18일 미래창조과학부가 액티브X를 사용하지 않아도 되는 공인인증서 이용 기술이 다음달부터 보급될 예정이라고 밝혔다. 이에 앞서 지난달 28일에는 금융위원회와 미래창조과학부가 손쉬운 인증수단 도입을 골자로 한 ‘전자상거래 결제 간편화 방안’을 발표한 바 있다. 그 동안 액티브X 때문에 온라인 결제에 불편을 느꼈던 많은 사람들이 반길 만한 소식이다.
그러나 발표 방안을 들여다보면 새로운 인증수단의 도입이 곧 공인인증서와 액티브X의 퇴출을 의미하는 것은 아니다. 실제로 정부는 이미 지난 5월부터 공인인증서 의무 사용을 폐지했지만 카드사 등 피규제기관들은 보안 및 사고 발생 시 책임 회피 명분으로 사용할 수 있다는 점 등을 이유로 여전히 공인인증서를 요구하고 있다.
이 같은 온라인 전자결제시스템을 둘러싼 논란은 공인인증서가 액티브X 방식으로만 제공되도록 법제화된 1999년으로 거슬러 올라간다. 우리나라가 인터넷상의 보안 강화를 위해 개발한 액티브X 기반 보안기술은 미국 이외의 나라에서는 최초로 128bit 방식을 구현함으로써 그때 당시의 인터넷 환경에서는 적절한 보안 기술이었다. 그러나 개발 단계에서 사용자의 편의성을 고려하지 못했고, 시장이 아닌 관 주도하에 획일적으로 적용되어 시장의 변화에 유연하게 대응하지 못했다. 그 결과 한국 인터넷 환경의 마이크로소프트에 대한 지나친 의존도와 해외 이용자들의 이용 제약 등의 불편을 초래한 측면이 있었다.
편의를 양보하고 안전을 지키는 방식으로 인식되었던 액티브X 기반 공인인증서 시스템은 그러나 안전 측면에서도 미흡했다. 공인인증서와 액티브X라는 정보보안 장치가 있음에도 불구하고 벌써 여러 번 국내 금융기관 웹사이트들은 자체 서버 관리 부실 등의 이유로 대규모 개인정보 유출 사고가 번번히 발생하곤 했다. 결과적으로 액티브X의 불편을 감수하면서도 안전이라는 가치도 철저히 지키지 못한 셈이다.
정보보호에 대해 연구하는 교수로서 전자결제시스템 관련한 논란을 바라보면서 드는 생각은 원론적이지만 ‘정보’에 대한 유관기관과 개인들의 의식이다. 유관기관은 고객의 편의를 추구하기에 앞서 개인정보를 다룰 만한 충분한 윤리의식을 갖추고 자체 시스템 보안 강화를 위한 투자와 노력을 충분히 하고 있는지, 또 개인들은 자신의 정보에 대한 책임 있는 자세를 갖추고 있는지 새삼 돌아보게 된다. 안전과 편의의 균형을 찾기 이전에 개인정보에 대한 기본적인 윤리와 책임 있는 자세 그리고 신중함이 기반이 되어야 하기 때문이다.
정보 정책을 관리하는 감독기관의 역할 또한 중요하다. 정보보호를 위한다는 목적 하에 획일적이고 폐쇄적인 태도를 취하며 시스템 차원의 효율을 놓친 것은 아닌지 돌아볼 필요가 있다. 애초 공인인증서와 액티브X가 일괄 적용된 후 이것에만 의존하다 보니 호환이 제한되고, 경쟁과 발전을 저해한 측면이 있는 것은 부정할 수 없다. 액티브X 활용 억제 방안을 내놓은 후에도 금융기관 등에서 액티브X를 기반으로 한 공인인증을 고수하는 것도 아직 대체재에 대한 준비와 이에 대한 신뢰가 부족하기 때문이다.
뿐만 아니라 해외 간편결제 서비스의 국내시장 진출도 이어지면서 우리나라의 시장 경쟁력은 더욱 위축되고 있다. 최근 중국 최대 온라인 결제대행서비스 업체인 알리페이가 본격적으로 한국 시장 진출에 나서면서 이 같은 위기감은 더 커지고 있다. 처음부터 시스템 차원의 효율을 고려하지 못한 탓에 편의성에 대한 니즈는 물론 국제적인 온라인 결제 서비스 변화의 흐름에도 적절히 대처하지 못하고 있는 실정이다.
세계가 인정하는 IT 강국에서 온라인결제시스템을 둘러싼 최근의 논란은 유관기관은 물론 개개인 모두 곰곰이 생각해봐야 할 질문을 던진다. 급속도로 발전하는 IT 환경에서 우리는 ‘정보’의 속성을 잘 파악하고 있는지 말이다. 정보는 보호해야 하는 것인 동시에 호환되어야 하는 것이며 이 둘의 균형에 앞서 윤리를 요구하는 것이기도 하다는 점을 기억하자.
송재승 세종대 정보보호학과 교수
기사 URL이 복사되었습니다.
댓글0