“공인인증서 존폐보다 운영환경 개선” 필요성엔 대체적으로 공감   

[보안뉴스 김태형] 공인인증서의 개선 방향을 위해 지난 23일 고려대학교 정보보호대학원(원장 임종인 교수) 부설 금융보안교육연구센터가 개최한 ‘공인인증서 개선방향 끝장토론회’가 오후 3시부터 10시까지 장장 7시간 동안 진행됐으나 이렇다 할 합의점을 찾지 못했다.

공인인증기관 지정을 허가제에서 등록제로 변경하는 것을 골자로 한 전자서명법 개정안이 발의된 가운데, 이날 토론회에서 참석자들은 늦은 시간까지 팽팽한 입장 차이를 보였다. 하지만 공인인증서에 사용되는 PKI(공개키기반구조)의 안전성은 높이 평가하면서 공인인증서에 대한 존폐여부보다는 제도의 운영환경을 개선하자는 점에서는 어느 정도의 공감을 이끌어냈다.

이번 토론회에는 고려대 이경호 교수가 좌장을 맡고 충남대학교 김대영 교수, 경북대학교 배대헌 교수 등 학계와 페이게이트 이동산 이사, 한국정보인증 박성기 부장 등 산업계에서 찬성과 반대 입장으로 참여했으며 한국인터넷진흥원 이정현 박사와 고려대학교 김기창 교수가 해외에서 인터넷 화상회의를 통해 참여했다.

이날 패널 토론에서 페이게이트 이동산 이사는 “공인인증서의 문제는 인증서 자체의 문제보다는 저장위치, 플러그인 사용, 액티브X 사용 등의 문제다. 이에 대한 근본적인 해결 방안은 웹 표준을 사용하는 것”이라고 말했다.

또한, 그는 “공인인증서의 문제점으로 액티브X 사용문제가 지적됨에 따라 액티브X 없이 공인인증서를 사용할 수 있는 기술도 등장하고 있지만, 이는 근본적인 해결책이 될 수 없다”며, “액티브X 없이 통합 설치 프로그램을 통해 보안 프로그램을 내려받게 하지만 액티브X와 같은 플러그인 설치는 동일하다”며 공인인증서의 문제점을 지적했다.

충남대학교 김대영 교수도 “공인인증서의 문제는 근본적으로 표준 웹에서 접근해야 한다. 한국의 모든 웹 환경이 윈도우 환경이라는 점을 지적하면서 액티브X 설치 등 모든 것이 윈도우 기반에 최적화되어 있고 이에 전자금융거래도 윈도우 기반의 웹 환경을 따를 수 밖에 없는 상황”이라고 말했다.

이어서 그는 “이러한 웹 환경과 산업 생태계에서 이익집단간의 관계가 얽혀 있어 이러지도 못하고 저러지도 못하고 있는 상황이다. 이러한 한국의 웹 환경은 해커들에게는 거대한 놀이터이자 악성코드의 숙주가 되고 있다”면서 “한국인터넷진흥원(KISA)가 국내 보안 분야 최상위 공인인증기관이라는 것도 문제다. KISA 이외에 복수의 최상위 공인인증기관을 허용해야 한다”라고 말했다.

또한, 김 교수는 “공인인증서를 없애라는 것이 아니고 금융위원회 등 금융당국이 공인인증서라는 특정 기술을 강요하는 것을 막아야 한다”고 주장했다.

그리고 이날 해외에서 영상회의를 통해 참여한 고려대 김기창 교수는 “전자거래 초창기부터 정부주도 하의 특정 시스템을 사용하도록 강제화한 것이 가장 큰 문제다. 이에 우리 국민들은 다른 대안을 경험해 보지 못해 자생력을 잃게 되었다”라고 지적했다.

경북대학교 배대헌 교수는 “전자서명은 당사자의 의사를 드러내는 것이고 인증서는 주체 행위자가 본인이 맞는지 구별하는 것으로 구분된다. 현재의 디지털 서명 방식 공개키기반구조(PKI)는 전자서명과 인증방식을 분리할 수 없는 기술이기 때문에 전자서명법에도 공인인증서 규정을 둘 수 밖에 없었다”라고 말했다.

배 교수는 “현재 기술의 발전으로 전자서명법의 개정이 필요한 시점이긴 한데 이를 어떻게 할지에 대해서는 많은 논의가 필요하고 단순한 공인인증제도의 존폐는 핵심을 벗어난다”면서 “전자서명법 개정은 필요하지만 현재 발의된 전자서명법 개정안으로 바뀌는 것은 문제가 있다”고 주장했다.

