애플스토어 공인인증서 보안인가 족쇄인가

애플의 온라인스토어가 30만원 이상 결제시 공인인증서(이하 '인증서')를 사용해야 하는 국내 전자금융거래법을 따르게 될 것으로 알려져 논란이다. 월초 금융감독원이 애플의 전자결제지불대행업체에 '모든 브라우저'에서 관련 규정대로 인증서를 쓰라는 시정 명령(권고)에 따른 결과다.

17일 업계에 따르면 금감원의 조치로 애플 제품 사용자들은 앞으로 국내 애플 온라인스토어에서 30만원 이상의 제품 구매시 기존엔 쓰지 않았던 인증서를 사용해야 한다. 금감원의 권고는 전자금융거래법에 근거를 뒀지만 기계적 형평성을 맞추느라 민간에 불필요한 족쇄를 채운 건 아니냔 비판과 함께 해당 조치의 정당성에 의문이 제기됐다.

그 하나는 인증서 기반 결제시스템 도입에 따른 기술적인 문제나 보안상의 부작용이 윈도 사용자들에게 그랬듯 맥 사용자들에게도 나타날 것이란 우려다. 다른 하나는 금감원이 애플보다 더 인증서 적용에 소홀한 업체 사례에는 조치를 취하지 않는 등 인증서 사용 의무를 부과한 금감원의 형평성에 대한 비판이다.

애플은 그간 윈도 인터넷익스플로러(IE) 환경에만 인증서 결제방식을 적용해왔다. 윈도에서 IE 이외 브라우저로는 30만원 이상 결제시 인증서를 쓰지 않게 돼 있었다. 국내 다른 온라인쇼핑몰 업체들은 IE 이외 브라우저에서도 가능하다면 인증서 결제방식을 썼다. 애플도 그렇게 바꿔야 형평에 맞다는 게 금감원 논리다.

그러나 온라인쇼핑몰 업계에서 애플 온라인스토어를 상대로 문제를 제기한 사례는 없는 것으로 알려졌다. 또 국내 소비자들에게 제품을 판매하면서 어떤 브라우저로도 30만원 이상 결제시 인증서를 쓰지 않는 사례가 확인됐는데 금감원은 해당 업체를 제재하지 않음에 따라 행정조치의 일관성에 의문을 야기했다.

금감원의 조치가 최선이었느냐는 의문은 애플 온라인스토어에 대한 시정 명령이 내려진 시점 때문에도 불거졌다. 지난 10일 적용되기 시작한 해당 사이트의 인증서 결제방식은 애플이 국내 온라인 매장을 연 지난 2006년 11월 이래 약 7년만이다. 이동안 금감원은 주의나 경고를 준 적이 없다.

인증서 결제방식을 꺼리는 이들은 아직 맥이나 윈도 등 PC사용자들뿐아니라 그들의 불만과 불편에 민감한 온라인유통업체도 포함한다. 정부기관과 국회의원들은 인증서 사용을 온라인 결제에 인증서 사용을 강제하는 규정을 바꿔야 한다는 취지로 관련법 개정을 논의 중이다.

인증서의 문제가운데 대표적인 것은 유출로 인한 보안 위협 증가다. 올상반기 인증서 유출건수가 지난해보다 800배 늘어난 6천933건으로 알려졌다. 스마트폰이 6천156건, PC가 777건이다. 인증서 파일을 유출시킬 수 있는 악성코드 다운로드 링크를 접근한 기기 환경에서 주로 사고가 발생했다. 맥 컴퓨터 사용자들이 같은 일을 겪을 수 있다는 우려가 나온다.

■금감원-애플 온라인스토어, 무슨 일 있었나

최근 금감원 IT감독국 IT총괄팀의 김윤진 부국장은 지난 8일 (애플 온라인스토어에서) 웹브라우저로 30만원 이상 결제시 인증서를 쓰도록 전자지불대행(PG)업체에 시정명령을 내렸다며 10일부터 인터넷익스플로러(IE)가 아닌 윈도 기반 브라우저에서도 인증서 결제 방식이 적용됐다고 밝혔다.

