"한국엔 공인인증서 적합" vs. "만병통치약 아냐"

경제

"한국엔 공인인증서 적합" vs. "만병통치약 아냐"

끝나지 않은 '공인인증서 논쟁'... 국회 토론회에서 2라운드

10.05.10 21:10l최종 업데이트 10.05.10 21:10l

김시연(staright)

원고료로 응원하기

공감15 댓글댓글달기

스마트폰 등장에 힘입어 공인인증서 의무화 규제가 10년 만에 풀렸지만 논쟁은 쉽게 가라앉지 않고 있다.

10일 오후 김을동 의원 주최로 서울 여의도 국회의원회관에서 열린 '안전한 전자금융거래를 위한 정책 토론회'는 '총리실 논쟁' 축소판이었다. 공인인증서 의무화 찬반 논쟁 주역이었던 오픈웹 진영과 중소기업청 호민관실, 방송통신위원회, 행정안전부를 비롯해 학계와 금융기관 실무자들이 다시 한자리에 모인 것이다.

공인인증서 규제 풀린 뒤 스마트폰 결제 서비스 물꼬

지난 3월 31일 이들 기관은 국무총리실 중심으로 오랜 논쟁 끝에 '전자금융 거래 시 공인인증서 사용 의무 규제 완화 방안'을 만들고 당정협의를 거쳐 확정했다. 모든 금융거래에서 공인인증서를 사용하도록 한 '전자금융감독규정' 제7조를 고쳐, 금융기관이나 기업 등이 다른 인증 방법도 선택할 수 있게 하고 5월 말까지 가이드라인을 내놓기로 했다. 우선 스마트폰을 통한 30만 원 미만 거래는 공인인증서 없이도 결제할 수 있게 했다.

그 효과는 바로 나타났다. 4월 들어 인터파크, 예스24, G마켓 등 인터넷쇼핑몰과 메가박스, 롯데시네마, CGV 같은 영화관에서는 아이폰 등 스마트폰용 신용카드 결제 서비스를 잇달아 내놓았다. 전용 애플리케이션(응용 프로그램, 아래 앱)뿐 아니라 모바일 웹을 통해서도 신용카드 번호와 비밀번호 정도만 입력하면 결제가 가능하다.

사실 유선 인터넷에선 이미 30만 원 미만 소액 결제 때 공인인증서가 필요 없었다. 하지만 금융감독위원회는 유독 모바일에선 금액에 상관없이 공인인증서 사용을 의무화했던 것이다. 이 때문에 지난 연말 인터넷서점 알라딘이 가장 먼저 모바일 웹을 통한 카드 결제 서비스를 선보였다 얼마 못 가 중단하기도 했다.

"한국적 특수성 감안해야"... 인터넷뱅킹 공인인증서 유지 무게

이날 토론에선 공인인증서 의무화 폐지로 관련 기업과 소비자들의 기술 선택권을 확보했다는 데는 대체로 동의하는 분위기였지만 '공인인증서' 대 '타 인증 기술' 간 안전성 논란은 쉽게 사그라지지 않았다. 소액 결제와 달리 거래 규모가 큰 인터넷 뱅킹에선 공인인증서 제도를 계속 유지해야 한다는 것이다.

이날 '금융서비스 결제 유형별 안전성 기준 및 검증'을 주제로 발표한 강필용 한국인터넷진흥원(KISA) 전자인증팀장은 "미국, 유럽 등 서구는 수표거래 문화이고 타행 계좌 이체에도 1~3일씩 걸려 위험 부담이 적은 반면 우리나라는 현금거래 문화에다 실시간 계좌이체로 하루 30조 원이 거래될 정도로 인터넷 뱅킹이 활성화돼 있다"면서 특수성을 강조했다. 공인인증서처럼 '전자서명'이 필요 없는 SSL(암호통신기술)+OTP(1회용 비밀번호 생성기) 등을 주로 쓰는 외국 사례를 단순 비교해선 안 된다는 얘기다.

그동안 마이크로소프트(MS) 플러그인 프로그램 '액티브엑스'를 사용해 인터넷 익스플로러(IE)를 제외한 다른 웹브라우저에서 사용할 수 없었던 기술적 문제도 해소됐다는 것도 '공인인증서 유지'를 주장하는 한 이유다. 강 팀장은 "지금까지 공인인증서 방식이 모바일 웹에선 구현 안 돼 앱 기반으로만 제공했지만 6월이면 모바일 웹에도 전자서명이 가능한 기술을 개발한 상태"라고 밝혔다.

반면 오픈웹 대표인 김기창 고려대 교수는 "금융 거래 시 고객 인증 기술이 다양한데도 공인인증서가 만병통치약으로 인식돼 왔다"면서 "공인인증서 안전성 문제보다 소수 공인인증기관이 지난 10년 기술 경쟁 없이 안일하게 장사한 게 문제"라고 지적했다.

이에 홍진배 방통위 인터넷정책과장은 "논의 초점은 공인인증서가 좋냐, OTP 방식이 좋으냐는 전환 문제가 아니다"라고 선을 긋고 "공인인증서를 쓰기 싫어하는 사람이나 새로운 플랫폼이 나왔는데 구동이 안 될 때 어떻게 안전하게 쓰게 할 것이냐가 문제의 핵심"이라고 강조했다.

"획일적 기준이 모바일 비즈니스 발목 잡아선 안 돼"

추동구 KT 보안담당 부장은 "스마트폰처럼 새로운 서비스가 등장하면 고객들은 빨리 써보고 싶은 욕구가 있는데 기업이 서비스를 제공하려 해도 여러 제도적 보완이 필요하다"면서 "유연한 기준을 적용해 보안 리스크가 있으면 보완하는 식으로 새로운 환경에 보안 수준을 맞춰가야 한다"고 과거 방식에 연연하지 말 것을 주문했다.

중소기업청 기업호민관실 윤세명 사무관 역시 "금융거래 안전성 자체만으로는 논의가 어렵기 때문에 획일적 기준보다는 어느 정도까지 사용자 편의를 담보하면서 안전성을 보장할지 절충해야 한다"면서 "중소기업들의 주된 애로 사항인 모바일 비즈니스 활성화가 훼손되지 않는 수준에서 금융거래 안전성 확보도 이뤄져야 한다"고 강조했다.

이에 장영환 행안부 정보보호정책과장은 "누구나 인정하는 공인된 거래수단을 하루아침에 바꾸는 건 위험 부담이 크다"면서 "은행 거래처럼 다중 약속이 필요한 부분은 계속 공인인증서로 가고, 스마트폰 같은 새로운 서비스에는 그에 맞는 다양한 기술을 쓰면 된다"고 밝혔다.

성기윤 BC카드 차장 역시 "초기 시장 활성화를 위해 비제도권 인증 방법의 보안 수준을 판단하는 기준을 마련해 양성화하고 추후 시장성, 성장성을 고려하여 ISP, 안심클릭, 공인인증서 같은 제도권 인증 방법으로 전환시켜야 한다"고 밝혔다.