[기고] 공인인증제도, 이젠 정비해야
최근의 공인인증서와 관련된 사고는 두 가지로 대별된다. PC가 해킹돼 공인인증서와 개인신상정보가 절취되면서 제3자가 관련 정보를 도용, 금융자산을 훔치는 유형과 개인의 계좌정보와 신상정보를 절취한 해커가 공인인증서를 재발급받아 고객의 계좌에서 돈을 빼가는 유형이다. 이러한 황당한 해킹에 대해 고객은 피해보상을 요구하지만 ‘갑’ 입장으로 보이는 금융회사는 고객의 과실과 부주의를 따져야 한다고 주장한다.

인터넷 뱅킹시 공인인증서를 의무적으로 사용하게 된 것은 2002년부터다. 10여년 전과 확연히 달라진 기술동향과 해킹 현실을 감안하면 공인인증서 의무화 관련 정책의 정비가 필요하다는 것은 부인할 수 없어 보인다. 그런데 최근 공인인증서가 해킹의 통로라면서 ‘공인인증서 자체가 문제다’라는 등의 단순논리가 등장하는데, 제대로 된 대안을 마련하기 위해서라도 이 문제는 정확히 짚고 넘어가야 한다. 정확히는 ‘공인인증서를 의무화하려면 액티브X와 연동해 작동하지 않도록 기술을 개발하고 정책적으로 강제했어야 했다’라고 지적하는 편이 맞다. 공인인증서가 기술적으로 취약한 보안기술을 채택하고 있다는 주장에 동의하지 않는 보안전문가도 많다는 점을 기억해야 한다.

최근 정책당국이나 금융회사들이 곤혹스러워하는 문제는 ‘많고 많은 보안 대책 중 어디까지를 정부가 강제해야 하고, 어디까지를 자율에 맡기는 것이 거래안전과 소비자보호를 위한 최적의 수준인가’하는 것이다. 세계적인 추세는 강제적인 부분을 줄이면서 사용자와 금융회사의 자율적 노력을 유도하는 방향으로 움직이고 있다. 이런 점들을 고려하면 공인인증만을 강제하지 않고 사설인증을 병행해 쓰도록 유도하자는 최근의 주장은 다분히 설득력이 있다.

또 하나 짚고 넘어갈 이슈는 공인인증서 절취로 인한 해킹시 금융회사가 고객으로 하여금 무과실을 입증하라는 것인데 이는 개선해야 할 여지가 많다. 인터넷 뱅킹은 고객의 편의를 제고시키는 수단인 동시에 금융회사의 비용을 줄여주기도 하는 쌍방적 혜택이 있는 기술적 산물이기 때문이다. 물론 사용자들도 스스로를 지키기 위해 주의해야 한다. 나아가 고객이 금융회사가 제공하는 자기보호조치를 자발적, 선제적으로 실행했을 경우 해킹 사고의 고객 입증책임을 경감하고 피해구제가 용이하도록 법령을 개정할 필요가 있다.

마지막으로 보안업계에 바라는 것은 ‘말도 많고 탈도 많은’ 공인인증서보다 더 안정적이고 편리한 보안기술, 방법론을 개발해 상용화하자는 것이다. 지금도 생체인식기술, 2채널 인증방법론 등 여러 가지 제안이 나오고는 있지만 좀 더 고객친화적이면서 효과를 극대화하는 좋은 대안들이 나와야 한다. 언제까지 보안업계마저 중국 해커들을 탓하고 북한을 원망하는 촌극을 반복할 것인가.

장흥순 < 서강대 기술경영전문대학원 교수 >