업계, 인증방법·심사 공개 요청..공인인증기관도 지정제 바뀌어야
박근혜 대통령이 외국인들의 '천송이 옷' 구매 불가 발언으로 촉발된 '액티브X' 기반의 '공인인증서' 제도가 폐지되면 외국인들의 전자상거래가 활성화될까.
전자결제(PG) 업계는 현행 전자금융거래법과 전자서명법을 바꾸더라도 금융거래의 책임 소재와 현재의 감독당국 및 금융기관의 인식 변화가 없이는 불가능하다고 지적한다.
금융거래시 공인인증서 사용을 의무화해놓은 전자금융거래법 제21조 제2항과 3항 및 전자금융감독규정 제37조는 이미 공인인증서 외의 기술도 사용할 수 있도록 허용하고 있어서다.
업계는 전자금융 거래 사고시 책임을 소비자가 지는 것이 아니라 금융기관이 지도록 하고, 현재의 전자금융 안전성 기술심사의 투명성을 제고하지 않으면 '공인인증서 사용의무화'를 폐지하더라도 미봉책에 불과하다고 우려하고 있다.
◇금융사고 책임, 소비자 아닌 서비스 업체가 져야=전세계에서 가장 많은 전자상거래가 이뤄지고 있는 이베이는 페이팔을, 최대 온라인 서점인 아마존은 '원클릭'이라는 결제서비스를 사용한다. 공인인증서와 같은 것은 없다. 그런데도 최대한의 금융거래 보안을 유지하는 이유는 뭘까.
사고 책임을 소비자가 아닌 금융기관에 묻기 때문이다. 이들 서비스의 이용방법은 고객이 처음 회원으로 가입할 때 신용카드 정보를 한번만 넣으면, 이후 전자상거래시 사고가 발생하는 경우 이베이나 아마존이 책임진다. 업체들은 거래발생시 정상거래 여부를 철저히 확인하고, 보안도 최대한 강화할 수밖에 없다.
국내에선 개인이 공인인증서로 본인확인을 하면, 금융거래 사고시 금융회사는 책임지지 않고, 개인이 책임진다. 피싱이나 파밍 등으로 인한 금융사고시 위변조된(금융기관은 부정발급이라고 주장) 공인인정서로 거래된 경우 온전히 개인에게 책임을 떠넘긴다.
이런 이유로 전자상거래 사이트나 금융기관은 첨단화된 최신의 보안기술에 비용을 투자할 필요 없이 정부가 요구하는 '공인인증서'의 보안수준만 갖추고 책임을 면할 수 있다.
독자들의 PICK!
익명을 요구한 전자결제(PG) 업체 A사의 B대표는 "공인인증서 의무화를 폐지하더라도 지금처럼 금융당국이 공인인증서가 아닌 다른 인증방법에 대해 보안기술 요구수준을 정하고, 방법을 심의하는 한편, 미래부가 인증기관을 지정하는 관치구조로는 아무런 변화가 없을 것"이라고 말했다.
◇베일에 가린 '인증방법평가위원회'=또 다른 PG 업체 C사의 D대표는 "마이크로소프트 '액티브 X' 기반의 공인인증서만을 사용하도록 금융당국이 규제해 다른 웹브라우저 사용국가에서 한국 온라인 쇼핑몰을 사용하지 못한다는 것은 잘못된 인식"이라며 현재의 기술 인증시스템이 문제라고 지적했다. D 대표는 "현행법 체계에서도 공인인증서가 아닌 다른 인증방법으로 금융거래를 할 수 있도록 돼 있다"고 말했다.
전자금융거래법 제21조 제3항에 따른 전자금융감독규정 제37조는 모든 전자금융거래에 있어 '전자서명법'에 의한 공인인증서 또는 이와 동등한 수준의 안전성이 인정되는 인증방법을 사용하도록 의무화해 놨다. 다른 인증 방법도 가능하다는 얘기지만, 현실에서는 2002년 이후 12년 전 기술 외에는 1건((30만원 이상 결제가 가능한 '가군')도 인증 받지 못했다고 업계는 지적한다.
현재 인증방법에 대한 평가는 금융감독원 내 '인증방법평가위원회'에서 하고 있으며, 위원장을 포함해 10명으로 구성돼 1년에 4차례 회의를 열고 있으나 구성 멤버가 누구인지 기술심의 과정은 어떻게 진행되는지는 철저히 베일에 가려져 있다.
지난 12년간 '가군' 인증이 없는 이유를 확인하기 위해 인증방법평가위원회의 위원장 등 구성명단과 심의방법 및 기술기준 등에 대해 질의를 했으나 금융당국은 이를 공개할 수 없다고 밝혔다.
이런 상황에서 미래부(구 정보통신부, 행정안전부)로부터 공인인증기관으로 지정된 금융결제원 등 5개 기관이 연간 3000억원 가량의 공인인증서 관련 시장을 과점해, 금융기관들과 거래하고 있어 다른 시장 참여자들의 진입을 제한하고 있다고 업계는 주장한다.
공인인증기관은 미래부가 지정하는 지정제도(전자서명법 시행령 2조 공인인증기관 지정기준)로, 미래부 산하 한국인터넷진흥원(KISA)을 통해 금융결제원 등 5개 기관만 지정해 놨다. 이들 5개 기관이 사용하는 공인인증서는 모두 인증방법평가위원회에서 승인한 '액티브 X' 기반의 기술로 한정돼 있다.
업계 관계자들은 "법을 바꾸더라도 책임소재와 기술에 대한 공정한 심사와 책임을 명확히 하지 않으면 현재의 시스템에 안주하고 있는 금융기관들이 굳이 비용을 들여 새로운 기술을 도입하지 않을 것이기 때문에 소비자 불편 등에 변화는 없을 것"이라고 말했다.
