공인인증서 끝장토론, 법개선 동의...견해 차 여전

전자서명법과 공인인증서 체계 운용에 대해 각 분야별로 전문가들은 개선이 필요하다는 점에 대해서는 동의했으나 어떻게, 어떤 부분에서 개선이 필요한가에 대해서는 의견이 엇갈렸다.

23일 고려대 정보보호대학원 부설 금융보안교육연구센터는 서울 안암동 고려대 백주년기념관 국제회의실에서 공인인증서 개선방향 끝장토론회를 개최했다.

이날 토론에는 충남대학교 김대영 교수, 경북대학교 배대헌 교수 등 학계와 페이게이트 이동산 이사, 한국정보인증 박성기 부장 등 산업계와 한국인터넷진흥원(KISA) 이정현 책임연구원 등이 패널로 나섰다. 패널들은 먼저 큰 틀에서는 앞서 최재천 의원(민주당)이 대표 발의한 전자서명법 전면 개정안에 대해 개정이 필요하다는 의견에 대해서는 모두 동의했다.

패널들이 공통적으로 제기한 문제 중 하나는 전자서명법 전면 개정안이 전자서명 전체 환경에 대한 현실을 반영하도록 하기 위해서는 추가적인 개선책이 반영돼야 한다는 것이다. 그러나 어떤 개선책인지에 대해서는 이들 간에 상당한 입장 차를 보였다.

이날 발제를 맡은 이동훈 고려대 정보보호대학원 교수는 지난 5월 최 의원이 발의한 전자서명법 개정안은 크게 전자서명과 공인전자서명을 따로 구분하지 않을 것, 공인인증기관 지정을 허가제에서 등록제(신고제)로 변경할 것, 행정기관과 공공기관의 인증서를 발급하는 인증기관에 대해 독립적 제 3자의 점검을 받을 것이라는 등의 내용을 담고 있다.

■전자서명법은 체계, 공인인증서는 수단

이를 두고 배대헌 경북대 교수는 전자서명법 전면 개정안에서 소비자를 대변하기 위한 논의는 없었다며 (해킹 등으로 인한) 피해가 발생했을 때 이에 대한 책임을 인증기관이 질지에 대한 과실 입증에 대한 내용이 포함돼야 한다고 주장했다. 개정안에 이 같은 내용이 빠져 있다는 것이다.

지난 1999년 제정된 전자서명법은 온라인 상에서 직접 당사자들끼리 만나서 수기 서명하지 않고서도 본인들이 거래한 것이 맞다는 것을 증명하기 위한 디지털 서명에 대한 내용이다.

이를 증명하기 위한 방법 중의 하나가 공인인증서를 활용하는 것이다. 당사자들 사이에 오고 간 디지털 서명을 저장하고 관리하기 위해서는 제 3의 기관이 필요하다. 현재 이 역할을 수행하는 최고 기관(루트CA)은 한국인터넷진흥원(KISA)이 맡고 있다. 그 아래 금융결제원, 한국정보인증, 코스콤, 한국전자인증, 한국무역정보통신 등 5개 기관이 직접 공인인증서를 발급하고 관리하고 있다.

전자서명은 그동안 여러 차례 개정이 있었으나 실제로는 2005년까지 내용이 담고 있어 스마트폰 보급과 인터넷 뱅킹 활성화 이후의 환경을 제대로 반영하고 있다고 보기는 힘들다.

배 교수는 법적을 현재 공인인증서에 활용되고 있는 공개키기반구조(PKI)에 문제가 없다면 의심하지 말고, 대신 다른 새로운 인증방법을 적극적으로 채용하도록 하고, 안전성 확보에 대한 내용을 논의해야 한다고 밝혔다.

■전자서명법 개정안, 금융외 분야는 무관심

한국정보인증 박성기 부장은 현행 전자서명법 개정안은 모순된 내용들이 많다고 주장했다. 기존 전자서명법 제 26조에 공인인증서로 인해 이용자가 피해를 입은 경우 공인인증기관이 이에 대해 과실이 없다는 점을 증명하고, 증명하지 못할 경우 공인인증기관이 피해액을 배상해줘야 한다고 명시하고 있다.