금감원이 시정명령을 내린 대상은 애플코리아 또는 본사가 아니라 국내 PG업체인 'KG이니시스'다. 애플코리아 온라인스토어에 연결된 KG이니시스 결제시스템만 손보면 된다. 당장 애플이 나설 일은 아닐 수도 있다. 애플 측에선 공식적인 움직임을 보이지 않고 있는 상황이다. 애플은 결제시스템과 관련해 현지 정책을 가능한한 수용하는 게 기본 방침인 것으로 알려졌다.

국내 온라인 쇼핑몰을 운영하는 사업자들에겐 현행법상 30만원 이상 결제시 인증서 사용이 의무로 알려져 있다. 애플코리아 온라인스토어도 전부터 IE사용자에겐 액티브X 기반 플러그인으로 작동되는 인증서 결제를 지원했다. 대신 다른 브라우저 또는 맥과 iOS 기기 브라우저를 쓰는 이들은 예외였다.

최근 이를 인지한 금감원이 KG이니시스에 이런 '예외를 없애라'는 뜻을 전했다. KG이니시스는 이미 갖춘 윈도 기반 '비IE 브라우저'용 인증서 결제를 막바로 적용했다. 아직 못 만든 맥(OS X)용 인증서 결제기술, 아이폰·아이패드(iOS)용 인증서 결제기술 도입은 각각 개발될 시점까지 미뤄졌다.

관련 문의에 대해 김 부국장은 결제서비스를 미리 중단시킬 경우 소비자 불편을 초래할 수 있어 일단 기술이 개발될 때까지는 기존 (인증서 없이 결제) 방식을 유지할 수 있도록 했다며 개발 기간에 제한을 둔 건 아니고, KG이니시스로부터 관련 기술개발 계획안을 제출받을 것이라고 설명했다.

■애플, MS·어도비 형평성 논란…진실은?

사실 애플은 마이크로소프트(MS), 어도비 등 소프트웨어(SW)업체 온라인매장과 함께 '공인인증서 없이도 안전한 결제가 가능함'을 보인 국내 사례로 꼽혔다. 금감원은 이들 업체가 모두 제품 결제 과정에서 인증서를 쓰지 않고 30만원 이상을 결제하는 것으로 파악했지만 애플과 나머지에 대한 처리가 달랐다.

금감원은 애플의 PG업체 KG이니시스측의 규정 위반 사례를 인지한 직후 시정명령을 내렸지만 MS와 어도비의 결제서비스 플랫폼을 호스팅하는 '디지털리버코리아'에 대해서는 별도 조치를 취하지 않았다. 디지털리버코리아는 전자금융거래법 적용대상이 아니라는 판단에서다.

애플의 KG이니시스는 국내 신용카드사와 제휴해 원화로 출금한다. 반면 MS나 어도비의 결제 서비스 대행업체인 디지털리버코리아는 비자 또는 마스터카드만 결제가 가능하며 원화가 아닌 달러로 출금한다. KG이니시스처럼 판매자와 구매자 사이에서 대금을 건네지도 않는다.

김 부국장은 디지털리버가 국내서 서비스를 제공하고 있지만 해외결제가 이뤄지는 점, 지불금액에 환율과 환전수수료 적용을 받는 점, 제휴업체 MS와 어도비가 직접 돈을 받는 점 등 여러 요소를 종합한 결과 법 적용 대상에 포함키 어렵다고 판단했다고 말했다.

그에 따르면 애플코리아가 KG이니시스같은 PG업체를 쓰지 않고 디지털리버코리아를 통해 결제기능 호스팅만 하면서, 외국 신용카드로 외화 결제만 가능한 온라인스토어를 운영했을 경우 MS와 어도비처럼 인증서 관련 제재를 피해갈 수도 있었다.

하지만 전자금융거래법 2조5호에 금융기관 또는 전자금융업자를 위해 전자금융거래를 보조하거나 그 일부를 대행하는 업무를 행하는 자 또는 결제중계시스템의 운영자를 가리키는 '전자금융보조업자'도 전자금융감독규정 적용대상인데, 디지털리버가 이 범주를 확실히 벗어나는 것인지 의문이다. 공공기관 입장에선 외화거래를 하는 디지털리버측을 제재할 방법이 사실상 없기 때문에 넘어갔을 것이란 추정도 그래서 나왔다.

