[디지털라이프]공인인증서-액티브엑스는 별개 사안…생체인증, 블록체인이 공인인증서 '전자서명' 기능 대신하진 못해
3년 전 이른바 ‘천송이 코트’ 논란으로 명명된 공인인증서 그리고 액티브엑스(Active-X) 처리문제가 또다시 도마에 올랐다. 얼마 전 민주당 대선주자인 문재인 전 대표가 “공인인증서와 액티브엑스 완전폐지”를 공언하면서다. 이용자들은 환호하고 있지만 이를 바라보는 보안 당국과 업계는 불편하다. 공인인증서와 액티브엑스는 본질적으로 다른 차원의 문제인데 이 둘을 마치 하나로 보고 ‘적폐의 대상’으로 규정하고 있다는 점 때문이다. 쟁점별로 공인인증서의 오해와 진실을 풀어봤다.
◇쟁점1. 공인인증서야? 액티브엑스야?…진짜 문제는=업계와 이용자들의 시각차가 가장 큰 부분은 ‘공인인증서’와 ‘액티브엑스’에 대한 기술적인 이해다. 금융거래 시 공인인증서를 쓸 때 액티브엑스 기술을 활용하는 경우가 많은데 이를 혼동하는 경우가 있다.
공인인증서는 일종의 인터넷 인감 증명서다. 신뢰할 수 있는 제3자(인증기관)가 거래 당사자들의 신원을 확인해주는 서비스로 안전한 거래뿐 아니라 거래 당사자가 계약 내용을 부인하는 것도 방지할 수 있다. 한국인터넷진흥원(KISA)을 최상위인증기관(Root CA)으로 한국정보인증, 코스콤, 금융결제원, 한국전자인증, 한국무역정보통신 등 5개 기관이 발급해준다.
액티브엑스는 공인인증서를 PC에 설치해주는 기술에 불과하다. 이용자들이 호소하는 불편의 원인은 공인인증서 자체라기보다 액티브엑스에 있다. 액티브엑스는 마이크로소프트(MS)가 개발한 소프트웨어 다운로드 프로그램으로 최근까지 이용자 PC에 공인인증서를 설치할 때 이 기술만 사용했다. 인터넷익스플로러(MS 웹브라우저)에서만 작동되는 기술인 탓에 파이어폭스나 구글 크롬 이용자들은 금융거래나 전자민원 서비스를 이용하지 못했다. 액티브 엑스는 공인인증서를 대중화시킨 효자 기술이었지만, 결과적으로는 공인인증서가 이용자들의 선택권을 제한했고 MS 종속 구조를 심화시켰다는 비판을 동시에 받고 있다.
액티브엑스의 가장 큰 문제는 뭐니뭐니해도 보안 취약성이다. 각종 악성코드가 숨어들어 올 수 있는 경로로 작용했다. 구글 크롬은 물론 MS조차 윈도8부터 액티브엑스 지원을 끊은 이유다. 우리 정부도 문제의 심각성을 인정해 액티브엑스나 실행파일 설치가 필요없는 ‘논(NON) 플러그인’ 방식의 공인인증서 활용을 권고했고 금융권도 액티브엑스를 깔지 않아도 공인인증서를 이용할 수 있는 대안 서비스를 내놓고 있다. 그러나 상당수 공공기관은 예산 확보 등의 문제를 들며 액티브엑스를 고수하고 있다. KISA에 따르면 국내 민간 100대 웹사이트에서 사용하는 액티브엑스 수는 2014년 1644개에서 2016년 358개로 78.2% 감소했지만 공공 부문은 예산확보 지체 등으로 개선이 지연되고 있다. 홈택스(19개), 민원24(11개), 건강보험공단(22개) 등이다. 이용자들의 불만이 계속되는 이유다.
◇쟁점2. 공인인증서가 그렇게 위험해?=공인인증서의 보안 문제를 제기하는 시각도 있다. 이는 공인인증서의 기술적 신뢰보다는 관리에 대한 우려 때문이다. 공인인증서는 파일 형태로 저장되기 때문에 하드디스크에 저장해 둘 경우 해킹 위험이 있고 피해는 고스란히 개인이 부담한다.
독자들의 PICK!
공인인증서의 기술력 자체에 대한 위험도는 낮다. 공개키기반구조(PKI)를 기반으로 하는 인증 기술은 해외에서도 사용되는 국제표준방식이다. 때문에 전자문서를 기반으로 한 거래 활성화를 위해 해외 정부와 기관에서도 쓰는 기술을 정부가 인증해주는 공인인증서라 해서 ‘갈라파고스’ 규제라고 주장하는 것은 확대해석이라는 게 업계 시각이다.
미국, 유럽, 일본, 중국 등도 공적 분야는 정부가 주도적으로 전자서명제도를 운영하고 있으며 유엔 본부와 산하 기관에서도 PKI 도입을 추진하고 있다. 유럽연합(EU)은 2016년 7월부터 전자서명 관련법을 도입해 공공, 금융분야에서 공인인증서를 사용하기 시작했다. 뱅크오브스코틀랜드는 공인인증서 사용을 의무화하고 있다. 에스토니아는 세무, 상업 등기 등 공공분야와 인터넷뱅킹 등 민간분야에서 공인인증서를 사용을 늘려가고 있다. 일본은 2015년부터 공공서비스와 금융결제 등에 공인인증서(JPKI) 사용을 본격화하고 있다. 중국에서는 2016년 11월 기준 3억 5000만장의 공인인증서가 발급됐고 지난해 7월부터는 알리페이와 같은 비은행계 지급수단에 대해 일정 규모 이상의 금액을 이체할 경우 반드시 공인인증서를 사용해야 한다.
◇쟁점3. 공인인증서 없으면 안돼?=공인인증서는 액티브엑스처럼 철폐의 대상은 아니지만 때 되면 갱신해야하고 비밀번호도 외워야하는 등 불편하다. 차라리 인증서도 폐지하면 어떨까. 금융당국은 2015년 전자금융감독규정에서 공인인증서 의무 사용에 대한 내용을 삭제하는 등 점차 공인인증서 의무화를 폐지하는 방향으로 가고 있다. 공인인증서를 ‘본인 확인’ 용도로 활용하는 관행도 개선되고 있다. 공인인증서는 전자서명이 원래 목적이고, 본인확인은 부가기능에 속한다. 본인확인은 굳이 공인인증서 없이도 아이핀, 전화인증, 신용카드 인증 등을 통해 가능하다. 하지만 여전히 본인확인만 필요한 부분에 공인인증서를 강제하는 경우가 적지 않다. 이용자들이 불편을 감수하고 있다는 얘기다.
일각에선 블록체인 기술이 전면화되면 공인인증서를 대체할 수 있을 것이라는 기대도 나오고 있다. 블록체인은 거래 내역 등의 정보를 블록 단위로 만들어 저장하는 기술이다. 해킹 등 위변조 예방에 탁월하다는 점 때문에 주목받고 있지만, 이용자 본인임을 확인하는 기능은 없다. 따라서 공인인증서를 완전히 대신할 수는 없다는 게 보안 전문가들의 지적이다.
백종현 한국인터넷진흥원 차세대인증보안팀장은 “기술적인 측면에서 공인인증을 대체할 전자서명 방식은 아직 없다”며 “이용자들의 불편을 덜어주면서 보안을 강화하는 방향으로 단계적이고 꾸준한 노력이 필요하다”고 말했다.