'제4차 인증전문가 포럼'…"전자서명=공인인증서는 오해…디지털 신원 확인 방법 다양화 필요"
디지털경제의 핵심 사안인 사이버 주권을 지키기 위해 공인인증서에 대한 잘못된 인식을 제고하고 법 제정 등 개선이 필요하다는 의견이 제시됐다. (가칭) '디지털 신원 및 전자서명법에 관한 법률'을 제정해 디지털 신원에 대한 등록, 확인, 이용 등을 체계화하고, 사용자나 서비스 제공자가 필요에 맞는 본인 등록 및 본인 확인 방법을 선택할 수 있도록 하자는 취지다.
19일 서울 관악구 서울대학교 교수회관에서 열린 '제4차 인증전문가 포럼'에서 발표자로 나선 한호현 경희대 컴퓨터공학과 교수는 "사이버 주권을 지키기 위해 전 세계가 공인인증제도 도입을 확대하는 추세"라며 "우리나라도 공인인증서 폐지가 아닌 불편함 해소를 위해 노력할 때"라고 말했다.
한 교수는 최근 조세 회피 혐의로 과징금 3147억원을 선고받은 다국적 IT기업 오라클의 사례를 들며 "다국적 기업의 탈세를 막으려면 거래 정보 수집이 필요하다. 이를 위해 물건을 사는 사람과 파는 사람의 상호인증이 이뤄져야 해서 EU가 지난해 7월 전격적으로 공인인증서 제도를 도입한 것"이라고 설명했다.
한 교수는 "전문가들조차 공인인증서를 오해하고 있다"고 지적했다. '공인인증서는 한국에만 있는 기술과 제도이다' '공인인증서에 부인 방지 기능이 있어 부정거래 발생 시 금융회사의 면책 기능을 한다' '공인인증서 보안이 취약해서 은행 거래 시 OTP, SMS 등 인증채널이 추가된다' 등이 한 교수가 꼽는 대표적인 오해다.
공인인증제도가 국제 흐름과 달리 우리나라만 시행하고 있는 '갈라파고스 규제'라는 주장 역시 '전자서명법 제2조(정의) 3항'을 보면 잘못 알려졌음을 알 수 있다.
한 교수는 "우리나라 전자서명법에 따른 공인전자서명 요건은 UN 규범법의 전자서명 요건과 거의 일치한다"며 "중국 전자서명법도 UN 규범법을 그대로 가져갔다"고 설명했다. 실제로 UN 규범법은 EU, 일본, 중국, 미국, 호주 등 대다수 국가에서 채택했다.
공인인증제도가 금융회사의 면죄부로 사용된다는 주장이 있다. 하지만 한 교수는 "우리나라 공인전자서명 법체계는 기술 중립 및 사용자 무책임 원칙(상대적 약자 보호)에 근거해 구축됐다"고 설명했다.
즉, 전자서명법 요건 중 '서명 당시 가입자가 전자서명생성정보를 지배·관리하고 있을 것'이라는 항목은 사용자가 그 책임을 지는 듯 보이지만, 공인인증기관, 금융기관 등 서비스 제공자가 개인이 관리하고 있는지 여부를 확인해야 한다는 책임 조항이다. 공인인증서를 사용해서 사고가 발생하는 경우 모든 입증 책임을 서비스 제공자가 지게 하려는 목적이다.
독자들의 PICK!
공인인증서 보안이 취약해 인증 절차가 점점 복잡해진다는 오해도 이 항목에서 비롯됐다. 한 교수는 "금융 기관들이 OTP, SMS 등 인증 채널을 추가한 이유는 공인인증서의 보안이 취약해서가 아니라 공인인증서 사고만으로는 책임을 면할 수 없기 때문"이라고 설명했다.
한 교수는 '전자서명=공인인증서'라는 인식도 잘못됐다고 지적했다. 현행 전자서명법에는 '공인전자서명'에 대한 요건이 부각돼 전자서명이 '공인전자서명'과 '공인인증서'로만 인식되는 한계를 지닌다는 설명이다.
이를 개선하기 위해 '디지털 신원 및 전자서명법에 관한 법률' 제정이 필요하다고 한 교수는 주장했다. 그는 "디지털 신원에 대한 등록, 확인, 이용 등을 체계화해 사용자나 서비스 제공자가 필요에 맞게 다양한 본인 등록 및 본인 확인을 할 수 있도록 해야 한다"며 "거래 규모, 빈도에 따라서 수수료를 다르게 하거나, EU의 사례와 같이 '일반전자서명', '고급전자서명', '검인전자서명' 등으로 구분하는 방법도 있다"고 말했다.
이날 포럼에 참석한 이재훈 한국무역정보통신 공인인증센터 운영팀장은 "인증 시장 확보가 미래 사이버국가의 영토 크기와 비례할 것"이라며 "다국적 IT 기업은 전 세계 결제, 인증 시장을 노리고 있고 러시아와 중국은 이에 대한 경계심을 놓지 않는데, 우리나라만 위기의식을 느끼지 못한 채 방치하고 있다"고 우려했다.
이 팀장은 "공인인증서는 국가 간 전자상거래에서 사이버주권을 지키기 위한 핵심 수단이다. 단순 기술 문제가 아니라 국가가 제도적 차원에서 어느 정도 유지하고 책임져야 하는 문제"라고 말했다.
이기혁 중앙대학교 융합보안학과 교수는 "공인인증서를 사용한 지 15년이 됐는데 그간의 변화관리가 잘 이뤄지지 않아 폐지 주장까지 나오게 된 것"이라며 "한국인터넷진흥원(KISA)이나 민간 차원에서 체계적인 변화관리 시나리오를 만들어 사용자의 잘못된 인식 제고를 주도해야 한다"고 지적했다.
