1999년 탄생해 올해로 스무 살을 맞은 '공인인증서'가 드디어 정부의 품을 떠나 독립한다.

정부가 공인인증서의 우월한 법적 지위를 내려놓도록 하는 취지의 전자서명법 전부개정안을 내놓자 인증 보안 시장에서는 더욱 다양한 인증 수단이 등장해 본격적인 경쟁 체제가 펼쳐질 것이란 기대감이 높아지는 분위기다. 공인인증서가 편의성보다는 보안성을 지나치게 강조해 외면을 받은 만큼 보안성과 편의성 면에서 균형 잡힌 인증 수단이 등장할 것인지 관심이 집중된다.

인터넷 결제 이미지. / 카스퍼스키랩 제공
인터넷 결제 이미지. / 카스퍼스키랩 제공
◆ 슈퍼마켓에서 물건 사는데 인감도장 들고 오라고?

공인인증서는 1999년 7월 전자서명법 시행과 함께 등장했다. 전자서명법은 당시 김대중 정부에서 국가 정보화를 위한 전자정부 사업을 추진하면서 비대면 전자상거래 활성화를 위한 방안 중 하나로 마련됐다.

비대면 전자상거래의 핵심은 전산망으로만 연결돼 신원 확인을 할 수 없는 두 주체가 어떻게 상대방이 정말 거래 당사자인지를 확인할 수 있느냐였다. 이를 해결하기 위해 등장한 전자서명이라는 개념은 거래 당사자의 신원을 확인하고, 이 정보가 인터넷상에서 위·변조되는 것을 방지하고자 공인인증서라는 수단을 만들어냈다.

공인인증서는 흔히 '온라인 상의 인감도장'으로도 불린다. '공인'이라는 수식어가 말해주듯 국가가 인정한 인증 수단이자 오프라인에서 갖는 서명의 효과를 그대로 온라인에서의 전자서명으로 대체할 수 있도록 해주기 때문이다. 공인인증서에 사용되는 공개키 기반 기술(PKI) 자체는 오래된 기술이지만, 오랜 시간 대체가 불가능할 만큼 검증된 기술이기도 하다.

공인인증서가 한국의 초기 인터넷 전자상거래 시장을 활성화하는 데 기여했다는 점은 인정하지 않을 수 없다. 한국 인터넷 시장 성장에 발맞춰 전자정부 사업도 탄력을 받았다. 공인인증서 등장 10년 만인 2009년, 정부는 100년의 역사를 이어온 인감증명 제도의 단계적 폐지를 선언했다. 공인인증서 기반 전자인증이 짧은 시간 안에 전통적인 인감증명을 대체하기 시작한 것이다.

하지만, 정부가 전자상거래뿐 아니라 은행 계좌이체, 신용카드 결제 등 광범위한 온라인 영역에 걸쳐 공인인증서 사용을 의무화하면서 한국의 인터넷 환경 발전을 저해했다는 지적이 나오기 시작했다. 공인인증서 의무 사용 이후 한국의 온라인 결제 시스템은 목적을 불문하고 사용자 인증, 거래 인증, 부인방지에 이르는 복잡한 요구사항을 충족해야 결제가 이뤄지는 게 당연한 과정이 됐다.

예를 들어, 부동산 등기나 은행 담보대출, 자동차 매매와 같이 중요한 거래에는 인감도장이 필요하지만, 슈퍼마켓에서 물건을 살 때 신분증을 요구하지 않는 것처럼 상황이나 금액에 따라 보안성과 편의성을 선택할 필요가 있다. 하지만, 인터넷에서는 결제 금액이 30만원만 넘으면 늘 공인인증서가 필요했다. 상황이 이러다 보니 심지어 결제가 아닌 단순 본인확인 목적으로 공인인증서를 요구하는 곳도 생겨났다.

공인인증서를 보급하는 과정에서 필요불가결했던 액티브X는 시대 흐름에 따라 자연스럽게 퇴출당했지만, 공인인증서에 길든 한국 인터넷 환경은 관성을 벗지 못했다. 사용자가 접속한 사이트의 무결정 여부와 무관하게 해당 사이트에 접속하는 사용자는 자신의 신분을 증명하기 위해 끊임없이 컴퓨터에 일련의 보안 프로그램을 설치해야 했다. 이는 국내 전자상거래 사이트가 글로벌의 문을 두드리지 못한 이유이기도 하다.