■인증서에 '플러그인' 필수…맥 유저 재앙

국내 방식대로 인증서를 쓰려면 '플러그인'이라 불리는 별도 프로그램 설치가 필수다. 규제당국이 온라인결제에 인증서를 쓰게 만든 목적은 보안 강화인데, 여기엔 다소 어폐가 있다.

플러그인을 내려받아 설치하는 과정 자체가 사용자 환경의 전체적인 보안 수준을 낮춘다. 보안 관점에선 어떤 온라인서비스를 제공할 때 사용자가 뭔가를 내려받아 설치하지 않아도 되도록 구성된 사이트가 이상적이다. 사용자는 사이트와 플러그인 프로그램에 문제가 있어도 알아채기 어렵기 때문이다.

또 인증서 처리를 위한 플러그인을 쓰려면 그 동작 환경인 브라우저와 PC나 모바일기기의 OS버전과 호환성을 갖춰야 한다. 어떤 플러그인이 브라우저나 OS의 버전 특성에 맞게 만들어지지 않으면 정상적으로 작동하지 않는다. 개발업체가 지원하는 범위에서만 제대로 돌아간다는 뜻이다.

문제는 인증서 플러그인 개발업체가 모든 브라우저와 OS의 잦은 업그레이드에 실시간 대응하긴 어렵다는 사실이다. 사람들이 최신 OS와 브라우저에서 어떤 결제서비스의 인증서 플러그인을 쓰려면 온라인쇼핑몰 운영측이 적절한 투자를 집행하고 플러그인 개발업체가 대응할 수 있도록 만들어야 한다.

그렇지 않으면 더 향상된 보안 기능과 안정성을 제공하는 최신OS와 브라우저 사용에 제약을 받게 된다. 국내 정부기관들이 공식사이트에 몇년전 만든 인증서 플러그인을 방치하면서 내년 사용시한이 마감되는 윈도XP에서만 원활히 돌아가고, 최신 윈도8 OS에 대응을 못하는 경우가 더러 지적되는 것도 같은 맥락이다.

이처럼 인증서가 사용자 환경의 최신 보안기술 도입을 막는 빗장으로 작용하는 상황은 국내 윈도 IE 브라우저 사용자들에게 익숙한 풍경이다. 금감원의 시정 명령도 같은 부작용을 낳지 않겠느냐는 우려가 나왔다. 애플이 다음주 미국서 맥과 아이패드 신제품 출시에 맞물리는 '매버릭스'업데이트를 배포할 전망인데, KG이니시스에서 개발중인 OS X용 인증서 결제기술의 호환성에도 문제가 나타날 수 있다.

■신형 아이폰·아이패드, 기존 모델에서 못 살지도

김 부국장에 따르면 KG이니시스는 OS X 환경과 iOS 환경 각각의 브라우저용 인증서 결제 모듈을 만들어야 한다. 앞서 언급한대로 OS X용 기술은 이미 개발을 준비 중이지만 iOS용 기술은 사정이 좀 복잡해 보인다. 기존 플러그인 기술과 달리 애플, 은행, 카드사 등과 협의해야 한다는 설명이다.

사업자간 협의 여부를 떠나 KG이니시스가 iOS에서 돌아가는 웹기반 인증서 결제기술을 개발하고 적용하기엔 기술적 제약도 있다. iOS의 기본 브라우저는 OS X과 달리 외부 플러그인 실행을 지원하지 않는다. 대신 모바일안전결제(ISP)라는 애플리케이션 연계기술로 iOS에서 인증서를 다룰 수 있지만, 애플이 원치 않을 듯하다. KG이니시스 관계자도 이와 관련한 질의에 구체적인 답을 내놓지 못했다.

KG이니시스는 금감원으로부터 iOS 환경에 맞는 기술 개발이 쉽지 않다는 의견을 밝힌 상태로 보인다. 금감원도 이를 감안하고 있는 분위기지만, 그에 따른 인증서 적용 의무를 무한정 미뤄주진 않을 예정이다. OS X 환경에서 돌아가는 기술이 완성돼 적용된 시점이 분수령이다. 이후에도 iOS용 인증서 처리기술이 나오지 않는다면 아예 인증서 없이 가능했던 기존 결제방식만 금지될 수 있다.

