정태영 vs 이찬진·김기창 ‘전자 결제’ 트위터 설전 까닭은

“정태영 사장님, 틀렸습니다. 금융회사에서 공인인증서 사용은 반드시 강제되지 않습니다.”

이달 초 트위터에서는 정보기술(IT) 전문가와 금융회사 대표(CEO) 간 작은 설전이 있었다. 30만원 이상 전자상거래, 인터넷과 스마트폰을 활용한 은행 거래, 연말정산과 세금납부 등 국세청 업무에 활용되는 공인인증서에 관한 논쟁이다. 2010년 전후 치열했던 ‘공인인증서 사용 강제 규정 폐지 논쟁’의 재점화다.

한글과 컴퓨터 창업자인 이찬진 드림위즈 대표가 현대카드의 정태영 사장에게 “액티브X와 공인인증서 없이도 결제가 잘 되는 ‘알라딘’에서 조용필 앨범을 샀다”며 현대카드가 공인인증서 보안을 채택한 탓에 다른 카드를 썼다는 내용의 트위트로 포문을 열었다. 이에 정 사장이 “말씀하신 결제방법은 규제상 허용되는 안전한 방법이 아니다”라고 응수했다.

오픈넷의 김기창 고려대 법대 교수가 끼어들었다. 김 교수는 자신의 트위터와 오픈넷 홈페이지를 통해 “30만원 이상 결제는 공인인증서가 필수라는 ‘카더라 통신’이 보안업계에서 ‘구전’되고 있지만 이는 사실과 다르다”면서 “이런 오해로 인해 공인인증서 보안체계가 유지되면서 국내 웹 환경이 기형이 되고, 한국의 IT 기술이 정체됐다”고 주장했다.

김 교수는 법대 교수이면서 IT 분야인 웹상에서의 표현의 자유 확보, 공인인증서 폐지 운동 등을 하는 오픈넷을 이끄는 이색 이력의 소유자다. 1990년부터 영국 케임브리지대학에서 연구원과 교수를 지냈는데 2002년 귀국한 뒤 액티브X 보안 프로그램을 기반으로 한 한국 인터넷에서 은행 업무와 상거래 관련 업무를 전혀 처리하지 못했던 ‘생활의 불편’이 그를 오픈넷으로 이끌었다.

상거래에 공인인증서를 쓰는 한국만의 표준이 국제 보안 표준과 동떨어진 상황을, 육지와 멀리 떨어져 유일한 종이 많은 덕분에 다윈이 진화론을 연구할 수 있었던 섬에 빗대 ‘갈라파고스 한국’이라고 하는데, 이를 몸소 느꼈던 셈이다.

갈라파고스의 새들이 섬 안에서 독특함을 자각하지 못했듯 국내에서도 공인인증서가 한국의 독특한 보안체계라는 점을 2009년 11월 ‘아이폰’이란 외부충격이 가해질 때까지 자각하지 못했다. 애플이 만든 아이폰에는 인터넷브라우저로 마이크로소프트(MS)의 ‘인터넷익스플로러’(IE)가 아닌 애플의 ‘사파리’가 깔렸는데, 사파리에서 MS가 만든 보안장치인 액티브X가 가동되지 않았고 공인인증서도 작동되지 않았다. 결국 2011년 전자금융감독규정이 개정되며 금융회사들이 공인인증서 외 보안프로그램을 채택할 수 있는 길이 열렸다.

지난 5월 국회에서 공인인증제도를 폐지하는 내용의 법률안이 발의된 것은 전자금융감독규정 개정 2년 뒤인 현재까지 공인인증서가 여전히 금융회사의 유일한 보안법으로 유지되고 있어서다. 금융감독원 관계자는 15일 “금감원의 인증방식평가위원회를 통과한 공인인증서와 동등한 수준의 보안 기술을 금융회사가 쓸 수 있지만, 2년 동안 한 건의 기술 요청도 없었다”고 말했다. 이에 지난 5월 이종걸·최재천 민주당 의원은 “정부 주도 인증제도를 폐지해야 한다”며 한층 강화된 법안을 제출한 것이다.

공인인증서 폐지를 주장하는 이유는 2년 전과 크게 다르지 않다.

첫째, PC에 보안프로그램을 깔게 하는 공인인증서와 액티브X 체계로 인해 PC마다 악성코드가 난무하고 공인인증서 유출로 인한 금융피해가 빈번하다는 주장이다. 공인인증서 폐지론자들은 지난 2007년 공인인증서 5000여장이 유출되는 등 일단 PC에 깔린 공인인증서를 복사해 유출하는 범죄가 일어나고 있다고 지적했다.

둘째, 공인인증서 일변도 정책으로 국내 보안기술이 답보 상태라는 의견도 있다. 김 교수는 “기술진보 속도가 빠른 IT 분야에서 정부가 특정 기술과 서비스를 사용하도록 강요할 경우 새로운 기술 등장과 기술 혁신을 저해하게 된다”고 말했다.

셋째, 공인인증서 체계에서는 피싱 사기 등 사고 거래의 책임이 개인에게 지워진다는 점이 부당하다는 시각이다. 최근 ‘도난당한 패스워드’라는 웹툰 서적을 발간한 김인성 한양대 교수는 “해외에서 많이 쓰는 암호통신기술(SSL) 방식은 브라우저와 서버 간 통신에서 정보를 암호화해 도중에 해킹을 통해 정보가 유출되더라도 정보 내용을 보호해 주는 방식”이라고 설명했다. 이런 방식에서는 보안 사고가 터졌을 때 암호화 책임을 다하지 못한 기업 측에 책임을 물을 소지가 크다. 반면 PC에 까는 공인인증서 체계를 쓰는 국내에서는 보안 사고가 났을 때 인증서 관리를 제대로 못했다며 개인에게 책임을 묻는 판결이 나오고 있다.

넷째, 공인인증서 관리의 투명성 문제가 제기됐다. 공인인증서를 한국인터넷진흥원(KISA)이 관리하는 게 적절한지와 함께 최근에는 공인인증서 시장 점유율이 75%인 금융결제원과 관리·감독기관인 금융위 간 유착 의혹도 나왔다. 금융위 출신들이 금융결제원 감사로 가서 3년 동안 10억여원의 보수를 받는 관행 때문이다.

최근 전치형 한국과학기술원(KAIST) 교수 등 대학교수 300여명이 공인인증서 폐지를 위한 법률 개정안에 지지 의사를 밝혔고, 최문기 미래창조과학부 장관도 국회에서 정부 주도 공인인증제 폐지를 약속하며 공인인증서 폐지 논의가 힘을 얻어가고 있다.

하지만 이미 13년째 사용 중인 공인인증서 폐기 후 대혼란이 일어날 것이란 반론도 만만치 않다. 관련 법안이 국회를 통과하더라도 금융회사들이 공인인증서 대신 다른 보안 프로그램을 받아들일지 역시 불확실하다. ‘공인인증서 없는 세상’이 실현되기까지는 변수가 아직 많다는 얘기다.

홍희경 기자 saloo@seoul.co.kr