공인인증서 의무사용 폐지 방안은 꼼수였나

액티브x 장벽 폐지 추진… 정부가 밝힌 “9월부터 실행” 불가능

“IT 강국이라는 게 2000년대 초반쯤에는 맞았다. 쇼핑몰이나 인터넷도 잘 되고…. 지금도 인프라는 잘 되어 있다. 인터넷 생태계는 계속 진화하고 있는데, 초반의 성공에 도취되어 생태계 진화에 발을 못 맞춘 것이다.” 강정수 연세대 커뮤니케이션연구소 전문위원 겸 미디어 경영학 박사의 말이다. 공인인증서와 액티브x 문제에 대한 언급이다.

오랜 이슈다. 2000년대 중반부터 나오던 우려다. 마이크로소프트의 웹브라우저 기술 액티브x를 활용한 공인인증서가 처음 나온 것은 1999년 전자서명법이 발효되면서부터다. ‘초반쯤엔 맞았다’고 하는 것은 당시 여건에서는 쇼핑몰 물건 구입이나 돈 이체 등에서 필수적인 보안, 즉 암호화기술이 지원되지 않았기 때문이다. 당시까지 최신 웹브라우저였던 인터넷러러4에 적용된 암호화기술은 40비트와 128비트였는데, 미국 정부는 자국의 보안상 이유로 외국에서 다운로드가 가능한 인터넷익스플로러를 40비트로 제한했다. 40비트로 만들어진 암호는 0부터 숫자를 차례로 대입하여 암호를 푸는 단순 해킹 기술로도 3시간 내외면 풀 수 있는 낮은 수준이다. 당시 국정원은 ‘SEED’라는 국내 표준암호를 민간과 함께 개발해 적용했는데, 이 과정에서 선택한 플러그인이 액티브x였다.

왜 액티브x였을까. “쉬웠기 때문이다. 프로그래밍이라고 할 것도 없었다. 마우스 클릭 몇 번으로 이미 만들어진 모듈을 갖다 붙이면 끝이었기 때문이다.” 강 박사의 말이다. 처음 개발될 당시에 쉬운 길을 선택했던 것이다. 문제는 그 다음이었다. “마이크로소프트(MS) 종속형으로 시간을 벌었으면 그 다음을 생각했어야 했는데, 그러지 않았다. 그래서 MS의 나라가 된 것이 아닌가.” MS의 웹브라우저인 인터넷익스플로러가 아니면 전자상거래도, 인터넷뱅킹도 할 수 없게 돼버린 한국 현실에 대한 개탄이다.

‘MS의 나라’가 돼버린 한국의 현실

김승주 고려대 정보보호대학원 교수는 한국정보보호진흥원(KISA·현 한국인터넷진흥원)에서 암호기술팀장으로 당시 공인인증서 개발에 관여했다. 그도 지금은 ‘공인인증서 의무사용 폐지’를 주장하고 있다. 그는 공인인증서가 어떻게 ‘대세’가 되었는지에 대해 다음과 같이 증언했다. “공인인증서에 대한 아이디어가 처음 나온 곳은 지금은 해체된 정보통신부다. 한시적인 조직이었던 정보통신부로서는 차기 먹거리에 대한 고민을 할 수밖에 없었는데, 그때 발견한 것이 ‘보안’이라는 아이템이었다. 보안 암호기술은 여럿이 있는데, 당시 정통부가 특히 주목한 것이 인증서 기술이다. 사실 생각해보면 공인인증서가 인감증명서와 비슷하다. 정부가 뭔가 개입할 여지가 있는 것이 보인 것이다. 기왕 이 분야를 차기 먹거리로 삼는다면 어느 정도 수요가 나와야 하는데, 1000만명 보급운동을 벌이기 시작하게 되었고….” 김 교수에 따르면 공인인증서는 인터넷에 적용된 인감도장이라고 생각하면 된다. “가장 큰 문제는 무분별하게 과도하게 쓰게 되는 것이다. 은행 사이트에 들어갈 때마다 공인인증서로 로그인해서 본인 여부를 확인하는데, 이렇게 하는 것이 안전하다고 착각하게 만든 것이 가장 큰 문제다.” 그는 정부가 주도한 공인인증서가 카드사 등 금융권에 아주 좋지 않은 ‘신호’를 줬다고 주장했다. “공인인증서가 안전한 수단이고, 보안사고가 생겨도 공인인증서를 쓰도록 했으면 정상참작을 받을 수 있다는 인식을 준 것이다. 이것이 큰 문제인 건 보안사고가 생겨도 그 책임을 사용하는 개인 탓으로 돌릴 수 있도록 했기 때문이다.”

정부 당국의 계획대로 올해 연말이면 액수의 크기와 상관없이 공인인증서 없는 전자상거래가 가능해질까. 사진은 현재 사용되고 있는 공인인증서.