이에 대해 박 부장은 개정안에서는 인증서를 이용하다가 피해를 입은 경우 당사자들 간에 문제를 해결해야 하고, 피해 발생 시 인증기관 대신 이용자가 직접 과실이 없다는 점을 입증해야하는 문제가 발생한다고 말했다. 또한 해당 개정안은 전자서명법에서 인증기능만 남고, 서명은 사라져 관련 산업을 위축시킬 수 있다고 지적했다.

전자서명은 금융거래에서 필요한 본인 '인증' 외에도 전자세금계산서, 전자계약 등에서 본인이 맞다는 의미의 '서명'인 부인방지, 위변조 방지기능을 갖고 있다. 그러나 개정안에서는 서명의 기능이 전부 삭제됐다는 것이 박 부장의 주장이다.

KISA 이정현 책임연구원 역시 이 같은 의견에 동의했다. 이 연구원은 전자서명법은 말 그대로 손으로 쓰는 싸인 행위를 어떻게 전자적으로 쓸 것인가에 대해 연구해서 만든 법으로 PKI가 기반이 되고 있는데 개정안은 서명기능은 사라지고 본인확인에만 치우쳐져 있다고 주장했다.

이 논의에서 오픈웹 진영은 전자서명법 개정안에 추가개정이 필요하다는 점에서는 동의하면서도 세부적인 내용에서는 입장 차가 확연했다.

■개정안=오픈웹 구축의 단초

김대영 충남대 교수는 개정안은 공인인증서를 없애거나 KISA가 가진 최상위 공인인증기관 지위를 내놓으라는 것이 아니다라고 강조했다. 금융위원회가 공인인증서를 강제하면서 액티브X 기반 공인인증서가 사실상 표준이 돼버렸으며, 이 때문에 독약같은 액티브X 환경에 기생/공생하는 거대한 이익 집단이 존재한다고 비판했다. 이어 김 교수는 공인인증서가 표준웹 환경을 결정적으로 방해하고 있기 때문에 전자서명법을 고쳐야 한다고 주장했다. 기존 액티브X 기반/PKI 기반의 공인인증서 외에도 다른 인증수단을 마련하고, 이를 인증해주는 루트CA인 KISA 역시 제 3 기관으로 부터 인증을 받도록 해야 한다는 것이다.

그동안 액티브X, 플러그인 방식을 벗어난 공인인증/모바일 결제 기술 등을 개발해 온 이동산 페이게이트 이사는 웹표준을 준수하도록 하고, 인증서를 클라우드나 HTML5 웹스토리지에 저장하는 방안으로 보안성을 높이는 방안 등이 거론되고 있다며 웹표준을 준수할 수 있는 방향으로 법 개정이 필요하다고 강조했다.

■공인인증서의 인터넷 뱅킹 도입 배경 보니...

이날 방청객으로 참석한 김인석 고려대 교수는 인터넷 뱅킹에 공인인증서가 도입되게 된 배경에 대해 설명하기도 했다. 지난 2011년까지 금융감독원에서 근무했던 김 교수는 2002년 당시 정보통신부가 공인인증서를 금융권에서도 도입해달라고 요청했다고 밝혔다. 금감원에서는 인증서의 복제를 방지하고, 비용문제를 해결해야 한다고 말했다.

김 교수에 따르면 정통부는 2002년 10월 전자정부 오픈을 앞두고 있는 상황에서 인증서 보급운동을 펴고 있던 시기였다. 정통부는 통신암호화, 암호인증(PKI), 보안카드 등을 대안으로 들고 나왔고, 금감원이 이를 허용하면서 인터넷 뱅킹에 공인인증서가 본격적으로 활용됐다는 설명이다. 이어 김 교수는 최근 인터넷 뱅킹에 사용되는 전자금융거래 방식의 문제는 인증서 복제 문제를 해결하는 것이 관건이라고 주장했다.

■이견 차 여전...사회적 합의 필요