보안에 빈틈·불편함 불구 오랜기간 검증된 '자물쇠'공인인증서, 발급 까다롭고액티브X는 습관적 클릭 탓 되레 악성코드 유포에 악용도사용 여부 금융기관 손에새 운영체계 개발비 부담에 혹독한 검증 절차도 중압감대체수단 찾기 노력 불구 전문가들 "당장은 어려울 것"
지난달 박근혜대통령 주재로 열렸던 규제개혁장관회의, 일명 '끝장토론'에서 이승철 전경련 상근부회장은 "액티브X를 액티브하게 X표 쳐달라"고 말했다. 박 대통령은 한류열풍 확산에도 불구하고 해외에서 한류상품을 인터넷으로 구매할 수 없는 현실을 지적하며, 공인인증서 문제를 제기했다. 끝장토론 때 분위기라면, 공인인증서와 액티브X는 당장에라도 없어질 태세였다.
하지만 생각만큼 속도는 빠르지 않다. 일부 개선책이 나오고는 있지만, '전면폐지론'을 펼쳐왔던 쪽에선 심드렁한 반응을 보이고 있다. 현실을 들여다보면 공인인증서도, 액티브X도 생각만큼 없애기가 쉽지 않다는 방증이다.
왜 액티브X였나.
인터넷 뱅킹을 해본 사람이라면, 인터넷 쇼핑을 해 본 사람이라면, 주민등록등본 같은 민원서류를 인터넷 발급받아 본 사람이라면 다 안다. 공인인증서 없이는 아무것도 할 수 없고, 공인인증서를 쓰려면 수많은 액티브X 프로그램을 설치해야 한다는 것을.
액티브X란 '플러그인'프로그램이다. 인터넷을 할 때 클릭하는 웹브라우저, '인터넷 익스플로러'의 성능을 확장해주는 기능을 한다. 인터넷 익스플로러 자체는 매우 단순한 프로그램이기 때문에 금융거래를 하려면 보안성을 높여주는 기능을 추가해야 하는데, 액티브X가 그런 역할을 하는 것이다. 공인인증서를 사용할 때 액티브X가 필요한 것도 같은 이유다.
지금은 '나쁜 규제'의 상징처럼 여겨지고 있지만 사실 액티브X와 공인인증서는 안전하고 앞선 도구였다. 초창기 웹브라우저는 단순히 텍스트와 이미지만 읽을 수 있었기 때문에, 동영상 재생이나 정보 암호화는 꿈도 꿀 수 없었다. 이처럼 불완전한 웹브라우저에 보안의 마법을 불어넣은 것이 바로 액티브X 같은 플러그인이었다.
정부는 애초 전자상거래를 활성화시키기 위해선 안전한 금융거래가 보장돼야 한다고 판단, 공인인증서라는 '전자 주민등록증'을 만들었다. 그리고 아주 튼튼한 자물쇠 역할을 할 수 있도록 액티브X를 설치하게 했다. 한 보안업체 관계자는 "2000년대 초 외국에서는 은행권에서 정보유출 등 사고가 매우 잦았던 반면 우리나라는 그런 문제가 없었다. 그 덕에 전자금융거래는 폭발적으로 성장할 수 있었는데 공인인증서의 역할이 가장 컸다"고 말했다.
불거진 문제들
정부는 공인인증서가 세상에서 가장 튼튼한 자물쇠라고 믿었다. 더 튼튼하게 하기 위해 액티브X도 계속 더해갔다.
하지만 자세히 들여다보면 문제점은 한두 가지가 아니었다. 우선 불편함. 통용성이 높은 공인인증서를 발급받으려면 은행에 가서 절차를 밟고, 다시 인터넷에 들어가 또 한번 복잡한 절차를 밟아야 한다. 노인들, 장애인들은 웬만해선 따라가기조차 힘들다.
외국인은 발급 자체가 거의 불가능하다. 국내 쇼핑몰에서 일정액 이상 신용카드로 구매하려면 공인인증서가 필요한데, 외국인은 그게 없으니 거대한 구매장벽 자체가 생기게 된 것이다. 박 대통령이 '천송이옷' 문제를 언급한 것도 이런 이유에서였다.
액티브X도 마찬가지다. 공인인증서 보안을 위해 반드시 발급해야 하는 액티브X가 오히려 보안을 위협한다는 지적이 끊이질 않고 있다. 액티브X 자체가 악성코드 유포경로로 활용된다는 것인데, 실제로 우리나라 네티즌들은 워낙 액티브X에 익숙해서 설치를 묻는 창이 뜨면 무조건 '예'를 클릭하는 경향이 있다. 바로 이런 점을 노리고, 해커들이 액티브X를 통해 악성코드를 유포시킨다는 것이다. 때문에 전문가들은 공인인증서와 액티브X를 우리나라에만 있는 대표적 규제, '갈라파고스 규제'이자, 해커들의 침투통로라고 비판하고 있다.