박근혜 대통령이 2015년 천송이 코트를 언급하며 공인인증서 문제를 언급했을 당시 공인인증서를 별도의 프로그램 설치 없이 웹 표준 기반으로 처리할 수 있는 기술은 이미 있었다. 하지만, 공인인증서에 익숙한 인터넷 사용자를 위해 굳이 비용을 들여가며 새로운 기술을 도입하는 곳은 많지 않았다. 공인인증서 입장에서는 액티브X와 엮인 게 억울할 수 있지만, 사용자 입장에서는 지금의 불편한 인터넷 결제 환경이 공인인증서가 빚어낸 참극이라 생각하는 것도 무리가 아니다.

국세청 연말정산 간소화 서비스는 공인인증서와 액티브X 투성이로 불편한 공공 서비스의 대명사로 불렸으나, 올해부터는 별도 프로그램 설치 없는 브라우저 인증서 로그인을 지원해 다양한 브라우저를 지원하는 것은 물론, 맥 컴퓨터에서도 이용할 수 있게 되는 등 큰 변화를 보였다. / IT조선DB
국세청 연말정산 간소화 서비스는 공인인증서와 액티브X 투성이로 불편한 공공 서비스의 대명사로 불렸으나, 올해부터는 별도 프로그램 설치 없는 브라우저 인증서 로그인을 지원해 다양한 브라우저를 지원하는 것은 물론, 맥 컴퓨터에서도 이용할 수 있게 되는 등 큰 변화를 보였다. / IT조선DB
◆ 온라인 인증 기술 민영화?…보안성과 편의성 균형 잡을까

정부가 이번에 내놓은 전자서명법 전부개정안은 기존 공인인증서 제도 및 관련 규제를 대폭 개선하고, 민간 전문기관을 통한 전자서명 인증 업무 평가제를 도입해 더욱 다양한 전자서명 기술과 서비스가 시장에서 동등하게 경쟁할 수 있는 제도적 여건을 마련하고자 하는 게 목적이다.

공인인증서의 폐해를 지적하면서 가장 많이 언급되는 곳 중 하나가 글로벌 온라인 결제 시장을 주도하는 페이팔이다. 페이팔 제휴 전자상거래 업체는 한국처럼 복잡한 본인확인 과정 없이 카드 번호와 개인 비밀번호만으로 간편하게 결제할 수 있다. 전자상거래 업체 국적 기준으로 자국인과 외국인을 가리지 않고, 세계 어디서나 온라인 결제가 가능하다는 점에서 국내에만 한정된 공인인증서와 비교될 만하다.

한국은 전자상거래 시장이 2017년 기준 78조원 규모에 이른 만큼 비교적 간단한 결제의 경우 페이팔 모델을 따르는 게 합리적일 수 있다. 국외와 비교해 보안 기준이 높은 국내법상 꼭 본인확인이 필요하다고 해도 최근 대안으로 등장한 본인 발급 카드 인증이나 휴대폰 인증 등을 복합적으로 쓰면 크게 문제가 없다. 국내 인터넷 환경의 갈라파고스화가 기술적인 문제가 아니라 정책적 문제라는 얘기가 나오는 것도 이 때문이다.

하지만, 공인인증서 제도가 폐지된다고 해서 당장 한국에서도 페이팔과 같은 서비스가 등장하리라고 기대하기에는 무리가 있다. 공인인증서를 대체할 민간 인증 시장에서 사업성을 따질 때 가장 중요한 요소는 수익의 원천인 수수료다. 페이팔만 해도 모회사인 이베이를 등에 업고 수수료 경쟁에서 앞서갈 수 있었다. 하지만, 이베이와의 온라인 결제 서비스 제휴가 끊어지는 2020년 이후로는 앞길이 불확실하다. 국내에서도 신용카드와 연계된 간편결제의 경우 수수료가 오프라인 대비 갑절에 달한다.

한국은 공인인증서 체제에서 인증서 발급 비용이 연간 기준 개인 4400원, 법인 11만원 수준이었다. 범용 공인인증서의 경우 개인에는 무료로 발급됐다. 사설 인증 업체에는 이미 이 자체가 진입 장벽이나 다름없다. 공인인증서가 빠진 인증 보안 시장이 무주공산이라고는 하지만, 20년간 이미 성숙한 시장이기도 하다. 편리해진 만큼 돈을 더 내라고 하면 순순히 이해할 소비자가 얼마나 있을지는 의문이다.

