인증방법평가가 사실상 공인인증서만 강요 지적에 평가기준 전반 재검토
금융당국이 최근 논란이 되고 있는 공인인증서와 관련, 인증방법평가기준의 수정 여부를 검토키로 했다. 공인인증서 외에 다른 인증방법을 쓸 수 있게 제도적으로 열려 있지만 실상은 '인증방법평가위원회'가 이를 막고 있다는 지적이 일고 있어서다.
24일 금융위원회 등에 따르면 금융당국은 금융감독원 내에 설치돼 있는 '인증방법평가위원회'의 평가기준에 대해 전반적으로 재점검키로 했다.
전자금융거래법 제21조 제3항에 따른 전자금융감독규정 제37조는 모든 전자금융거래에 있어 '전자서명법'에 의한 공인인증서 또는 이와 동등한 수준의 안전성이 인정되는 인증방법을 사용하도록 의무화해 놨다.
안정성을 평가하는 기구가 바로 '인증방법평가위원회'다. 위원회는 위변조 방지, 부인방지 기술 등 모두 20가지 기준을 가지고 안전성 수준을 평가하고 있다. 20가지 기준을 모두 만족해야만 '공인인증서'와 동등한 수준의 안정성이 있는 것으로 인정된다.
문제는 인증방법평가위원회를 통과한 '공인인증서와 동등한 수준의 기술' 없다는 것.
실제로 금융당국에 따르면 지난 2006년 인증방법평가위원회 구성 이후 지금까지 통과한 기술은 2건에 불과하다. 금융당국 관계자는 "20가지 기준 중 10가지 이하를 충족한 기술 2건이 통과했다"며 "10가지 이하 기준을 만족하면 30만원 미만 거래 시에만 사용할 수 있다"고 밝혔다.
금융당국이 인증평가 기준의 적정성을 검토키로 한 이유다. 지나치게 기준이 엄격해 금융당국이 사실상 '공인인증서' 사용만을 강제하고 있다는 지적이 계속되고 있기 때문이다.
공인인증서의 보안 수준은 해커가 공인인증서를 탈취하더라도 이를 해독해 암호를 풀기 위해선 슈퍼컴퓨터로 60년을 돌려야 하는 수준인 것으로 알려져 있다.
특히 '부인방지 기술'은 소비자에게 오히려 불리하다는 지적도 받고 있다. 개인이 공인인증서로 본인확인을 하면, 그 거래는 해킹이나 탈취에 의한 것이라 하더라도 본인이 한 것을 부인할 수 없도록 한 개념이다.
독자들의 PICK!
결국 금융사고시 금융회사는 책임지지 않고, 개인이 책임지는 문제가 발생한다. 이 때문에 부인방지 개념을 삭제하지 않으면 다른 인증기술이 개발되더라도 금융회사들은 '공인인증서'만을 고수할 가능성이 높다는 지적도 나온다.
하지만 개인 PC에 저장된 공인인증서와 함께 비밀번호 등이 해커에게 탈취당해 거래가 이뤄진 금융사고가 심심찮게 발생해 왔다.
금융당국 관계자는 "인증평가 기준을 완화하겠다고 단정할 수 없다"면서도 "인증평가 제도 전반에 대해 관련 부처와 함께 개선할 부분이 없는지 검토할 계획"이라고 밝혔다.
