미래부 법령개정 추진…다양한 공인인증 방식 도입

온라인으로 금융거래를 하거나 민원서류를 신청할 때 필요한 공인인증서의 발급 절차가 이르면 오는 6월부터 까다로워진다.

미래창조과학부는 정보통신망으로 공인인증서를 발급할 때 신원확인 방법을 강화하는 내용의 '전자서명법 시행규칙 일부개정령안'을 입법예고했다고 23일 밝혔다.

개정령안은 공인인증기관이 공인인증서를 ▲ 사전 등록된 단말기(PC·스마트폰 등)에서만 발급해주거나 ▲ 휴대전화와 일회용비밀번호(OTP) 생성기로 신원을 확인하거나 ▲ 인터넷과 ARS 등 서로 다른 두 가지 이상의 통신 경로로 신원을 확인하도록 하는 내용을 담고 있다.

이는 피싱·파밍·스미싱 등 전자금융사기범들이 공인인증서를 부정하게 재발급 받아가는 경우를 방지하려는 것이다.

개정령안이 시행되면 공인인증기관은 공인인증서를 발급하기 전에 이들 3가지 중 한 가지를 본인확인 수단으로 사용해야 한다.

이들 3가지 외에도 안정행정부가 안정성을 인증한 수단도 사용 가능하다.

이미 지난해 금융권에서는 미리 지정한 단말기를 이용하거나, 추가 본인확인 과정을 거치는 내용의 '전자금융사기 예방서비스'를 자발적으로 시행하고 있다.

이번 법령 개정은 추가 본인확인 절차를 금융권뿐 아니라 모든 범위로 확대하고, 추가 확인 수단을 더욱 엄격히 한다는 데 의미가 있다.

예를 들어 현재 금융권에서는 휴대전화 문자인증 또는 OTP 중 한 가지로 신원을 확인하고 있지만, 개정령안은 두 가지 수단을 동시에 쓰도록 한다.

공인인증기관이 시행규칙을 어기면 미래부로부터 시정명령 등 제재를 받게 된다.

시정명령을 어기면 업무정지나 지정 취소 등 처분을 받을 수도 있다.

미래부는 입법예고 기간인 오는 4월2일까지 금융권 등 관계기관 의견을 수렴하고, 법제처와 규제개혁위원회 심사를 거쳐 5월 이후 개정령안을 확정할 예정이다.

차질 없이 일정이 진행되면 오는 6월부터 새로운 시행규칙을 시행할 방침이다.

이번 개정령안은 금융기관이 아닌 다른 분야 공인인증기관도 인터넷으로 공인인증서를 발급하도록 하는 내용도 담고 있다.

한편, 미래부는 공인인증기관들이 다양한 전자서명 기술을 도입하도록 '전자서명법 시행령 일부개정안'도 마련해 입법예고했다.

현재 5개 공인인증기관은 모두 공개키암호화(PKI; Public Key Infrastructure) 전자서명 기술을 바탕으로 공인인증서를 발급하고 있다.

미래부는 "현 전자서명법은 기술중립적 입장을 취하고 있지만, 실제로는 PKI에 의한 전자서명 기술만 통용되고 있어 새로운 기술 개발이나 다양한 인증수단의 도입이 활발하지 않다"며 "다양한 전자서명 기술을 이용하는 공인인증기관을 지정하기 위해 시행령을 개정하기로 했다"고 설명했다.

시행령이 개정되면 미래부는 새로운 전자서명 기술을 가진 기관으로부터 공인인증기관 지정 신청을 받고서 해당 기술이 공인전자서명 요건을 갖췄는지 심사해 채택하게 된다.

미래부는 새로운 기술을 심사하는 과정에서 전문성과 투명성을 확보하기 위해 '공인인증기술자문단'의 도움을 받을 수 있다.

PKI는 정보를 암호화하기 위해 사용하는 키(key)와 복호화(암호를 푸는 행위)를 위해 사용하는 키가 서로 다른 암호화 방식이다.

PC에서 이 방식의 공인인증서를 사용하려면 플러그-인(Plug-In) 프로그램을 사용해야 하는데, 마이크로소프트(MS)의 인터넷익스플로러(IE) 브라우저 이용률이 높은 우리나라에서는 공인인증서 사용을 위해 IE의 플러그-인 프로그램인 '액티브엑스(Active X)'를 필수적으로 사용하게 돼 보안성이 떨어진다는 지적을 받고 있다.

액티브엑스를 설치하는 과정에서 무심코 악성코드를 PC에 내려받는 일이 빈번히 발생하기 때문이다.

미래부 관계자는 "이번 법령 개정으로 다양한 브라우저와 프로그램, PC뿐 아니라 스마트폰과 스마트TV 등에도 적용할 수 있는 인증수단이 등장하게 될 것"이라고 기대했다.

(서울연합뉴스) 최인영 기자 abbie@yna.co.kr