 했다. 시대 흐름에 따라 주요 공공 웹사이트를 중심으로 액티브X 걷어내기가 이뤄졌지만, 여전히 사용자가 윈도우 OS에만 통용되는 프로그램 설치파일(exe파일)을 내려 받아 설치해야 한다는 점에서 큰 개선이 이뤄졌다고 보기는 어려웠다. 

공인인증서를 둘러싼 보안 사고 발생 시, 공인인증서 사용자가 책임을 지게 되는 구조도 문제였다. 공공 및 금융결제 사이트 자체의 보안을 높이는데 중점을 둔 미국·유럽과는 달리, 국내의 경우에는 사용자 스스로가 본인의 신원을 증명하고 보안 프로그램을 설치하게 되어 있다. 따라서, 사용자 PC에 저장된 공인인증서가 해킹되어 도용되거나 혹은 사용자가 액티브X인줄 알고 악성 프로그램을 다운로드해 피해가 발생할 시에는 사용자가 고스란히 그 책임을 안고 갈 수 밖에 없었다. 

국내와 해외 전자상거래 시스템을 비교해 보면, 그 차이를 쉽게 실감할 수 있다. 해외의 경우, 사용자 인증 절차를 간소화하면서도 부정 거래로 의심되는 행위 발생 시 거래를 무효화하는 FDS(이상거래 탐지 시스템)를 적용해 보안성을 높이고 있다. 예로 B은행은 사용자의 거래 패턴을 다방면으로 분석해 평소와 다른 (로그인 환경·기기, 송금 시간·지역 등) 거래 시도가 포착될 시에는 사용자가 가입 시 등록한 이미지(Sitekey)에 대한 답변 혹은 SMS 보안코드 입력을 통해 추가 인증을 하도록 시스템을 구성했다. 

물론 공인인증서 사용 의무화를 둘러싼 논란이 없었던 것은 아니다. 2014년 초 일명 ‘천송이 코트’ 사건이 화제가 되었고, 금융위원회는 이듬해 3월 전자금융감독규정을 개정해 인터넷 뱅킹 및 쇼핑몰 이용에 대한 공인인증서 의무사용 조항을 삭제했다. 그러나, 금융사들은 약 15년 넘게 인증서 중심의 보안 시스템을 운영한 까닭에 새로운 보안 시스템 도입이 어렵다는 뜻을 내비쳤고, 이에 따라 공인인증서는 여전히 범용적으로 이용되며 독점적인 법적 효력을 유지하여 왔다. 

획일화된 인증 시장에 새 바람 일으킬 수 있을까? 

2018년 3월, 과학기술정보통신부는 인증 시장의 독과점을 초래하고 있는 공인인증서의 우월적 지위를 없애 다른 사설인증서와 동등한 인증 수단 중 하나로 활용하게 하고 전문성 있는 민간 기관이 전자서명을 인증·평가하도록 하는 ‘전자서명법 전부개정안’을 내 놓았다. 여러 사설 인증서들이 동등하게 경쟁할 수 있는 기반을 마련함으로써 획일화되어 있었던 인증 시장을 활성화시키고 그 동안 공인인증서 의무 사용으로 인해 많은 불편함을 겪었던 이용자들의 전자서명 수단 선택권을 확대하겠다는 목적이다. 

‘전자서명법 전부개정안’이 4월부터 발효됨에 따라, 금융권을 중심으로 공인인증서를 대체하는 새로운 전자인증수단을 도입하려는 움직임이 가속화되고 있다. 예로, 은행연합회와 18개 회원은행은 블록체인 기반 은행권 공동 인증서비스 ‘뱅크사인’을 올 7월 중 도입할 예정이다. 인증수단으로 뱅크사인을 선택한 고객들은 블록체인 네트워크에 등록된 인증서를 한번 발급받는 것만으로 18개 은행에서 인증서를 3년간 사용할 수 있다. 기존의 비밀번호에서 나아가 PIN·패턴·지문 사용도 가능해 편의성도 향상된다. 

한편에서는 개정 취지에는 공감하지만 보다 세부적인 보완책과 법적 근거를 마련해 인증 시장이 혼란에 빠질 가능성을 낮춰야 한다는 목소리도 나오고 있다. 편의성을 높인 다양한 인증 기술이 상용화될 수 있도록 힘을 기울이는 동시에 ‘새로운 인증 기술 역시 100% 완벽한 보안성을 보장할 수는 없다’는 사실을 직시해 이에 대한 대비책도 마련해야 한다는 주장이다. 공인인증서 이용에 익숙한 사용자들이 불편함 없이 새로운 인증수단에 적응할 수 있도록 충분한 지원이 뒷받침되어야 함은 물론이다.  

더 나아가, 세부적인 사용 목적에 최적화된 효력을 보장하는 인증 정책 수립의 필요성도 부각되고 있다. 복잡한 요구사항을 충족하지 않아도 되는 새로운 인증수단이 선보여진다 할지라도, 사용 상황(계약 성사를 확인하기 위한 전자서명 용도, 본인의 신원을 증명하기 위한 본인 확인 용도)이나 거래 규모(1천만원 이상, 30만원 이하)에 따라 보안성과 편의성을 차등화한 인증수단이 제시되지 않는다면, 어쩌면 기존 공인인증서에서 불편함과 종속성을 제거한 ‘제 2의 공인인증서’와 다를 바 없다는 설명이다.  

지금까지 전자서명법 전부개정안을 둘러싼 배경과 이슈에 대해 알아보았다. 공인인증서 사용이 금지되는 것은 아니고 대부분의 금융·전자상거래 기업들도 당분간은 공인인증서 사용을 유지할 것으로 보이는 만큼, 시장이 요동치는 급진적인 변화가 일어나지는 않을 것으로 예상된다. 그러나, 다양한 전자서명 기술이 잇달아 선보여지고 사라지고 살아남는 과도기를 통해, 점진적으로는 사용자 선택 폭을 넓히고 보안성과 편의성 사이에서 적절한 균형을 맞추는 새로운 인증 시장이 형성될 것으로 기대를 걸어본다.