“금년 하반기 중에는 온라인상 상거래 시 공인인증서 이외의 대체 인증수단을 제공할 수 있도록 하겠다.” 7월 28일 금융위원회와 미래창조과학부, 산업통상자원부의 합동 기자회견에서 나온 방안이다. 비록 온라인 계좌이체는 ‘리스크가 크기 때문에’ 제외되었지만, 온라인 쇼핑몰 등 전자상거래에서는 공인인증서를 쓰지 않고도 물건을 사고 파는 것을 가능하게 하겠다는 것이다. 이번에는 정말로 실현되는 것일까. 이날 기자회견에서는 ‘관계부처 합동’ 명의의 ‘전자상거래 결제 간편화 방안’이라는 문건이 배포되었다. 이 문건을 읽다보면 눈에 띄는 부분이 있다.

추진 배경 설명에 이어 제일 처음에 언급된 것이 “외국인의 ‘천송이코트’ 구매문제 해결 및 활성화”다. 해결책은 산업부와 무역협회의 외국인 전용 쇼핑몰(kmall24)의 개설이다.

이른바 천송이코트는 인기 드라마 ‘별에서 온 그대’에서 천송이역을 맡은 톱스타 전지현이 입고 나온 코트를 말한다. 지난 3월 20일 진행된 규제개혁 끝장토론에서 박근혜 대통령은 ‘암덩어리 규제’의 예로 이 ‘천송이코트’를 들며, 외국인이 국내 쇼핑몰에서 구입할 수 없다고 했다. 외국인이 구입하려고 한국 쇼핑몰에 접속하더라도 바로 공인인증서와 ‘액티브x’의 장벽에 가로막혀 구입할 수 없다는 것이다. 합동기자회견이 있던 7월 28일, 경향신문은 박 대통령이 천송이코트를 언급할 당시, 외국의 간편결제서비스와 손잡은 국내 대형쇼핑몰에서 천송이코트를 구입할 수 있었다고 보도했다. 대통령의 ‘예시’가 잘못되었다는 것을 알고 있으면서도 관련 당국에서 아무 말도 못했다는 것이다. 이 논란은 현재진행형이다. 금융위는 경향신문 보도 다음날 반박자료를 내고 “당시 30만원 이상 되는 물품을 대형쇼핑몰에서 공인인증서 등이 없이 팔았다면 불법”이라고 주장했다. 어떻게 보면 지엽적인 논쟁이다. 핵심은 국내외 거주 여부와 상관없이 앞으로는 공인인증서를 쓰지 않고도, 인터넷익스플로러가 아닌 크롬이나 사파리 같은 다른 브라우저로도 인터넷에서 물건을 사고파는 게 가능해지느냐의 문제다.

외국인 전용쇼핑몰은 땜질식 처방

“항상 그래 왔다. 면피성으로 내놓은 대책이다.” 강 박사의 말이다. 외국인 전용쇼핑몰을 만들어 구입할 수 있도록 하겠다는 것은 땜질식 처방이라는 것이다. 그러면서도 그는 “정책을 추진하는 정부 당국의 젊은 사무관들의 진정성은 의심하지 않는다”고 덧붙였다. “실제 미래부 사무관들을 만나 공인인증서나 액티브x 문제에 대해 이야기를 들어보면 문제의 심각성이나 의무사용 폐지의 중요성은 인식하고 있다. 그런데 문제는 윗선이다. 왜? 이 사람들은 실제로 본인이 직접 결제해본 적이 없기 때문이다. 결제할 것이 있으면 비서나 부인이 다 했기 때문에. 국회에서도 마찬가지였다. 야권의 핵심 정책담당자에게 공인인증서 의무 폐지 법 개정안을 들고 갔었다. 정통부 관료 출신인 이 분의 첫 반응은 이랬다. ‘아니, 왜 그 좋은 것을 폐지하자고 하는 겁니까.’”

7월 28일 정부 부처가 내놓은 ‘간편화 방안’ 자료를 보면 “9월부터 ‘액티브x를 사용하지 않는 방식의 공인인증서’를 보급·확산시키겠다”고 되어 있다. 보도자료에 맞춰 언론들은 “9월부터 액티브x 없는 공인인증서 쓴다”고 보도했다. 그런데 뭔가 이상하다. 9월부터면 지금부터 한 달 뒤다. 이렇게 쉽게 ‘퇴출’이 가능했는데 10년이 넘도록 논란을 유발하며 지속되어온 이유는 뭘까.

‘액티브x를 사용하지 않는 방식의 공인인증서’ 개발을 담당하는 과는 미래창조과학부의 정보보호정책과다. 과 관계자는 “우리 부서에서 하는 것은 맞다. 4월부터 개발을 진행해 왔다. 하지만 다른 액티브x와 관계된 문제들은 인터넷정책과 소관이다. 그쪽 담당자에게 문의해보라.” 인터넷정책과에 확인해봤다. 그런데 이야기가 달랐다. 자신들이 8월에 하기로 한 내용은 “액티브x를 대체할 수 있는 다른 기술이 있는지 관련 업계를 통해 알아보는 일”이라는 것이었다. 여기에 ‘관계부처 합동 방안’의 꼼수가 있다.

