"깔고 깔고 또 깔던 공인인증서 없앴다..그래도 안 뚫린다"

공인인증서 목적 '본인인증 부인방지'
본인인증은? 문자, 지문, 얼굴 인식 등..
'고객은 책임이 없다' 해외 사례 참고
서비스 업체에 해킹 및 보안 책임 부과
액티브X 등 보안 프로그램 불편 줄여야

■ 방송 : CBS 라디오 <김현정의 뉴스쇼> FM 98.1 (07:20~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 지윤성 (링크브릭스 대표)

2014년 드라마 <별에서 온 그대>가 선풍적인 인기 모았을 때 기억하시죠? 중국에서도 그 드라마 바람이 불면서 중국인들이 앞다퉈서 여주인공 천송이 코트를 사려고 한국 온라인 쇼핑에 접속을 했습니다. 그런데 액티브X를 깔고 공인인증서를 다운받고 등등 해서 총 7단계를 거쳐야만 결제가 이루어지니까 다들 포기한다, 이런 뉴스가 전해졌어요. 결국 그 해에 공인인증서만 모든 온라인 거래에 쓰도록 하는 건 개정이 됐습니다. 지금 우리 온라인 쇼핑할 때 은행거래할 때 지문인증, 이런 거 이렇게 바뀐 거죠.

하지만 여전히 공공기관에서는 공인인증서만 쓰도록 돼 있었어요. 이거 불편하다, 공공기관도 좀 바꿔라, 이런 얘기가 계속 나오다가 결국 오늘 20대 국회 마지막 본회의날 이 법안이 처리될 것으로 보입니다. 공인인증서와 사설인증서의 지위가 동등해진다는 것의 의미는 무엇인지, 또 보안상 문제는 정말 없는 건지 짚어보죠. IT 전문가 링크브릭스의 지윤성 대표 어서 오십시오.

◆ 지윤성> 안녕하세요. 지윤성입니다.

◇ 김현정> 연말 정산할 때 뭐 깔아라, 뭐 깔아라 그러면 잘못 깔았다고 해서 저는 정말 굉장히 좀 짜증이 나긴 했거든요. 이제 안 그래도 되는 거예요?

◆ 지윤성> 완벽하지는 않지만 그래도 많이 나아질까 것 같습니다.

◇ 김현정> 공인인증서라는 게 사실 뭔지도 모르고 지금까지 썼다는 분들도 꽤 많으신데 한마디로 말하면 전자서명, 이렇게 이해하면 돼요?

◆ 지윤성> 맞습니다. 공인인증서 사용에 두 가지 목적이 있는데요. 하나는 첫 번째 본인인증입니다. 거래의 주체가 본인인 내가 맞다.

◇ 김현정> 내가 맞다. 누가 훔쳐 가서 하는 거 아니다.

◆ 지윤성> 그다음에 두 번째는 부인을 방지하는 거고요. 내가 승인한 게 맞다, 이거죠. 그런데 본인인증 과정 같은 경우에도 2015년 개정이 됐잖아요. 의무사항이 폐지가 됐으니까. 그 외에 여러 기업들이나 금융기관이나 정부들이 준비를 해왔고요. 다행히 이미 본인인증 과정 같은 경우에는 문자 메시지, 지문이나 얼굴인식도 하고 있으니까 여러 기술들이 나와서 이제는 폐지될 때가 맞는 것 같습니다.

◇ 김현정> 사설 인증이라고 하면 저는 지문 쓰거든요. 은행 거래할 때, 온라인 쇼핑할 때도 지문을 쓰는데, 그 외에 뭐가 있어요?

◆ 지윤성> 얼굴 인식, 특정한 모션을 짓는다든지 여러 가지 방법이 있고, 홍채 인식도 있고.

◇ 김현정> 핀번호 이것도 사설 인증에 들어가는 거죠?

◆ 지윤성> 그런데 또 중요한 것은 오늘 개정이 될 예정이지만 엄밀하게 말하면 공인인증서나 인증서 제도가 폐지되는 게 아니고요. ‘공인’자만 빠지는 겁니다.

◇ 김현정> 정부가 공인하는, 공공기관에서는 이것만으로 인증이 가능합니다. 이게 사라진다는 거죠?

