폐지 앞둔 공인인증서 제도.. 왜 '적폐'가 되었을까
지난 21년간 국민들의 신분 증명을 대신해줬던 공인인증서 제도가 폐지를 목전에 두고 있다. 법안이 통과되더라도 당장 사용하던 공인인증서가 사라지는 것은 아니지만, 시장에서는 ‘정보기술(IT) 적폐’라고 불리던 공인인증서가 사라짐에 따라 훨씬 편리한 인증 방식들이 등장할 것으로 기대하고 있다. 그런데 우리는 왜 이 불편한 공인인증서를 20년씩이나 쓰게 된 걸까?
◇공인인증서, 나쁜 것만은 아니다
공인인증서는 인터넷 등장 초기인 1999년 전자서명법이 발효되며 필요해진 개념이다. 온라인 거래를 하기 위해서는 디지털 환경에서 스스로가 본인임을 증명할 수 있는 ‘전자 인감’이 필요했는데, 정부가 특정한 사람의 신원을 보증해준다는 증거로 발급해준 것이 공인인증서다. 공인인증서에 담긴 공개키(public key)가 나만 기억하고 있는 비밀키(private key)와 같다면, 스스로를 증명할 수 있게 되는 것이다. 이는 우리나라뿐 아니라 전세계에서 보안을 위해 널리 쓰이고 있는 표준 기술이기도 하다.
정부가 직접 개발해 보급하기 시작한 공인인증서는 20여년간 인터넷뱅킹과 전자상거래를 비롯한 다양한 분야에서 광범위하게 사용됐다. 특히 은행에서는 2003년부터 공인인증서가 본인 확인 수단으로서 의무화됐고, 2006년에는 30만원 이상의 모든 전자상거래에 공인인증서 사용을 의무화하는 규칙이 마련됐다. 2015년 공인인증서 의무화는 폐지됐지만, 발급 건수는 매해 증가해 지난해엔 8월까지 4,108만건의 공인인증서가 발급됐다. 사실상 국내 경제활동 인구의 대부분이 공인인증서를 사용 중인 셈이다.
‘적폐’ 취급을 받고 있긴 하지만, 2000년대엔 공인인증서 덕분에 우리나라가 세계적으로 유례 없는 수준의 디지털 환경을 구현해낼 수 있었다. 온라인상 본인 증명이 공인인증서 하나로 간단해지자, 등본이나 가족관계증명서와 같은 서류 한 장을 떼기 위해 주민센터나 법원을 직접 찾아 다니거나 세무 신고를 위해 은행에 몇 시간이고 줄을 서지 않아도 되는 환경이 빠르게 구축된 것이다. 은행 업무와 인터넷 쇼핑부터 증권 거래, 정부 민원, 병무 행정에 이르기까지 사실상 사회 전반에 걸쳐 디지털 인프라가 빠르게 구축될 수 있었던 것도 공인인증서의 힘이었다.
2015년 박근혜 전 대통령이 지적했던 ‘천송이 코트 문제’와 같이 공인인증서가 결제 과정을 까다롭게 만든다는 점은 역설적으로 카드 도난 및 부정사용 가능성을 훨씬 낮춰주기도 했다. 카드번호와 카드 뒷면의 CVC 코드만 있으면 온라인 결제가 쉬운 해외에서는 이를 악용한 신용카드 도용 범죄가 심각하기 때문이다. 한 조사에 따르면 미국의 경우 2014년 5만5,600건이었던 신용카드 사기 신고가 2018년 15만7,700건으로 대폭 증가한 반면, 우리나라는 위ㆍ변조와 정보 및 명의도용 등 신용카드 부정사용 건수가 2014년 1만8,000여건에서 2017년 7,000여건으로 점차 줄어들고 있다.
◇‘액티브X’의 배신… 보안성 문제도
그러나 2010년대에 접어들고 모바일 환경이 급속도로 퍼지며 공인인증서의 불편성이 도드라지기 시작했다. 대표적인 것이 ‘액티브X’ 문제다. 액티브X는 웹 브라우저가 사용자의 하드디스크에 저장된 데이터에 접근을 할 수 있도록 만들어주는 기술로, 외부 저장장치에 인증서를 저장해야 하는 공인인증서 구동을 위해 필수적인 존재였다. 문제는 액티브X가 마이크로소프트(MS)의 기술이라 인터넷 익스플로러를 쓰지 않으면 이용할 수 없다는 데 있다. 이는 국민 대다수가 인터넷 익스플로러를 사용하던 2000년대에는 큰 문제가 되지 않았지만, 스마트폰 사용성이 높아지며 구글 크롬이나 애플 사파리 등 다른 브라우저 사용 빈도가 높아진 2010년대 들어서는 큰 불편함을 초래하게 된 것이다.
취약한 보안도 꾸준히 문제가 됐다. PC나 USB 등 외부 기기에 저장되는 공인인증서 특성상 해커가 특정 PC의 하드디스크에 접근할 수만 있다면 복제가 쉽고, 비밀번호만 알아낸다면 얼마든지 악의적인 목적으로 이용하기가 쉽기 때문이다. 특히 최근 스마트폰에 공인인증서를 저장하는 사람들이 크게 늘어나면서 해킹 건수가 더욱 증가하고 있다.
◇카카오페이 인증ㆍ패스가 대안… “미래엔 ‘DID 기술’이 대세 될 것”
전자서명법 개정안이 처리된다면 ‘공인전자서명’이라는 표현이 ‘전자서명’으로 바뀐다. 정부에서 보증해주는 유일한 공인인증서가 아닌, 사적 기관이 보증해주는 다양한 방식의 서명을 공인인증서와 같은 지위에서 사용할 수 있게 된다는 뜻이다. 현재 대체재로 가장 주목 받고 있는 서비스는 카카오가 2017년 내놓은 ‘카카오페이 인증’과 이동통신 3사가 운영하는 ‘패스(PASS)’ 등이다. 두 서비스 모두 지문인식이나 6자리 간단한 비밀번호만 있어도 서명이 가능해 훨씬 편리하며, 인증서를 외부가 아닌 스마트폰 내부의 안전한 곳에 보호함으로써 보안성도 높였다.
업계에서는 차세대 인증 수단으로 분산신원인증(DID)을 꼽고 있다. ‘탈중앙화’를 기본 개념으로 하는 블록체인 기술을 활용하는 DID는 중앙 기관에서 신원을 보증해주는 것이 아니라, 각자의 스마트폰에 저장된 디지털ID로 보증을 하는 방식이다. 이를 활용하면 신분증부터 각종 증명서, 계약서 등을 디지털 형태로 보관, 사용하는 게 가능해진다. 블록체인 업계 관계자는 “국내뿐 아니라 해외에서도 활용 가능하다는 점에서 미래에 널리 활용될 것”이라며 “사용처 확보와 법ㆍ제도 정비가 첫 번째 과제”라고 말했다.
곽주현 기자 zooh@hankookilbo.com (mailto:zooh@hankookilbo.com)
Copyright © 한국일보. 무단전재 및 재배포 금지.