공인인증서를 한 번이라도 사용해본 사람은 알 것이다. 공인인증서를 띄우면 키보드 보안, 웹 방화벽 등 다른 액티브x 플러그인을 거래할 때마다 매번 설치해야 한다. 앞서의 플러그인이 실행되지 않으면 공인인증서는 작동되지 않는다. 말하자면 한 묶음으로만 작동이 된다. 간단히 말해, 사용자 입장에서는 9월부터 액티브x 없는 공인인증서는 사용할 수 없다. 미래부 관계자는 “보급을 확산하겠다는 것은 사용자들이 쓸 수 있도록 하겠다는 말이 아니라 업체들에게 기술을 보급하겠다는 것”이라고 말했다. 사용자들이 쓸 수 있는 시점은 아직까지 기술이 확보되지 않았기 때문에 언제라고 못박아 이야기할 수 없다는 것이다. “우리 부서에서는 금년 말까지라고 기한을 정해 넘겼었는데….” 이른바 관계부처 합동 문서를 기자와 함께 확인한 미래부 관계자는 당황한 눈치다. 7월 28일 발표된 보도자료에는 어쨌든 9월이 최종 시점으로 되어 있기 때문이다.

액티브x 퇴출을 주장하는 단체가 배포하고 있는 온라인 대자보. | http://noactivex.net

“솔직히 이번에는 개선되리라고 기대하지 않는다. 포털에 들어가 ‘공인인증서’를 키워드로 검색해보라. 2009년부터 ‘다음달부터 개선, 간편 결제 추진된다’는 보도가 계속된다. 그런데 지금까지 달라진 것이 없지 않는가.” 한창민 오픈넷 사무국장의 말이다.

그런데 뭔가 기시감이 느껴진다. 2007~ 2008년 아이폰의 한국 상륙이 2년 넘게 지체될 때의 논란과 판박이다. 심지어 아이폰의 도입을 두고 ‘다음달에는 들어온다’는 이른바 ‘담달 폰’이라는 별명이 만들어진 것까지 유사하다. 한국 IT의 쇄국정책, 갈라파고스적 진화라는 비난을 받았던 ‘위피의무탑재’와 똑같은 비난을 지금 ‘액티브x 공인인증서’가 받고 있다.

“당국·금융계 굳이 바꿀 필요성 못 느껴”

페이팔이나 알리페이 등 간편 결제 ‘경험’이 이른바 해외 직구족들을 통해 확산되고, 아마존의 ‘원클릭’으로 대표되는 새로운 기술로 무장한 대형 글로벌 쇼핑몰이 한국 진출을 시도하고 있는데도, 정부 당국과 카드사 등 금융계는 꿈쩍하지 않았다. 그런데 비록 타기팅은 잘못된 것으로 밝혀졌지만 박근혜 대통령의 ‘천송이코트’ 발언에 화들짝 놀라 추진하고 있는 모양새다. 왜일까. 2007~8년 위피의무탑재 폐지 논란 당시의 통신사와 정부 당국이 취했던 모습에서 힌트를 얻을 수 있다. 한 전문가는 말한다. “당시 피처폰 사업을 하던 통신사들과 IT 당국의 관계와 똑같습니다. 솔직히 지금 시스템에서도 돈을 잘 벌어왔거든요. 인증시장 자체가 황금알을 낳는 거위인데 굳이 바꿀 필요성을 못 느끼는 겁니다. 금융당국 또는 IT 쇄국정책을 만든 사람들이 퇴임해 다시 가는 곳이 이들 인증기관의 알짜배기 일자리예요. 돈을 버는 사람들과 관료, 정치권 사이에 네트워크가 이미 형성돼 있기 때문이죠.”

이른바 7·28 대책 이후 일부 경제지를 중심으로 “정부 대책이 불안하다”는 보도가 나왔다. 카드사가 갖고 있는 고객 개인정보를 PG(Payment Gateway)사, 즉 인터넷 결제업무를 대행해주는 회사에 넘기는 것은 규모가 너무 영세하기 때문에 불안하다는 것이다. 정부의 추진방향에 대한 카드사나 금융권의 우회적인 불만을 표시하는 것일까. 올해 연말쯤이면 정부 당국 발표대로 공인인증서 대신 다른 결제수단 사용이 가능해지는 것일까. 금융위원회 관계자는 “공인인증서 폐지가 아니라 의무사용을 폐지하는 것이기 때문에 이후에도 일부 금융권에서 본인확인 수단으로 공인인증서를 요구하는 관행은 남을 수 있다”며 “우리가 할 수 있는 것은 규정을 개정하거나 여건을 만드는 일이지 강제할 수는 없는 일”이라고 말했다. 이른바 금융업계의 ‘저항’과 관련해서도 그는 “비유적으로 말하면 아직 아무도 안 간 길이기 때문에 금융권에서 우려의 목소리를 낼 수 있다는 것을 이해 못하는 것은 아니다”라며 “국회에서의 법적인 이슈, 금융권의 관행 문제도 앞으로 해결해야 할 과제”라고 덧붙였다.