◆ 지윤성> 맞습니다. 그래서 공인인증서의 우월적 지위를 박탈하겠다는 이거고요. 다양한 인증 체계를 받아들이겠다는 거지, 공인인증서 제도가 폐지되는 건 아니고요. 지금 현재 대부분의 사용자들이 많이 쓰고 계신데 카카오페이 같은 경우에도 실제로 그 안에는 인증서가 들어가 있는 거예요. 보이지 않을 뿐이죠.

◇ 김현정> 보이지 않을 뿐이지. 그러면 문제는 보안이거든요. 여태 공공기관에서 공인인증서만 썼던 이유가 사설인증서 보안을 못 믿겠다 해서 그랬던 건데. 지금의 기술수준으로는 괜찮습니까?

◆ 지윤성> 맞습니다. 많이 준비들 해 오고 있고요. 특히 해외 같은 경우에도 아예 공인인증서 제도가 없잖아요.

◇ 김현정> 해외에는 애초부터 없었죠?

◆ 지윤성> 맞습니다.

◇ 김현정> 문제없어요?

◆ 지윤성> 공인인증서나 이런 인증체계, 전자서명 이전에 뭘 고민해야 되냐면 북미나 유럽에서는 ‘제로 라이어빌리티’라고 합니다. 고객은 책임이 없다는 거예요. 금융거래 혹은 전자서명 과정에 있어서 고객의 의도된 행위가 아니라면, 위·변조나 혹은 해킹으로 어떤 문제가 발생했을 때 무조건 서비스 사업자가 책임지게 돼 있습니다. 그런데 우리나라는 공인인증서라는 제도 자체 때문에 모든 책임이 마치 소비자한테 다 지게끔 전가시킨 거죠.

공인인증서 PC 화면. (사진=연합뉴스)

◇ 김현정> 서비스업체 쪽에다가 책임을 져버리게 하면 그쪽에서 철저하게 해킹도 막도록 하고 보안 철저하게 하는 걸 자기들이 하겠군요.

◆ 지윤성> 맞습니다.

◇ 김현정> 그런 식으로 외국은 문제가 없어 왔다. 그럼 우리도 이제 그렇게 되는 거예요? 같이 되는 거예요 법안이?

◆ 지윤성> 여러 가지 기술들이 도입되고 있고 본인인증을 위한 다양한 기술들이 있으니까 점진적으로 그렇게 나가리라 보는데. 중요한 건 아직까지 법적으로 혹은 서비스의 약관상 그러한 전자서명 과정에 있어서의 책임들이 아직은 고객들 쪽에, 그게 해결되기 전에는 실제로는 공인인증서가 문제가 해결되는 건 아니고요.

◇ 김현정> 여전히 인증서는 남아 있는 형태. 사설인증서의 보안이 괜찮다, 괜찮은 수준까지 왔다라고 말씀하셨지만 저는 솔직히 걱정이 되는 게 뭐냐면 대형쇼핑사이트, 포털사이트 심지어 은행도 해킹당한 적 있잖아요. 개인정보가 대량 빠져나갔던 적 있잖아요. 그런데 금융거래 할 때는 괜찮을까요?

◆ 지윤성> 보통 금융 거래에 있어서 공인인증서가 가지는 역할은 본인이 인증하고 부인 방지입니다. 그러니까 저희가 수기로 계약서를 작성할 때 가장 마지막에 사인이나 도장을 찍잖아요. 그거를 디지털로 만든 것뿐이지 실제 디지털 전자상거래나 금융거래에 있어서 모든 과정의 정보를 담당하는 건 아니에요.

그러니까 개인정보와 관련된 것들은 여러 가지가 있을 수 있다는 거죠. 그거는 공인인증서하고 또 다른 문제이기 때문에 실제로는 그거에 대한 보안들은 각 기업들이 철저하게 해 줘야 되고요. 특히 국내 보안팀의 60% 이상은 실은 해킹보다는 내부소행자가 더 많습니다.

◇ 김현정> 그래요? 개인정보 왜 이렇게 많이 털렸어, 잡아놓고 보면 해킹이 아니라 내부에서 빼돌린 거예요?

◆ 지윤성> 맞습니다. 그런 보안 문제들은 보통 보안 시스템만 담당하는 게 아니고 보안 규정이 내부적으로 잘 갖춰져 있어야 돼요. 보통 ‘시큐리티 프로토콜’이라고 하는데, 우리나라 기업들이 그런 것들이 약해요.

