[디지털투데이 정유림 기자] 공인인증서 제도를 폐지하는 것을 골자로 하는 개정 전자서명법이 오는 12월부터 시행되는 가운데, 분산ID(DID) 업계가 사용자 불편과 분산 신원 인증이라는 특성 자체가 무력화될 수 있다며 개선을 촉구하고 나섰다.

전자서명법 개정안은 공인인증서 제도를 폐지하고 다양한 민간 사업자가 경쟁할 수 있는 여건을 만드는 것이 골자. DID는 새로운 인증서 대안들 중 하나로 꼽히고 있다.

현행 금융실명법에 따르면 금융 업체는 실지명의(주민등록번호 상의 명의)로 이용자가 본인임을 확인하는 과정을 거쳐야 한다.

하지만 현재 구조에선 DID 만으로는 실지명의를 지원하기가 어렵다. 그러다 보니 DID 업체가 금융사를 상대로 솔루션을 제공할 때는 DID 외에 실지명의를 지원하는 본인확인기관을 추가로 거치도록 해야 한다. 사용자 입장에선 불편할 수밖에 없고 DID가 갖고 있는 속성과도 충돌한다는게 업계 지적이다. 

20일 관련 업계에 따르면 오는 12월 10일부터 개정 전자서명법이 시행된다. 개정안은 공인인증서 제도를 폐지하고 다양한 민간 업체가 인증서 시장에서 경쟁할 수 있는 여건을 만들자는 취지로 마련됐다. 

DID는 중앙기관 없이 사용자가 자신의 신원을 증명할 수 있도록 해주는 서비스다. DID 업계는 개정 전자서명법 시행에 따라 DID를 포스트 공인인증서 시대를 이끌 대안 중 하나로 포지셔닝하기 위해 적극적인 행보를 보여왔다.

하지만 지금과 같은 상황에선 DID만으로 공인인증서를 대체하기는 쉽지 않다. 결국 본인확인기관을 통해 이용자가 명의를 확인(인증)받을 수 있도록 서비스를 설계해야 하는데, 현실적으로는 쉽지 않다는게 업계 지적이다.

일부 DID 업체들은 전자서명 인증사업자가 주민등록번호를 직접 수집할 수는 없기 때문에 주민번호와 연계한 개인식별번호인 연계정보(CI)를 활용하도록 해야 한다는 주장도 제기하고 있다. 

개인정보보호법에 따라 예외사항이 있지 않는 한, 사업자가 함부로 이용자주민등록번호를 수집할 수는 없기 때문에 CI를 활용해 본인확인기관을 거치는 것을 최소화하는 방안을 고려해 달라는 입장이다.

전자서명 인증사업자가 직접 본인확인기관이 되면 가장 좋지만 현실성은 떨어진다. 본인확인기관이 되려면 자본금 규모 등 일정 조건을 충족해야 하기 때문에 대기업이 아니면 인증을 받기가 쉽지 않다.

본인확인기관이란 이용자 주민등록번호를 사용하지 않고 본인을 확인하는 방법, 즉 대체 수단을 제공하는 곳을 말하며 방송통신위원회 심사를 거친 뒤 지정을 받는다. 통신3사와 신용카드사가 대표적인 본인확인기관이다. 결국 DID 서비스는 그 자체가 본인인증 수단이며, 이걸로 다양한 서비스를 이용할 수 있도록 하는 것이 골자인데 현행법상 금융 분야에선 이런 역할을 하는 것이 불가능하다는 얘기다.

김승주 고려대학교 정보보호대학원 교수는 “기존 금융기관에서는 실지명의를 대면확인하고 있는데 사설 인증 서비스들은 대면 확인을 하지 않기 때문에 사각지대가 있다”면서도 “전자서명법 개정안과 관련해서는 이전부터 평가 기준에 대한 갑론을박이 있어왔다. 전자서명법 취지 자체가 다양한 사업자가 경쟁하도록 한다는 것인데 평가 기준을 높여버리면 기존 공인인증서 제도를 운영했을 때와 차이가 없게 되기 때문에 이번 개정안을 통해서는 허들을 낮춰야 한다는 지적도 계속 나오고 있다”고 말했다.

DID 서비스가 아직 상용화 전인 만큼 현재로선 중간에 관련 기관을 거치는 작업이 필요하다는 반박도 일각에서 나오고 있다. 관련 부처에서도 향후 추이를 지켜봐야 한다며 신중한 태도를 보이고 있다. 한국인터넷진흥원(KISA) 관계자는 “DID 서비스가 아직 상용화 전이라 좀 더 지켜볼 필요가 있다”며 “주민등록번호는 민감한 개인정보기 때문에 본인확인기관 제도를 운영하고 있는 것이며 DID 서비스가 실제 일반 대중 사이에서 확산이 된 후에 이용자 관점에서 불편하다는 의견이 제기되면 그 때 관련 의견을 수렴하는 방향으로 갈 듯 보인다”고 말했다.