공인인증서 없어지면, 보안은 괜찮나요? [Q&A]

SBS 드라마 <별에서 온 그대>에서 이슈가 됐던 ‘천송이 코트?. 이를 계기로 온라인 금융거래와 쇼핑에서 공인인증서를 반드시 사용해야 한다는 ‘의무’ 규정은 사라졌다. / SBS <별에서 온 그대> 화면 갈무리

공인인증서가 사라진다. 도입된 지 21년 만이다. 국회는 지난 5월 20일 본회의에서 공인인증서와 사설인증서의 구별을 없애는 내용의 ‘전자서명법 전부개정안’을 통과시켰다. 21년 전 온라인 거래를 가능하게 했던 공인인증서는 왜 불편의 상징이 됐는지, 앞으로 인증은 어떤 방식으로 되는지, 이용자가 주의할 점은 무엇인지 등을 문답식으로 정리했다.

Q 공인인증서란 무엇인가.

A 공인인증서는 1999년에 탄생했다. 정보통신 기술이 발달하면서 인터넷 거래도 늘어났다. 인터넷 거래상에서 나의 신분을 ‘인증’해주는 게 전자인증서다. 쉽게 말해 전자신분증이자 전자상거래용 인감도장이다. 인증서는 다양한 기관에서 발급받을 수 있다. 정부는 한국정보인증·코스콤·금융결제원·한국전자인증·한국무역정보통신 5개 기관에서 발급한 인증서를 ‘공인’으로 인정했다.

공인인증서는 불편과 번거로움의 대명사가 됐지만, 주민센터·국세청·법원 등 행정기관에서 온라인으로 서류를 발급받기 위해서는 공인인증서가 반드시 필요했다. 이번에 긴급재난지원금 온라인 신청을 할 때도 공인인증서가 있어야 한다. 카카오뱅크와 토스 정도를 제외한 금융거래에도 공인인증서가 필요하다. 한국인터넷진흥원에 따르면 지난해 8월 국내 공인인증서 발급 건수는 4108만여 건에 달한다.

Q 어쩌다 불편의 대명사가 됐나.

A 공인인증서를 한번 사용하려면 온갖 프로그램을 설치해야 한다. 방화벽, 키보드 보안프로그램, 공인인증서 로그인, 해킹 방지 프로그램 등이 줄줄이 딸려나온다. 온라인 창을 전부 끄고 다시 접속하라는 안내문도 뜬다. 하나라도 설치하지 않으면 공인인증서를 사용하는 웹사이트에서는 거래가 불가능하다. 공인인증서가 불편, 번거로움의 대명사가 된 이유다.

공인인증서가 처음부터 이랬던 건 아니다. 김승주 고려대 정보보호대학원 교수는 “처음에는 프로그램 하나 정도만 설치하면 됐다. 이후 해킹 기술이 발달하면서 하드디스크나 이동식저장장치(USB)에서 정보를 빼가는 게 점점 쉬워졌다. 그러니 이걸 보호하는 수단이 하나둘씩 늘어난 것”이라고 설명했다. 김승주 교수는 한국정보보호진흥원(KISA·현 한국인터넷진흥원)에서 공인인증서 개발에 관여했다.

문제는 여기에 국한되지 않는다. 오픈넷 집행이사인 박경신 고려대 법학전문대학원 교수는 “아무리 보안이 높은 기술도 국가가 한 가지만 지정하면 기술이 더 발달하지 않는다. 지정된 기술을 지키는 ‘누더기 기술’만 발전할 뿐”이라며 “지금까지 공인인증서는 국가가 몇 개 인증서에 특혜를 주고 시장을 장악한 것이다. 기술 독점 문제가 있다”고 지적했다. 이 외에도 공인인증서는 1년마다 갱신해야 하고, 점점 다양해지는 이용자의 웹 환경을 고려하지 않는다는 점 때문에 이용자들의 원성을 샀다.

Q 왜 진작 폐지하지 않았을까.

A 공인인증서가 불편하다는 이야기는 2000년대 중반부터 나왔다. 2010년대 들어서는 사용하기 불편할 뿐 아니라 보안도 취약하다는 문제가 지적됐다. 2014년에는 <별에서 온 그대> 주인공 천송이가 입었던 코트를 중국인들이 온라인에서 직접 구매하려다가, 공인인증서가 없어 구매하지 못해 논란이 됐다. 이를 계기로 온라인 금융거래와 쇼핑에서 공인인증서를 반드시 사용해야 한다는 ‘의무’ 규정은 사라졌다. 하지만 공인인증서는 행정기관과 은행을 중심으로 계속 ‘공인’의 지위를 유지해왔다.