◇ 김현정> 그렇군요.

◆ 지윤성> 그런 것들을 구비하고 완벽하게 한다면, 기존 지금 저희가 사용하는 우리가 사용하는 공인인증서 방식이 아니더라도 충분히 문제가 없고, 이미 또 국내 소비자들은 해외 직구를 많이 하시잖아요.

◇ 김현정> 해외 직구 많이 사용해요.

◆ 지윤성> 공인인증서 안 쓰시잖아요. 카드번호와 뒤에 CVC 많이 쓰시잖아요.

◇ 김현정> 맞아요.

◆ 지윤성> 그래도 문제가 별로 없으셨잖아요 그리고 문제가 생기더라도 해외 같은 경우에는 대부분 환불을 해 줍니다. 서비스 사업자가 책임이 있으니까. 우리나라는 아직까지 미비돼 있습니다.

◇ 김현정> 그렇군요. 그래서 우리는 인증서가 필요한 단계다. 그들이 책임지는 그 법안까지는 안 만들어졌기 때문에. 거기까지도 갈 수 있겠는데요.

◆ 지윤성> 네, 점진적으로 가리라고 보고 있습니다.

◇ 김현정> 업체들 입장을 우려하는 문자도 지금 하나 들어왔는데 '업체들이 보안 강화해야 되는 비용이 너무 드는 건 아닙니까?' 이런 문자도 들어왔는데. 이미 업체들은 다 사설인증서 쓰고 계시지 않나요?

◆ 지윤성> 이 보안의 문제는 인증서의 문제뿐만 아니고 종합적인 문제라는 거죠. 보안 강화하려면 당연히 비용이 많이 듭니다. 기존 공인인증서를 쉽게 없애지 못했던 이유는 정부가 인증한 기술이 마치 안전한 것처럼 시장 표준이 돼버렸기 때문에 이것만 준수하면 안전한 줄 아는 거죠. 그런데 실제로는 공인인증서의 전자서명 과정 말고도 더 많은 보안 문제들이 있으니까 이런 것들이 한꺼번에 기업들이 다 책임져야 하니 비용들은 많이 들 거라고 판단하고 있습니다.

◇ 김현정> 알겠습니다. 이런 공인인증서처럼 없애자, 하면서도 참 오랫동안 못 없앴던 거.우리나라 온라인 산업에 없애도 되는데 장애가 됐던 것. 다른 거 뭐가 있을까요?

◆ 지윤성> 보통 공인인증서만 하더라도 이 공인인증서 체계 자체가 잘못된 건 아니에요. 이 기술 자체는 업계에서 비대칭 암호화 기술을 사용한다고 하는데. 이건 어느 정도 검증된, 오래된 암호화 기술입니다. 중요한 건 이거를 기술적으로 구현하는 게 불편하게 됐었던 거죠.

액티브X를 사용해야 되고요. 액티브X는 비표준 기술입니다. 마이크소프트의 기술이고 마이크로 소프트도 폐기를 하기로 했어요. 시장 초기에는 전자상거래 태동기 때는 법적인 기술이 필요하니까 도입은 했으나 이제는 너무 많은 기술들이 나왔고. 이것만 쓰기에는 너무 불편한 거잖아요.

◇ 김현정> 이렇게까지 갈 필요 없는 지름길들이 나오면서, 기술이 발전하면서.

◆ 지윤성> 그다음에 두 번째는 액티브X를 불편해 하시니까 공인인증서 액티브X가 깔릴 때 여러 프로그램들을 한꺼번에 다 깔아요. 키보드 보안이니 바이러스니 이것들이 서비스를 제공하는 기업마다 공급회사들이 달라서 비슷한 걸 또 까는 경우가 많으니까 그런 것들이 좀 줄면 전체적으로 개인보안의 수준을 높이는 데도 도움이 될 것 같고요.

◇ 김현정> 알겠습니다. 오늘 여기까지 말씀 듣죠. 고맙습니다.

◆ 지윤성> 고맙습니다.

◇ 김현정> 링크브릭스 지윤성 대표였습니다.

▶ 기자와 카톡 채팅하기
▶ 노컷뉴스 영상 구독하기

[CBS 김현정의 뉴스쇼]