국세청을 비롯한 정부기관들이 공식사이트에 인증서를 쓰도록 한 가운데, 최신 OS나 브라우저를 지원하지 않으니 하위 버전이나 아예 다른 기기 환경으로 접속하라고 안내하는 경우는 흔하다. 애플 온라인스토어가 iOS에서 안 되면 OS X로 접속하라고 지시할 가능성도 없지 않다.

더 흉흉한 시나리오도 있다.

오는 12월 모질라 파이어폭스가, 내년 1월 구글 크롬이 넷스케이프 시절 생겨난 플러그인 기술 'NPAPI'를 차단할 예정이다. 일각에서는 애플 사파리도 같은 변화를 단행할 가능성이 높다는 관측을 내놨다.

NPAPI는 IE의 액티브X처럼, 다른 브라우저가 국내 인증서를 사용하기 위해 필수요소다. 각 브라우저의 NPAPI 차단이 현실화된다면 10년 전처럼 IE를 제외한 브라우저에선 인증서 기반 서비스를 전혀 못 쓰게 된다.

■전자금융거래법 개정안, 인증서 강제하지 말자

어쩌면 금감원의 대응도 업계 동향에 따라 유연해질 수 있다. 금감원의 업무상 기반이 되는 관련법 및 세부 규정에 대한 개정 움직임을 주시해야 하는 이유다.

앞서 김 부국장은 소비자불편을 이유로 애플 온라인서비스의 인증서 미지원 시스템을 당장 막지는 않았다고 언급하면서 최근 인증서 의무 사용 조항을 폐지하는 내용의 법 개정도 추진중인 만큼 여러 상황을 종합적으로 고려(해 OS X와 iOS 환경에 대한 인증서 기술을 적용케)할 것이라고 말했다.

당초 KG이니시스에 대한 금감원 측 권고의 명분도 일단 현행법을 준수하라는 거였다. 주된 근거는 전자금융거래법 21조 3항 금융위원회는 전자금융거래의 안전성과 신뢰성을 확보하기 위해 전자서명법 제2조제8호의 공인인증서의 사용 등 인증방법에 대해 필요한 기준을 정할 수 있다는 조항이다.

이 조항은 민간에서 인증서를 온라인결제용 보안기술로 강제하는 근거였다. 금융위가 바로 금감원 상위 조직이다. 금융위는 금감원에 대한 지도와 감독, 금융관련 주요사항 심의와 의결을 수행하는 공공기관이다. 금감원은 금융위 산하 금융감독업무 담당 특수법인이다.

민간업체들이 전자금융거래법에서 정한 인증서 등 인증방법의 기준을 따르고 있는지 보고 지적하는 게 금감원 업무다. 금감원의 인증서 시정 권고 방침은 법 개정안 통과로 뒤집힐 수 있다.

개정 내용은 전자금융거래법 21조 3항을 금융위원회는 전자금융거래의 안전성과 신뢰성을 확보하기 위해 전자서명법 제2항의 기준을 정함에 있어서 보안기술과 인증기술의 공정한 경쟁을 저해하거나, 특정기술 또는 서비스의 사용을 강제해서는 안 된다로 고치는 것이다.

이렇게 인증서를 강제하지 못하도록 하는 취지의 전자금융거래법 개정안이 발의 5개월째 국회 계류중이다. 지난 5월23일 민주당 이종걸 의원 등 10인이 제안해 27일 정무위원회에 회부, 6월18일 제316회 국회 3차 전체회의에 상정됐다. 그달 24일 제4차 법안심사소위로 넘어갔다.

다만 전자금융거래법 개정안이 통과되더라도 당초 기대대로 인증서 사용을 포함한 인증방법 세부기준까지 법이나 관련 기관이 강제해온 근본적 문제가 일소될 것이라 단정할 수 없다. 법안을 검토하는 과정에서 구체적인 내용이 어떻게 달라질 것인지는 미지수다.

지난 6월 제4차 법안심사소위 상정 당시 회의에 참석한 정무위원회 구기성 수석전문위원은 금융위원회가 정보기술부문과 전자금융업무, 인증방법 세부기준을 정하도록 위임하는 근거를 존치할 필요가 있다는 의견을 피력했다. 이는 개정안 발의 취지와는 다소 들어맞지 않는 모양새다.