천덕꾸러기 ‘공인인증서’, 완전폐지·현행유지 모범정답 아니다
상태바
천덕꾸러기 ‘공인인증서’, 완전폐지·현행유지 모범정답 아니다
  • 김선애 기자
  • 승인 2017.03.03 15:53
  • 댓글 0
이 기사를 공유합니다

기술의 문제 아니라 정책의 문제…다양한 인증기술 이용하도록 규제 완화해야

문재인 전 더불어민주당 대표가 2일공인인증서와 액티브X 폐지 공약을 내놓으면서 공인인증서 논란이 다시 한 번 불거지게 됐다. 네티즌의 대다수는 공인인증서 폐지에 환호성을 지르고 있지만, 업계 일각에서는 공인인증서 폐지 주장은 글로벌 기업의 마케팅 전략에 이용당하는 것이라는 ‘음모론’을 제시하고 있기도 하다.

문재인 전 대표의 정책은 공인인증서 자체를 폐지하는 것이 아니라, 불필요한 인증 절차를 없애고, 다양한 인증 방식이 차별 없이 경쟁하겠다는 것이다. 또한 정부 사이트의 불필요한 플러그인을 제거해 웹 표준을 지키고 웹 접근성을 강화한다는 내용도 담았다.

▲공인인증서 Root CA인 KISA 전자서명인증관리센터

단일한 인증체계 강요하는 것이 문제

‘공인인증서’ 논란은 공인인증서가 가진 기술의 논란이 아니라 이를 운용하는 정책의 문제다. 은행거래, 공공 업무 등을 위해 단일한 인증체계를 강요받기 때문에 문제가 생긴다. 웹브라우저에서 플러그인을 걷어내면서 플러그인 설치 없이 공인인증서를 사용하는 방법이 자리를 잡았다. 브라우저 혹은 하드웨어 보안영역(SE) 인증서를 저장하는 기술이 대표적으로 꼽힌다.

그러나 대부분의 경우 플러그인보다 보안 위험이 높은 EXE 실행파일 형태로 공인인증서와 보안모듈 3종세트를 설치하도록 하면서 시스템의 잦은 충돌과 오류를 발생시키고 있다. 또한 공인인증서를 배포하는 모듈이 위조돼 악성코드 유포 시도가 발견되기도 했다.

공인인증서를 폐지하면 이러한 문제가 해결될까? 공인인증서와 액티브X는 별개의 문제이다. 액티브X는 이미 MS에 의해 사용이 중단됐다. 크롬 등에서 사용하는 NPAPI도 사용이 중단됐다. 정부 및 민간의 일부 사이트에서 액티브X 등 플러그인을 설치하도록 되어있지만, 차츰 개선이 되고 있는 상황이다.

그러나 공인인증서는 ‘인증’이라는 제도를 전면 수정해야 하는 문제이기 때문에 좀 더 복잡하다. 우리나라 공인인증서 제도는 한국인터넷진흥원(KISA)이 최상위인증기관(Root CA)의 역할을 하고 있으며, 한국정보인증, 코스콤, 금융결제원, 한국전자인증, 한국무역정보통신 등 5개 기관이 공인인증서를 발급해준다. 이 기관에서 인증서를 발급받으면 공개키와 개인키가 포함된 인증서가 발급된다. 이 인증서 하나로 은행업무와 공공서비스를 두루 이용할 수 있기 때문에 이용자 입장에서 편리하다.

IoT·BYOD·클라우드, 다양한 인증 방법으로 편리성 높여야

공인인증제도가 없다면 개별 금융기관, 공공기관마다 인증서를 따로 발급받아야 하기 때문에 사용이 불편하고 복잡하다. 대신 인증서와 비밀번호가 유출되면 불법적으로 취득한 공격자가 여러 사이트에서 불법적인 행위를 할 수 있게 돼 위험하다.

IoT, BYOD, 클라우드 등 다양한 IT 환경이 발전하면서 편리한 인증 서비스가 등장하고 있는데, 공인인증제도에 발목이 잡혀 다양한 서비스가 발전하기 어렵다는 문제도 있다. 생체인증, NFC 인증, 보안칩을 이용한 간편한 인증 등이 공인인증서의 비밀번호 역할 밖에 할 수 없는 상황이 된 것이다.

공인인증서를 전면 폐지하는 것이 현명한 해법은 아니다. 공인인증서가 없으면 지금 당장은 불편함을 겪게 된다. 공인인증서의 완전한 폐지가 아니라, 서비스의 특성에 따라, 사용자의 편의에 따라 자유롭게 결정하도록 규제를 풀어나가는 것이 필요하다.

다양한 인증 기술을 이용해 핀테크의 새로운 서비스를 폭넓게 이용하도록 하며, IoT 및 클라우드 서비스, O2O 서비스를 쉽게 이용할 수 있도록 지원하는 것이 필수적인 일이다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.