행안부 공인인증서 표준안에 반발 거세

국내 스마트폰 금융거래의 갈라파고스화 정책이 거센 반발에 부딪히고 있다.

금융감독원과 행정안전부가 스마트폰에서의 금융거래 시 사실상 의무적인 공인인증서 사용을 밀어붙이는 데 대한 반발이다.

행안부가 21일 금융기관이 하나의 공인인증서를 사용하도록 공인인증서 공용 애플리케이션을 제공하겠다고 발표한 점은 논란에 불을 붙였다.

이는 액티브X 같은 플러그인 방식으로 PC에서 각종 프로그램을 내려받아 금융거래가 이뤄지도록 한 방식을 다소 변형해 스마트폰에서도 이용토록 한 것이다.

금감원과 행안부의 입장이 굳어질 경우 이들 기관의 눈치를 살펴야 하는 금융기관 및 전자거래업체들이 이 같은 방식으로 스마트폰 금융거래를 일원화할 것은 명약관화하다.

문제는 이 같은 정책이 스마트폰 시장 발전에 찬물을 끼얹을 수 있고, 국내에서만 사용되는 특정기술을 강요한다는 점에서 지적을 받고 있다.

스마트폰에서 다양한 상거래와 수익모델이 나타날 것으로 기대를 모으고 있는 상황에서 공인인증서라는 금융거래 방식이 이런 기대에 역행하는 결과를 초래할 수 있다는 것이다.

PC에 이어 스마트폰마저도 국내 금융시장을 국제적인 '외톨이'로 만드는 결과도 낳을 수 있는 셈이다.

이미 PC에서의 공인인증서 사용은 비표준 사용에 따른 갈라파고스화, 공인인증서 복사와 해킹 등에 의한 안정성 문제, 별도 플러그인 사용에 따른 사업자의 비용부담 문제, 서버인증 분야 낙후 초래 등의 난맥상을 드러내고 있다.

금감원과 행안부는 기술적 우수함을 공인인증서 의무화의 논리로 내세우고 있다.

선진국에서 확립된 국제적인 금융 거래 방식으로 웹브라우저가 제공하는 SSL(암호통신 기술)과 OTP(일회용 비밀번호 생성기)는 금융거래의 안정성과 부인방지 효과를 담보할 수 없다는 것이다.

부인방지는 금융 이용자가 스스로 거래 내역이 변경되지 않았음을 증명할 수 있는 기능이다.

공인인증서는 이 기능을 갖고 있지만, SSL과 OTP 방식에서는 없다는 게 행안부의 주장이다.

공인인증 서비스가 이미 광범위하게 사용되고 있고, 국내 인터넷뱅킹이 공인인증서 방식 때문에 선진국보다 발달됐다는 점도 행안부의 논리다.

그러나 이에 오픈웹 진영과 상당수의 보안전문가들은 논리 자체에 문제가 있다고 반박하고 있다.

우선 부인방지 문제의 경우, 이미 3천여개 이상의 공인인증서가 유출된 것으로 추정되고 해킹 위험성이 따르는 상황에서, 공인인증서는 부인방지 기능을 사실상 상실했다고 주장한다.

반면 SSL과 OTP 방식은 알고리즘 상으로는 부인방지가 되지 않지만, 실질적으로 서버인증과 클라이언트 인증을 모두 수행하고 있기 때문에 거래 당사자가 거래 내용을 부인할 수 없다.

국내에서 금융결제 시 공인인증 절차를 밟은 뒤 OTP의 일종인 보안카드를 사용하도록 한 것은, 공인인증서의 안전성 문제로 사실상 OTP가 최후 방어막이라는 점을 인정한 셈이라고 보안전문가들은 지적했다.

특히 SSL과 OTP 방식이 안전하지 않다는 행안부의 주장에 대해 고려대 법대 김기창 교수는 "세계 각국에서 지난 10년간 안정적으로 운영돼 온 SSL+OTP 방식은 안전성이 검증된 것"이라며 "국내 공인인증서 사용에 필요한 비표준 프로그램의 안정성은 투명하게 검증된 바 없다"고 말했다.

게다가 행안부가 OTP의 취약점을 근거로 든 해외 인터넷뱅킹 사고의 경우에는 해당 은행에서 OTP를 사용조차 하지 않는 등 OTP와 무관한 사고라고 지적받고 있다.

여기에 보안전문가들은 이미 해외에서도 SSL과 OTP 방식을 사용하면서 국내에 못지않게 인터넷 금융거래가 발달하고 있다고 반박하고 있다.

또 행안부는 공인인증서가 해외에 수출될 수 있는 한국적 방식이라고 주장하고 있지만, 일본의 경우 국내 공인인증제도를 검토한 뒤 고려할 가치가 없다고 판단한 것으로 전해졌다.

옥스퍼드대와 케임브리지대 등의 연구자들은 공인인증서 방식에 대한 연구논문을 통해 한국만의 독특한 방식의 문제점을 지적하기도 했다.

이와 함께 국내 업체에 대한 역차별 및 경쟁력 상실 효과를 가져올 수 있다는 문제점도 지적되고 있다.

현재 애플의 아이튠스 스토어에 국내 소비자들은 국내 카드사에서 발급한 카드로 30만원 이상의 상품을 구매할 수 있으나 애플은 국내사와 달리 금감원의 보안성 심의를 전혀 거치지 않고 영업하고 있다.

해외 서비스는 다양한 결제 방식으로 이용할 수 있지만 국내 서비스는 공인인증서 방식으로만 사용해야 하는 셈이다.

공인인증서에 대한 집착에서 벗어나기 위해서는 금융위원회가 고시한 전자금융감독규정을 개정해야 한다는 주장이 제기되고 있다.

김 교수는 "전자금융거래법과 전자서명법에도 공인인증서를 사용하라는 규정이 없고, 전자서명법에는 아예 인증서를 사용하라는 규정 자체가 없다"면서 "전자금융감독규정에서 공인인증서 의무 사용 규정을 들어내야 국내에서 안전하면서도 경쟁력 있는 새로운 기술이 사용될 수 있다"고 말했다.

한 전자상거래업체 보안팀장은 "공인인증서 방식은 기업이 서버 및 보안 투자에도 게을리하도록 하는 원흉의 하나"라며 "공인인증서 뿐만 아니라 다양한 금융거래 방식에 문호를 개방해야 글로벌 추세에 발맞출 수 있다"고 말했다.

(서울연합뉴스) 이광빈 기자 lkbin@yna.co.kr