보안 측면에서도 바라보는 관점에 따라 평가가 엇갈린다. 공인인증서의 경우 별도 보조 저장매체가 아닌 사용자 컴퓨터에 저장할 경우 해킹에 의한 유출에 취약하다는 지적이 있었다. 하지만, 공인인증서 외에도 다단계 인증을 요구하는 국내 온라인 결제 시스템 특성상 공인인증서 유출만으로 실제 금융피해로 이어진 사례는 많지 않다. 불편할수록 보안성이 높고, 편할수록 보안성이 낮다는 논리대로다.

공인인증서 진영은 그동안 공인인증서의 사용 편의성이 낮다는 점을 인정하면서도 대신 보안성이 높다는 점을 강조했다. 가장 대표적인 게 2014년 기준으로 페이팔의 부정사용률은 0.3%였으나, 공인인증서는 0.0002%로 페이팔보다 1500배나 안전하다는 논리였다. 하지만, 이러한 차이는 근본적으로 운영상의 묘미에서 발생한다고 봐야 한다. 페이팔은 부정거래 발생 시 '선보상 후조치' 기조를 따른다. 반면, 한국은 그동안 부정거래의 원인이 소비자의 인증서 관리 소홀에 있다고 봤다. 수치상으로는 더 안전하다고 하지만, 실상 사고 발생 시 손해를 더 보는 건 우리 쪽이다.

페이팔은 자체적으로 부정거래 의심이 들면 거래를 무효화하는 이상거래 탐지 시스템(FDS)을 갖추고 있다. 수년째 서울에서만 결제하던 소비자가 어느 날 갑자기 중국에서 카드로 결제를 하면 부정거래라고 판단해 즉시 결제를 미루고 해당 소비자에게 통보하는 식이다. 페이팔의 FDS는 최근 몇 년간 빅데이터와 머신러닝(기계학습) 체계를 더해 진화하는 중이다.

국내에서도 대부분의 은행이나 카드사에서 FDS를 도입해 운용한다. 하지만, 소비자와 금융사 사이에 있는 인증 업체는 사고 발생 시 늘 책임 소재와는 거리를 두고 있었다. 인증을 수행하는 기술적 조치에만 문제가 없으면 그만이라는 식이다. 이에 정부는 전자서명 신뢰성을 높이고, 소비자의 합리적인 선택을 위해 공정한 정보를 제공하고자 전자서명 인증 업무 평가제를 도입한다는 계획이다.

공인인증서의 경우 그동안 선택의 여지가 없으면서도 소비자 권익을 제대로 보호하지 못했다는 점에서 뭇매를 맞았다고 봐도 무방하다. 문제는 지문, 홍채 등 다양한 본인 인증 수단이 대안으로 등장하면서 편의성은 높아졌지만, 보안성까지 완벽하리라는 보장은 없다는 점이다. 최근 블록체인이 세계적으로 주목받고 있지만, 블록체인도 100% 보안 무결성을 보장하지는 않는다. 소비자가 인증 수단을 선택하게 되면서 보안에 대한 책임이 더 늘어날 수 있다.

결국, 바통은 다시 소비자에게 돌아온다. 이번 정부 조치로 공인인증 제도가 폐지되는 것이지 공인인증서 자체가 사라지는 것은 아니다. 전자상거래 및 인터넷 서비스 기업도 당분간은 공인인증서 사용을 유지할 것으로 보인다. 하지만, 새로이 등장하는 인증 기술이 시나브로 기존 공인인증서의 자리를 조금씩 꿰찰 것은 분명하다. 그 주인공의 향방은 보안성과 편의성이라는 상반된 개념 사이에서 얼마나 균형 있는 가치를 제공할 것인지가 관건이 될 전망이다.

보안 업계 한 관계자는 "공공 사이트의 경우 본인확인은 모바일, 생체인증 등으로 대체할 수 있겠지만, 전자서명 용도의 공인인증서 사용 환경은 무엇으로 대체할 것인지 아직 물음표다"라며 "민간 시장에서는 공인인증서가 당장 사라진다기보다 과도기를 거치면서 새로운 인증 보안 시장이 형성될 것으로 보인다"고 말했다.

#공인인증서 #전자서명 #전자상거래 #인터넷 #보안