공인인증서 논란에 끝장은 없다…“존폐 여부보다 개선 방안을”

아주경제 장윤정 기자=“공인인증서 존폐 여부보다 개선 방안을 고민해야한다.”

지난 23일 고려대학교 정보보호대학원 부설 금융보안 교육 연구센터는 공인인증서의 바람직한 개선 방안을 모색하는 취지로 ‘끝장 토론’을 개최했다.

양측은 토론이 진행되는 동안 공인인증서 자체의 폐지냐 존속이냐의 논란보다 전자서명법 현재의 안에 대해서 변화가 필요하다는 사실에 모두 공감하고 개정 방안에 대해 고민해야한다는 데 의견을 모았다.

23일 고려대학교 정보보호대학원 부설 금융보안 교육 연구센터는 공인인증서의 바람직한 개선 방안을 모색하는 취지로 '끝장 토론'을 개최했다.

이날 고려대학교 백주년기념관 국제회의실에는 김대영 충남대학교 교수, 이동산 페이게이트 이사가 전자서명법 개정안 찬성측으로, 배대헌 경북대학교 교수, 박성기 한국정보인증 부장이 반대측으로 참석했다. 오픈넷을 통해 전자서명법 개정안에 적극적으로 앞장서고 있는 김기창 교수는 영국에서 인터넷을 통해 원격 참여했다. 이정현 한국인터넷진흥원(KISA) 박사는 중립적인 입장을 유지하는 역할을 담당했다.

또 이경호 고려대 정보보호대학원 교수가 사회를, 이동훈 고려대학교 정보보호대학원 교수가 발제를 맡았다.

◆공인인증서, 개선이 필요하다

공인인증서에 대한 뜨거운 관심은 토론시간이 입증했다. 오후 3시에 시작된 이날 토론회는 밤 10시까지 이어졌다.

토론에 참석한 패널들은 ‘공인인증서 운용인가 폐지인가’라는 주제에 초점을 맞추기보다 공인인증서를 둘러싼 운영 환경을 변화시키자는 쪽으로 가닥을 잡았다. 또한 패널들은 “규제는 완화하고 선택은 시장의 자율에 맡기자”고 의견을 모았다.

하지만 어떻게 개선해야할지 개선 방안에 대해서는 찬성측과 반대측의 입장이 갈렸다.

찬성측은 공인인증서가 액티브 X 사용으로 인해 사용자 불편은 물론 보안성에 위협을 받고 있으니 공인인증서 사용을 강제하지 말고 자율에 맡겨야한다고 주장했다. 반대측은 공인인증서에 활용되고 있는 공개키기반구조(PKI)에 문제가 없다면 기존 공인인증서의 사용은 그대로 두 돼 새로운 인증방법을 적극적으로 채용하는 한편 안전성 확보에 대한 내용을 논의해야 한다고 주장했다.

지난 5월 최재천 의원 등이 발의한 현 공인인증서 개선방안에 대해 오픈 웹 진영의 대표이자 가장 적극적으로 찬성을 표시하고 있는 김기창 교수는 “처음부터 공인인증서 사용을 강제하지 않고, 다양한 방식의 인증수단을 각 개별 PG(결제대행사) 등이 선택할 수 있도록 해야 한다”며 “PKI 인증서의 기반기술, 알고리즘, 서명검증의 원리 등이 뛰어난 것은 인정하지만 적용 방식에 있어 국가가 강제하는 방식을 버리고 미국 등 해외적용 사례처럼 자율성을 도입해야한다”고 주장했다.

패널로 참여한 김대영 교수도 “공인인증서가 우리나라의 웹 표준 환경을 결정적으로 방해하고 있으니 반드시 현행 전자서명법이 개정돼야 한다“며 ”기존 액티브 X 기반/PKI 기반의 공인인증서 외에도 다른 인증수단을 마련하고, 이를 인증해주는 루트CA인 한국인터넷진흥원 역시 제 3 기관으로부터 인증을 받도록 해야 한다”고 제안했다.

◆사용자 이익 우선돼야

이에 맞서 이번 전자서명법 개정안에 반대하는 측의 주장도 이어졌다.

배대헌 경북대 교수는 ”전자서명법 전면 개정안에 해킹 등으로 인한 피해 발생 시 이에 대한 책임을 인증기관이 질지에 대한 과실 입증에 대한 내용이 포함돼있지 않다“며 “현행 전자서명법 개정안이 얼마나 현실적으로 수용할 수 있는 지 면밀히 검토돼 충분히 수용할 수 있는 논의로 가야할 것”이라고 말했다.

공인인증서에는 본인 확인을 위한 디지털 서명이 포함되어 있고 디지털 서명을 저장。관리하기 위해서는 제 3의 기관이 필요하며 현재 이 역할을 수행하는 최고 기관(루트CA)은 한국인터넷진흥원이다. 반대측의 핵심 주장은 개정안을 수용해 다양한 인증방안을 도입한다면 서명 기능은 사라지고 인증 기능만 남게 돼 차후 사고 발생 시 책임소재가 문제가 될 수 있다는 것이다.

박성기 한국정보인증 부장은 ”전자서명은 금융거래에서 필요한 본인 ‘인증’ 외에도 전자세금계산서, 전자계약 등에서 본인이 맞다는 의미의 ‘서명’인 부인방지, 위변조 방지기능을 갖고 있지만 개정안에서는 서명의 기능이 전부 삭제됐다“며 “전자서명법에서 인증기능만 남고, 서명은 사라진다면 전자상거래 등 관련 산업이 위축될 것”이라고 지적했다. 또 그는 “웹 표준으로 가야한다고 규정을 정하면 이는 또 다시 역차별이 될 것이기 때문에 금융기관에서 공인인증서든 웹 표준 환경이든 자율적으로 선택토록 해야 한다”고 말했다.

객관적인 입장에서 발언을 맡은 이정현 한국인터넷진흥원 책임연구원은 “공인인증서가 개발 당시 국민들이 가장 많이 쓰는 윈도우 기반으로 만들어져 윈도우에서 적합한 인터넷 익스플로러에 초점을 맞춰 개발하다보니 액티브 X 기술을 사용하게 된 것”이라며 “늦었지만 웹 표준 환경에 적합하게 전자서명법도 개정이 필요하다. 사용자 불편은 개선되어야한다”고 말했다.

한편 이번 공인인증서 개정안은 오는 9월 국회에서 논의될 예정이다. 토론회에 참석한 이종걸 보좌관 측은 “토론회에서 발제된 의견을 모아 최재천, 이종걸 의원실에 전달, 9월 국회에서 참고하겠다”고 밝혔다.