지난해 8월 미래부 발의한 '전자서명법 개정안'부터 처리해야
기획재정부가 마련한 공인인증제도 개편안은 미래창조과학부 등 정부부처가 추진하고 있는 '전자서명법 개정안' 등의 내용을 내용을 재점검, 종합적으로 보완하겠다는 의미다. 하지만 이미 지난해 8월 발의된 법안은 올 3월 지금까지도 국회에서 잠자고 있다. 온라인 상거래에 필요한 개인신분 확인 절차 완화에 대한 정부의 의지가 아무리 강해도 국회가 법통과에 적극 나서주지 않으면 안되는 상황이다.
지난해 미래부는 5개 기관 독과점 체제를 방지하고 공인인증 시장진입을 낮춰 그 방식을 다양화하기 위한 '전자서명법' 개정안을 국회에 제출했다. 핵심은 공인인증기관 지정제도를 네거티브 방식으로 전환하는 것이다.
현재는 공인인증기관 지정 신청을 미래부 장관이 판단, 그 지정 여부를 결정할 수 있도록 하고 있지만 개정 법안에 따르면 신청기관이 일정 요건을 갖추고 결격사유가 없는 한 정부는 원칙적으로 해당 기업을 공인인증기관으로 지정해야 한다.
법안이 통과되면 공인인증서 발급기관 시장이 완전 자율경쟁 체제로 바뀐다. 공인인증서가 도입된 지 13년 만에 공급자 위주 시장에서 시장이 선택권을 갖는 수요자 위주 시장으로 바뀌는 셈이다.
하지만 전자서명법 개정안에 대한 업계 의견은 여전히 분분하다. 더 이상 낡은 보안기술의 사용을 강요하지 말고 기업이 어떤 것을 사용하든지 스스로 결정하고 책임지도록 해야 한다는 요구가 크지만 공인인증서 등 최소한의 강제수단이 필요하다는 주장이 여전히 있다. 개정안 추진 과정에서 각종 공청회나 토론회에서도 공인인증서 의무화 폐지론과 선택론, 존치론 등이 번번이 맞서왔다.
한 보안업계 관계자는 "공인인증서가 현재 다른 어떤 인증 수단들보다 강력한 것은 사실"이라며 "특히 기업별로 인증 수단을 개발하게 되면 투자 능력에 따라 인증 보안 수준에 차이가 많이 나 영세 기업들은 부담이 커지고 투자에 소홀할 수 있다"고 우려했다.
다만 완벽한 보안 기술은 없다는 점에서 인증수단 장벽이 낮아지면 경쟁을 통해 상호 발전에 도움이 된다는 것이 보안업계의 또 다른 입장이다. 실제 최근 보안업계에서는 기존 공인인증서 취약점을 보완할 수 있는 다양한 솔루션들이 논의되고 있다. 예를 들면 라온시큐어는 인증서를 모바일에서 해킹으로부터 안전하게 보관할 수 있는 기술을 선보여, 조만간 시중은행을 중심으로 서비스를 시작할 계획이다.
또 다른 보안업체는 공인인증서를 보관한 매체를 잃어버려도 인증서 사용기기가 다르면 활용할 수 없도록 하는 기술도 선보였다. 인증서와 기기가 짝꿍처럼 같이 이용돼야만 하는 방식이다.
독자들의 PICK!
전반적으로 다양한 인증기술을 개발하는 IT업계에서는 공인인증서 폐지 움직임에 대해 환영하는 입장이다. 앞서 금융감독원은 2010년 대체인증수단 도입을 위해 인증방법평가위원회를 꾸렸지만 공인인증서를 대체할 만한 기술이 인증받은 사례는 아직 없었다.
LG CNS의 '엠페이(Mpay)'와 페이게이트의 '금액인증 시스템(Amount Authentication) 1.0'이 30만원 미만 거래에서만 사용을 인증받았다. 30만원이 넘는 결제에서도 사용할 수 있는 인증수단을 추가로 신청했지만 반년 넘게 보류 상태다.
업계에서는 규정상 인증을 요청하면 언제까지 해결해야한다는 기간이 정해지지 않았다는 점을 평가위원회측에서 악용하고 있다는 불만을 토로하고 있다.