이에 대해 한국정보인증 박성기 부장은 “우리나라 1년 금융거래 규모가 약 1경 1천조를 넘는다. 이를 지켜주는 것이 공인인증서이며, 여기에 쓰이는 기술은 낙후된 기술이 아닌 최첨단 기술이다. 이러한 공인인증 시장 규모는 1천억 미만인 5개 기관이 나누어 사업을 하고 있는 상황”이라고 말했다.

이어서 그는 “공인인증서 때문에 다른 사업이 죽는다는 것은 틀린 말이다. 우리나라 관련 기술이 국제표준 기술로서도 충분히 가능하다. 공인인증서와 액티브X는 관련이 없다. 금융거래시 설치되는 여러 개의 액티브X 가운데 공인인증서과 관련된 것은 하나뿐이다. 이에 공인인증제도에 대한 공격을 멈추어야 한다”고 주장했다.

또한, 박 부장은 “전자서명법 개정안에 전자서명에 대한 부분이 없다. 전자금융거래 시 본인 확인을 위한 ‘인증’과 부인방지를 위한 ‘서명’이 모두 포함돼야 한다. 하지만 개정안이 통과될 경우 우리나라에는 인증만 존재하고 서명은 사라지게 되는 것이다. 이는 인증과 서명을 분리하지 않았기 때문”이라고 말했다.

덧붙여 그는 “공인인증서의 복제나 탈취를 막을 수 있다면 보안 위험은 줄어들 것”이라며, “HSM에 공인인증서를 저장하면 복제가 불가능하며 스마트폰 등을 활용해 2차 인증방법을 추가로 도입하면 보안에 대한 우려가 줄어든다. 발급기준 등을 강화해 제3자가 공인인증서를 발급받지 못하도록 하면 보안 위협을 줄일 수 있다”고 강조했다.

KISA 정책연구실 이정현 책임연구원은 “공인인증은 국가 등이 인정한 인증으로 근본적인 문제점은 법령에서 강제하는 공인인증서의 사용과 다양한 인증수단의 보급이 미흡하다는 점”이라고 지적하면서 “공인인증서의 폐지보다는 다양한 인증서의 적용을 허용하는 등 현실성을 반영한 점진적인 변화와 보완이 필요하다”고 말했다.

이와 관련 방청객으로 참여했던 김인석 고려대 교수는 “액티브X와 공인인증서는 서로 연결되어 같이 개발됐다고 보는 것이 맞다. 액티브X의 문제는 오픈 웹 환경으로 해결 가능하다. 하지만 문제는 공인인증서의 복제 및 저장의 문제로 보안 위험가 유발되는데 이는 사용자들이 보안에 대해 인식하고 안전하게 사용하도록 하는 것이 최우선”이라고 말했다.

그리고 그는 “다양한 인증방식을 인정하고 어떤 수단을 선택할지는 금융기관이 자체적인 상황을 고려해 적절한 방안을 찾도록 해야 하는 것이 맞다”고 말했다.

이처럼 이날 토론회에서는 공인인증서의 도입배경과 전자서명법의 제정, 그리고 액티브X와 공인인증서의 연관성, 공인인증서의 다양화 및 보안성 강화 방안 등 관련된 여러 가지 부분에 대한 논의가 이루어졌으나 저마다 자신의 입장만 내세운 탓에 끝장 토론이 되지 못해 아쉬움이 남았다.

마지막으로 이경호 고려대 교수는 이날 토론회를 정리하면서 “이번 토론회로 공인인증서와 관련된 논쟁을 끝내려고 했지만 조금 성급함이 있었다. 하지만 오랜 시간 많은 논의를 통해 현재의 전자서명법이 개정되어야 한다는 부분에는 공감대를 형성했다”면서 “이번 토론에서 나온 의견들은 정리해서 국회에 전달할 계획이다. 수많은 의견들이 나왔지만 현재 국회 법안심사 소위를 통과한 전자서명법 개정안의의 경우 보다 더 심도 있는 논의가 필요하다는 부분에 합의했다는 점에서 만족해야 할 것 같다”고 말했다.

한편, 이와 같은 공인인증서 개선 방향을 포함한 전자금융거래법과 전자서명법 개정안이 오는 9월 정기국회에서 논의될 예정이어서 그 결과가 주목되고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>