해외에선
전세계에서 국가가 인증방식을 정하고, 그 하나만을 쓰도록 하는 나라는 한국 뿐이다. 외국에선 공인인증서 같은 도구없이, 아이디와 비밀번호로 로그인하고 카드번호와 유효기간만 넣으면 간단하게 결제가 이루어진다. 심지어 이전 구매기록이 있다면 단순히 구매버튼만 눌러도 결제가 이루어진다. 자칫 불안해 보일 수도 있는 방법이다.
그러나 오히려 결제정보가 보관되는 서버는 최고의 보안수준을 자랑한다. 결제창 너머에는 이중삼중의 안전장치가 있다. 카드사들은 별도의 감사기구를 통해 '보안안전 확인감사'를 매년 받고, 정부에 그 사실을 알려야 한다. 마치 기업이 매년 회계감사를 받고 금융감독원에 제출하는 것과 같은 이치다. 강정수 연세대 커뮤니케이션연구소 박사는 "정부가 나서 어떤 기술을 선택하고 기업들에 강요하는 것이 아니라 기술에 대한 중립성을 갖고 표준을 지키는 지만 감시하면 된다"고 말했다.
대안과 한계
끝장토론 이후, 금융당국은 6월부터 인터넷쇼핑 등 전자상거래 시 공인인증서를 사용하지 않아도 되도록 관련 법규개정을 추진하겠다고 밝혔다. 미래창조과학부는 어떤 웹브라우저에서든 엑티브X 설치 없이 사용 가능한 공인인증서를 10월까지 내놓겠다고 밝혔다.
물론 기존 웹브라우저 환경보다 한 단계 업그레이드 된 환경(HTML5)이 구축되면, 자연스럽게 액티브X 설치가 필요 없게 된다. 미래부 관게자는 "HTML5 이전에라도 액티브X 없는 공인인증서를 만들어 통용토록 할 계획"이라며 "액티브X 대신 다양한 브라우저에서 사용 가능한 자바스크립트 등을 활용한 결제방법을 고려하고 있다"고 설명했다.
하지만 업계와 네티즌들의 시선은 여전히 차갑다. 공인인증서 사용여부는 이용자 아닌, 금융기관에 달려 있기 때문이다. 이번 인터넷쇼핑몰 결제규제 완화도 따지고 보면 정부가 공인인증서를 폐지한 것이 아니고, 사용여부를 카드사와 전자지급결제대행사(PG)가 자율적으로 선택하도록 맡긴 것이다.
그러나 카드사 등은 공인인증서를 대체할 보안수단을 찾아야 하는데, 비용도 많이 들고 굳이 바꿀 이유를 못 느끼고 있다. 가뜩이나 개인정보유출 문제로 '보안공포'에 사로잡혀 있는 카드사들로선, 불편하더라도 검증된 공인인증서 아닌 다른 대체수단에 대해 극도로 꺼리는 분위기다. 게다가 현행법상으로도 공인인증서를 사용하면 보안사고시 카드사의 책임은 상대적으로 낮아지게 되어 있다.
지난 2010년에도 공인인증서 논란이 불거지자 금융당국은 전자금융감독규정까지 손질해, 공인인증서와 대등한 안전성을 가진 인증수단을 사용하면 굳이 공인인증서를 쓰지 않아도 된다고 금융회사에 방침을 전달했다. 이를 위해 금융당국은 새 인증수단을 평가할 인증방법평가위원회까지 만들었다.
지금까지 새로 허가된 인증방법은 단 한 건도 없다. 중소 PG업체 페이게이트의 이동산 이사는 "당시 새로운 인증수단을 개발해 규제개혁 민간공로상까지 받았지만 결국 달라진 것은 없었다"며 "카드사들로선 공인인증서라는 안정된 수단이 있는데 굳이 민간의 인증방식을 들고가 혹독한 검증과정을 거칠 필요를 못 느꼈다"고 말했다.
전문가들은 다양한 인증수단을 허용한 외국과 달리, 우리나라는 단일인증수단(공인인증서)으로 출발했고 이미 너무 멀리 왔기 때문에, 단숨에 공인인증서나 액티브X를 없애기란 쉽지 않을 것으로 보고 있다. 한 관계자는 "금융기관이 새 인증수단을 도입하려면 엄청난 돈을 들여야 한다. 게다가 새 인증체계가 100% 믿을 만 한가에 대해 누구도 확신할 수 없기 때문에 결국은 공인인증서를 쉽게 버리기는 어려울 것"이라고 말했다.
강희경기자 kstar@hk.co.kr
기사 URL이 복사되었습니다.
댓글0