입력 | 2020-05-23 09:00 수정 | 2020-05-23 14:36
1999년 첫 선을 보인 ′공인′인증서가 사라질 것이라고 합니다. 인증서 폐지하자는 이야기가 공론화된 것이 2014년인데, 6년이 지난 지금에야 법이 바뀐 것입니다.
많은 분들이 기억하겠지만, 처음 공인인증서 폐지 이야기가 나온 계기는 <별에서 온 그대>라는 드라마, 그리고 그 여주인공인 배우 전지현씨가 입었던 이른바 ′천송이 코트′의 세계적 인기였습니다.
중국을 비롯한 여러 나라 <별그대> 팬들이 천송이 코트를 살 수 없다는 말에, 대통령이 나서 공인인증서 폐지를 지시합니다. 그러나, 이 지시는 퇴임 때까지 실현되지 못했습니다. 그 뒤, 문재인 대통령은 이를 대선 공약으로 내걸었습니다. 간단해 보이는 이 문제, 그 뒤로도 3년을 끌다 이번에 ′첫 걸음′을 뗀 것입니다. 그 이유는 무엇일까요?
공인인증서, 온라인 경제의 도장
인터넷(혹은 모바일)을 통해 물건을 사거나, 금융 거래를 할 때, ′내가 나′임을 확인하는 절차는 무엇보다 중요합니다.
다른 사람에게 내 돈을 내주는 은행이 있다면, 그 은행에 돈을 맡길 사람은 아무도 없겠죠.
지금 쓰는 인증서는 사용자가 가져 온 도장이 은행이 장부에 보관하는 도장과 같은지를 확인하는 것과 유사한 방법입니다.
내가 컴퓨터나 전화기에 도장(=인증서)을 갖고 있고, 인증기관 장부에 있는 도장과 일치하면, 거래를 승인하는 방식입니다(개념이 이렇다는 것이지, 설명보다는 실제 기술은 훨씬 더 복잡합니다).
내 인증서는 2곳에 보관됩니다. 내가 저장매체(USB, PC, 스마트폰)에 보관을 하고, 이것과 대조하기 위해 인증기관의 중앙서버에 그 정보를 보관해야 합니다.
인증서를 이용한 보안 시스템의 취약점은 바로 해킹의 위협에 노출돼 있다는 것입니다. 위 그림에 나온 어느 곳에서도 사고가 일어날 수 있지만, 실제로는 사용자 쪽에 집중이 됩니다. 그러다보니, 사고가 났을 경우 그 책임도 사용자들이 질 가능성이 높습니다.
사용자 ′원성′…기업, 정부는 ′모른척′
해커 입장에서인증서를 도둑질하고 사용하려면, 사용자의 USB, PC, 혹은 스마트폰에 담아 놓은 공인인증서를 가져가는 것이 제일 편합니다. 사용자들은 공인인증서를 담은 USB를 잃어버릴 가능성도 있습니다. 이 경우 책임은 당연히 사용자들에게 돌아가겠죠.
다른 사람이 나로 위장해 결제를 하거나 돈을 가져갔는데, 정보가 어디서 유출됐는지 모르는 상황에는 문제가 큽니다. 금융기관이나 상거래기관이 정보를 유출했다는 사실을 입증하지 못하면, 꼼짝없이 사용자가 비밀번호를 유출했다거나 인증서를 잃어버렸다는 의심을 받게 됩니다. 그래서, 복잡한 비밀번호도 정해야 하고, 잊어버리면 안됩니다. 인증서를 해킹당하지 않도록 보관도 잘하고, 필요할 때 소지하고 있어야 할 책임이 모두 사용자에게 있습니다. 만약 잃어버리기라도 했다면, 사고의 책임은 온전히 사용자에게 가게 될 겁니다.
반면 금융기관, 쇼핑몰 입장에서는 편한 점이 많습니다. 정부가 인증하는 시스템 깔아 놓으면, 사용자를 안심시킬 수 있습니다. 사고가 생겨도 책임질 일이 줄어듭니다. 기업들은 자기 회사에 있는 서버가 해킹에 뚫리는 경우만 막으면 됩니다. 우리나라 기업들의 보안 투자는 기업의 컴퓨터 서버에 대한 해커의 침투를 막는 ′물리적 방화벽′을 쌓는 것과 같은 말이 된 이유입니다
뒤떨어진 보안 기술…따라잡을 수 있나?
방화벽을 쌓는 데 투자를 한 우리기업들과는 달리, 실리콘 밸리를 근거지로 한 기술 기업들은 사용자의 본인 확인을 위한 다양한 방법을 발전시킵니다. 기술은 각양각색이지만, 큰 방향은 사용자는 편하게 사용하고, 기업은 은밀한 방법으로 부정 사용자를 가려내는 것이었습니다. 여기에는 사고가 나더라도 전자 상거래 사용자에게 책임을 찾는 것이 아니라, 기업에 사고를 막지 못한 책임을 묻는다는 원칙이 깔려 있었습니다.
아마존이나 아이튠즈 같은 미국 업체들을 이용해 본 소비자들에게 한국 특유의 불편한 인증 시스템에 대한 문제의식은 높아졌지만, 왜 그런 차이가 생기는지 명확하게 인식하지 못했습니다. 기업에게도 편안한 (=책임 지지 않아도 되는) 공인인증 시스템을 바꿀 유인이 적었습니다. 새로운 기술에 나름의 투자를 한 기업도 적지 않았지만, 정부가 이를 허용하지 않는 상황에서, 기업들이 자발적으로 공인인증서 ′중독′에서 벗어나기 어려웠을 것입니다. 한국에서 정부는 ′공인′ 시스템을 만들어주고, 편리함의 유혹에서 벗어날 수 없게 만든 ′공범′이었던 셈입니다.
지난주 새 법이 국회를 통과하면서, 이제 정부가 도장을 찍어 준 인증서만 사용하라는 명령은 사라졌습니다. 누구나 인증서를 만들 수 있고, 인증서를 이용하지 않는 새로운 보안 시스템을 활용할 수 있습니다. 당장 바뀌지는 않겠지만, 변화는 반드시 생길 겁니다.
문제는 속도입니다. 그리고 이 속도를 결정하는 것은 기업들입니다. 이 때 가장 중요한 것은 ″사고가 날 경우 누가 책임을 질 것인가?″라는 질문일 것입니다. 사용자에게 책임을 미루지 않고, 기업들이 사고에 책임을 진다는 원칙이 자리잡는다면, 변화의 속도는 우리가 생각하는 것보다 빠를 수 있습니다.
어떻게 단언할 수 있냐고요? 이미 우리 기업들 중에는 앞선 기술을 갖고 있고, 사용하고 있는 기업들이 많기 때문입니다.
세 줄 요약
-대통령이 지시하고, 공약으로 내세웠는데도 법 개정에 오랜 시간이 걸린 것은 정부와 기업의 정부 ′공인′ 기술에 대한 ′중독′ 때문이다.
-해외 기업들은 정보보안 기술은 다양하게 발전시켰는데, 한국 기업들은 그 조류를 따라가지 못했다.
-법 개정에도 불구하고, 당분간은 공인인증서를 써야 할 가능성이 높다. 속도는 의지, 그리고 그를 뒷받침할 인식변화에 달려있다.