• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“공인인증 논란...기술의 문제 아닌 정책의 문제” 2010.05.06

4일, ‘공인인증제도 문제점과 해결방안 세미나’서 다양한 의견 제시


최근 전자금융거래에서 공인인증서 이용에 대한 이슈가 뜨겁게 제기되다가 지난 3월 31일 국무총리실이 마치 공인인증서 의무화를 폐지하겠다는 뉘앙스를 비친 보도자료를 발표함에 따라 공인인증서의 논란이 식어가고 있다. 그리고 정부는 금융기관과 기업 등이 각자의 거래환경에 맞는 인증방식을 선택할 수 있도록 민관협의체를 구성해 5월말까지 보안방법의 안전성 수준에 관한 법적·기술적 가이드라인을 마련할 계획이라고 밝힌 바 있다.

 

그런 가운데 여전히 공인인증서과 관련해 풀어야 할 숙제가 남아 있는 것은 사실이다. 이는 ‘공인인증서가 과연 안전한가’란 점과 ‘사용자들에게 다양한 기술 선택권을 준다는 점에서 인터넷뱅킹 시 공인인증서 기술만을 강제할 것이 아니라 다양한 인증 및 결제수단을 제공해야 한다’는 크게 2가지 논란이 여전히 남아 있는 것이다.

 

▲서울대 기술과법센터와 연세대 의료/과학기술과법센터가 공동으로 4일, 개최한 ‘공인인증제도의 문제점과 해결방안 세미나’에서는 정부·업계·학계 전문가들이 한자리에 모여 공인인증서 제도 개선 방안에 대한 다양한 의견이 제시됐다. @보안뉴스.

 

그런 점에서 4일, 서울대학교 기술과법센터(센터장 정상조 교수)와 연세대학교 의료/과학기술과법센터가 공동으로 ‘공인인증제도의 문제점과 해결방안’이란 주제로 열린 세미나에서는 정부·업계·학계 전문가들이 한자리에 모여 공인인증서 제도 개선방안에 대한 다양한 의견이 제시돼 주목된다.


임종인 고려대 정보보호대학원장의 사회로 진행된 이날 세미나에서는 ‘공인인증 제도의 개선방향’이란 주제로 마련된 제1세션에서는 오픈웹의 김기창 고려대 법대 교수와 오병철 연세대 법대 교수가 발표자로 나섰고, 김승주 성균관대 교수와 김기영 이니텍 상무가 토론자로 나서 의견을 밝혔다.


또한 ‘공인인증에 관한 법정책’ 제2세션에서는 홍진배 방통위 인터넷정책과장과 장영환 행안부 정보보호정책과장이 발표자로 나섰고, 김명호 MS 박사와 김광준 NHN 변호사, 이기혁 SK텔레콤 IT보안팀장이 토론자로 나섰다.


우선 인증 기법 선택 기준과 클라이언트 보안에 관한 감독 기준에만 그 논의의 범위를 국한해 발표한 김기창 교수는 “공인인증서를 사용해야 한다는 현행 전자금융 감독규정 제7조는 클라이언트 인증 기법에 국한된 감독기준으로 보인다”며 “이는 마치 클라이언트 인증만 하면 안전하다는 듯이 보인다. 따라서 서버 인증에 대해서는 현재 아무런 감독 기준도 존재하지 않는 상황인데, 이점은 개선의 여지가 있다”고 주장했다.


또한 김기창 교수는 “클라이언트 PC의 보호를 서버가 ‘강제’로 할 수는 없다 세계 어느 나라도 한국과 같은 ‘플러그인 형태의 보안프로그램 설치 강제’ 정책을 취하는 나라는 없다는 점을 겸허하게 받아들여야 한다”고 지적하고 “그런 일을 하지 않는 이유는 그것이 기술적으로 무의미하기 때문이지, 그런 플러그인을 설계할 능력이 없기 때문이 아니다”고 밝혔다.


반면 오병철 교수는 “공인인증 논란은 정책의 문제지 기술의 문제가 아니다”고 말하고 “어떤 형태로든 중립성·호환성을 유지하는 추가적인 대안이 필요하다”고 밝혔다.


이어 토론자로 나선 김승주 교수는 “현재의 공인인증서의 안전성과 관련된 논쟁들은 대부분 개인키의 안전한 관리와 관련한 것들이다. 논의의 중심을 안전하고 편리한 공인인증서 저장매체 보급에 두어야지 공인인증서를 OTP로 대체하자는 말은 이치에 맞지 않다”고 말하고  “사용자들에게 다양한 기술 선택권을 준다는 점에서 공인인증서 기술만을 강제할 것이 아니라 다양한 인증 및 결제 수단을 제공해야 한다”고 주장했다.


즉 김승주 교수는 큰 규모의 거래에는 공인인증서 방식을, 작은 규모의 거래에는 공인인증서 방식 또는 OTP방식을 병행해 적용하다는 것이 타당하다는 의견이며, 이를 위해 그는 평가기관 및 관련 심사기준을 객관적이고 독립적으로 구성할 수 있는 방안을 찾아야 한다고 덧붙였다.


그리고 이어진 제2세션 발표자로 나선 홍진배 방통위 과장과 장영환 행안부 과장은 각각 ‘스마트폰 뱅킹·결제 개선방안’과 ‘공인인증서 제도의 현황’을 발표했다.


한편 이날 제2세션 토론자로 나선 김명호 박사는 공인인증서 논란과 관련해서 관점 측면에서는 “전자서명은 목적이고, 공인인증은 수단이며 이를 구현하는 점을 분명히 할 필요가 있다”고 논점측면에서 ▲수단의 유일성 ▲목적의 강제성 ▲구현의 제한적 가용성을 설명하고 이를 해결하기 위해서는 “수단으로써의 공인인증을 유일하게 명시하는 대신 주목적인 전자서명의 요구사항을 명시해야 한다. 강제성을 완화할 경우 자율과 책임을 더욱 분명히 하고, 제한적 가용성은 여러 해결책이 제시되고 있다”고 밝혔다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>