큰사진보기
|
| ▲ 박근혜 대통령이 지난 20일 오후 청와대 영빈관에서 열린 '제1차 규제개혁 장관회의 및 민관합동 규제개혁 점검회의'에서 모두발언을 하고 있다. |
| ⓒ 청와대 |
관련사진보기 |
6월부터 외국인도 한국 사이트에서 30만 원이 넘는 '천송이 코트'를 공인인증서 없이 살 수있게 된단다. 다행히 필자의 여자친구는 필자를 외계인 취급할 뿐 <별에서 온 그대>에는 별 관심이 없어서 천송이 코트를 구매할 일은 없다. 하지만 공인인증서와 액티브엑스에 시달려 보았던 한 외국인으로서 공인인증서와 액티브엑스의 폐지를 쌍수 들고 환영하는 바이다.
하지만 공인인증서가 아무 필요도 없이 단지 국민을 괴롭히기 위해 태어났을 리는 없다. 그러니 폐지하기 전에 왜 공인인증서가 필요했고 공인인증서가 없어지면 어떤 일들이 벌어질 수 있을까 꼼꼼히 돌아 봐야 초가삼간을 불태우는 일이 없으리라(박 대통령께서 장장 7시간에 걸친 '끝장토론'에서 인증서의 불편함을 충분히 설명하셨으리라 믿고 그 부분은 생략하겠다).
금융사고 적은 미국, 왜 그럴까 전자 보안에는 인증, 기밀 그리고 무결성이라는 세 가지 요소가 있다. 내가 나라는 것을 증명하는 것이 인증이고 암호화 해서 제3자가 도청할 수 없게 하는 것이 기밀이며 거래 내용을 변경이나 위조할 수 없게 하는 것이 무결성이다.
여기서 개인 인증서의 주역할은 '인증'이다. 가지고 있는 사람이 인증서 발급기관에서 발급해 준 사람이라는 것을 발급기관이 보장해 주는 것이다. 하지만 이런 인증서는 만에 하나 도난 당할 수 있기에 나만 가지고 있어야 하는 인증서 외에도 나만 알고 있는 비밀번호도 같이 사용하는 게 통상적이다. 즉, 이중으로 보안하는 것이다.
이런 이중 인증제도에서 보안 벽 하나가 사라지면 해킹이 더 쉬워지는 것은 당연지사다. 현금거래와 마찬가지인 실시간 계좌이체를 밥먹듯 하고 비번이나 카드번호 같은 개인정보가 매일 줄줄이 새는 나라에서 공인인증서가 없다면 바로 대형사고로 이어질 수있다.
일어날 수 있는 대형사고는 이미 다 일어났는데 또 무슨 다른 대형사고가 나겠느냐 할 수 있겠지만, 있었던 보안이 없어지는 상황에서 어떤 기발한 대형사고가 터질지는 아무도 모르는 일이다. 제대로 된 대안책이 안 나온다면 사고가 더 빈번해질 것은 예약된 일이다.
그럼 보안 선진국인 미국은 대체 어떻게 하길래 무슨 배짱으로 개인 인증서도 없이 거래하고, 그럼에도 불구하고 인증서를 사용하는 한국처럼 금융사고가 빈번히 일어나지 않는 걸까?
미국 전자자금이체법(EFTA)에 따르면 금융사고는 전적으로 기업이 책임진다. 카드나 비밀번호 분실 등이 발생했을 때 분실을 발견한 후 이틀 내에 신고만 하면 된다. 그리고 계좌통지서를 받은 후 오류나 사기를 발견하면 발견 후 60일 이내에 신고하면 된다.
이런 의무만 이행하면 신고 후 손실은 전혀 책임이 없고 신고 전 손실은 이틀 이내 신고 시 $50 이하, 그리고 60일 이내 신고시 $500 한도 내에서만 책임진다. 하지만 대부분 기업은 마케팅 정책상 소비자에게 책임을 전가하지 않기 때문에 실제로 소비자가 땡전 한푼이라도 책임지는 경우는 극히 드물다.
보안은 기업에게는 자기 돈이 걸려 있는 문제인지라 그만큼 보안에 많은 돈과 노력을 투자해서 허점이 최소화 된 실용적인 보안 시스템을 구축한다(예를 들어 아멕스 카드사는 고객의 거래내용을 24시간 감시하고 패턴을 분석하여 의심되는 결재가 있으면 즉각 고객에게 연락한다). 이것이 미국 기업의 50% 이상이 IT 예산의 5% 이상을 보안에 투자하는 이유이고 그 결과 금융사고가 개인 인증서를 사용하는 한국보다 적다.
공인인증서보다 더 큰 '웬수' 전자금융거래법소비자 보호가 잘 되어 있는 선진국에 비해 한국 사회는 엄청나게 친기업적이다. 가습기 살균제 결함으로 목숨을 잃고도 보상을 받을 근거가 없다거나 담합해서 부당한 이득을 챙긴 기업이 과징금 몇 푼 내고 끝나는 일은 선진국에서는 상상도 할 수 없다.
그런 친기업 문화가 한국 전자금융거래법에도 반영되어 있다. 전자금융거래법을 보면 소비자의 '고의나 중과실'이 있는 경우 기업이 금융사고의 책임을 지지 않아도 된다고 적혀있다. 그래서 기업은 소비자 과실을 이유로 배상 안 할 수 있고 기업이 배상을 거부하면 기업책임의 증명은 소비자의 몫이다.
실제로 고객이 술 취해 카드를 잃어 버렸는데 그로 인한 손해 책임을 고객이 20%를 진 사례가 있다. 내 모든 정보를 상세히 다 알고 있는 피싱, 파밍 사기에 넘어가 비밀번호를 털리면 그로 인한 금전적 손해 또한 내 책임이 될 수있다.
소비자 입장에서는 공인인증서보다 더 큰 '웬수'인 전자금융거래법은 안 고치고 공인인증서만 폐지한다면 정부가 아무리 좋은 대안을 내놓는다 해도 반쪽짜리 개혁이 될 것이고 소비자가 대가를 치르게 될 것이다. 전자금융거래법을 고치지 않으면 보안기술 개발이나 채택은 창조경제를 자나 깨나 외치시는 '박통'의 기대에 못 미치게 될 것이라는 것이다.
원격진료 같은 탁상공론도 창조경제라면 마다하지 않으면서 이미 엄청난 규모이고 또 매년 엄청난 속도로 성장하고 있는 보안시장을 놓치고서 창조경제가 제대로 이루어지겠는가?
이 '천송이 법'은 6월부터 실시된다. 지방선거 이전에 규제완화 실적을 선전할 수 있고 우선 외국인만 상대로 실시되므로 선거 이전의 금융사고 위험은 최소화될 것이다. 냉소주의자라면 머리 잘 굴려 발표한 것이라고 말할지 모른다.
하지만 필자는 냉소주의자가 아니다. 그래서 필자는 단지 공인인증서의 폐지를 신중하게 연구·검토하고 대안을 실행해서 궁극적으로 국민과 기업에게 함께 도움이 되기를 기원한다.
덧붙이는 글 | 이 글을 쓴 성태경씨는 재미동포입니다.