김승주 교수는 “과도기마다 넘어가야 할 단계가 있었는데 주저주저하다가 여기까지 왔다. 가령 컴퓨터 해킹이 발달했을 때 과감하게 하드디스크를 공인인증서 저장매체에서 없애야 했는데 그러지 않았다”며 “연착륙을 한다, 과도기다, 하는 정부의 근시안적인 정책 때문이다. 문제가 생겼을 때 확 바꿨어야 했다”고 말했다. 박경신 교수는 “이미 의무화했고, 그래서 많은 사람이 이미 공인인증서를 가지고 있는 상황이니 행정기관이나 은행에서는 다른 걸 쓸 이유가 없다고 생각했던 것”이라고 말했다.

Q 앞으로 인증은 어떻게 하나.

A 공인인증 제도가 폐지돼도 기존에 사용하던 공인인증서는 계속 사용할 수 있다. 다만 ‘공인’의 자격이 사라지게 된다. 공인으로 취급되던 5개 기관이 발급한 인증서와 민간에서 발급한 인증서가 일종의 ‘계급장 떼고’ 경쟁을 시작하는 것이다. 이미 시장에서는 카카오·네이버·이통통신 3사 등이 개발한 인증서가 경쟁하고 있다.

따라서 각각의 웹사이트가 어떤 인증서와 제휴를 하느냐에 따라 달라진다. 가령 주민센터가 카카오와 제휴를 한다면 이용자는 카카오페이를 통해 로그인할 수 있게 된다. 카카오톡에서 인증절차가 이뤄지는 카카오페이 인증은 1000만 명이 넘게 사용하고 있다. 이동통신 3사(SK텔레콤·KT·LG유플러스)가 운영하는 휴대폰 본인인증 ‘PASS’도 올해 발행 건수가 1800만 건에 달할 것으로 전망된다.

또 공인인증서를 계속 쓰더라도 전보다는 편리해질 것으로 보인다. 공인인증서 발급기관 중 하나인 금융결제원은 “고객의 편의성을 획기적으로 개선하는 신 인증서비스를 제공하겠다”고 밝혔다. 갱신 기간도 기존 1년에서 3년으로 연장된다.

Q 인증서가 많으면 혼란스럽지 않을까.

A 처음에는 혼란이 있을 수 있다. 박경신 교수는 “지금까지는 처음 방문하는 웹사이트도 공인인증서만 가져가면 나를 믿어줬다. 앞으로는 그렇지 않다”며 “외국은행 사이트는 요구하는 게 조금씩 다르다. 하지만 우선 등록을 하고 나면 추가로 컴퓨터에 설치할 필요도 없고, 인증서를 가지고 다닐 필요도 없다. 이처럼 처음에는 조금 번거롭겠지만 결국 훨씬 편리해질 것”이라고 말했다.

김승주 교수도 “혼란스러울 수 있다. 하지만 그렇다고 하나로 통일할 수는 없다. 통일하면 ‘공인인증서 시즌 2’가 되는 것”이라며 “여러 가지 인증 수단이 나올 텐데 지금 우리에게 필요한 건 어느 인증서가 괜찮고, 어느 인증서가 좋지 않은지 판단할 수 있는 힘이다. 정부와 시민단체, 언론이 이런 역할을 해야 한다”고 말했다.

김승주 교수의 지적처럼 가령 PASS는 제대로 된 고지 없이 유료 부가서비스 가입을 유도한 사실이 밝혀져 논란이 됐다. 본인 인증 절차를 거칠 때 팝업창 등으로 부가서비스를 홍보하는데 ‘유료’라는 사실을 명확하게 표시하지 않은 것이다. 이런 부가서비스의 월 요금은 적게는 1100원에서 많게는 1만1000원에 달한다.

Q 보안에는 문제가 없을까.

A 다양한 인증서를 사용하는 것과 관련해 일각에서는 ‘인증서가 많을수록 보안 위험이 커진다’는 우려가 나오기도 한다. 공인인증서를 일종의 온라인 ‘인감도장’으로 여겼기 때문이다. 하지만 이에 대해 박경신 교수는 “웹사이트마다 비밀번호를 똑같이 설정하는 사람과 다르게 설정하는 사람, 누가 더 해킹을 많이 당할까?”라며 “각각 다른 인증서를 사용한다고 해서 보안에 더 취약해지는 건 아니다. 열쇠 하나로 모든 방을 열게 했던 것이 공인인증서라면 지금은 방마다 다 열쇠를 다르게 하는 방식이다”라고 설명했다.

김승주 교수도 “인증서를 인감도장이라고 생각하는 것부터 틀렸다. 현실에서는 인감도장과 막도장이 공존한다. 막도장에 대해서는 우리가 그렇게 엄격하지 않다. 인증서도 마찬가지”라고 말했다. 다만 김 교수는 앞으로 인증서를 선택하는 데 있어서 각각의 업체가 평가기관으로부터 몇 등급을 받았는지는 확인할 필요가 있다고 조언했다.

이하늬 기자 hanee@kyunghyang.com