공인인증서·액티브X, 확실히 폐기하라

[새 정부, 이것만은 바꾸자①]

컴퓨팅입력 :2017/05/22 10:12    수정: 2017/05/31 14:28

김우용, 임민철, 임유경 기자

문재인 대통령의 공인인증서와 액티브X 폐지 공약 실현 여부에 관심이 쏠리고 있다. 지난 십수년간 국민을 괴롭혔던 공인인증서와 액티브X가 이번엔 진짜로 폐기될 지 주목된다.

공인인증서나 액티브X 폐기는 수년의 공방을 거쳐 지난 정권에서 추진됐지만, 국민 체감상 만족할 성과를 거두지는 못했다. ‘천송이 코드’로 대변됐던 지난 정부의 비액티브X 정책은 내국인 역차별을 거쳐, MS 윈도실행파일(exe)로 결론났다. 법률 상 금융기관의 공인인증서 의무사용 조항 폐기가 그나마 성과다.

여전히 우리나라에서 소득을 올리는 국민은 매년 한번씩 국세청에서 공인인증서와 씨름한다. 은행, 증권, 보험 등을 포함 금융사 계좌를 가진 국민은 누구나 1년에 한번씩 공인인증서 갱신을 위해 사투를 벌인다. 주민등록등본, 등기부등본을 발급받기 위해 민원24을 이용하느니, 근처 주민센터와 등기소로 걸어가고 만다는 국민도 여전히 많다. 정부나 언론이 떠들썩하게 전 정부의 성과를 외쳤지만 국민의 불편함은 그대로다.

새 대통령의 탄생을 맞아 어느때보다 공인인증서와 액티브X 폐기에 대한 목소리가 힘을 얻는 모습이다. 공인인증서와 액티브X는 이제 한국을 '한때 IT 강국'으로 격하시킨 적폐다. 그 적폐를 걷어내고 크게 한발짝 나갈 때가 다가오고 있다.

■공인인증서와 액티브X 진정한 폐기를 위해

사람들의 바람은 간단했다. 인터넷에서 액티브X든, 다른 플러그인이든, 실행프로그램이든, 아무 것도 안 깔아도 되게 해 달라는 것이다. 때마다 이것저것 설치해 느리고 불안하게 돌아가는 컴퓨터로 공인인증서를 관리할 필요가 없게 해 달라는 거다.

그동안 정부는 본질적 해법을 무시한 채 겉만 바꾼 안일한 자세로 일관해왔다. 말 그대로 액티브X만 없앴을 뿐, 추가 프로그램을 내려받는 웹서비스의 불편함과 보안 문제는 고스란히 남았다. 관련법 개정으로 공인인증서 사용 강제규정을 삭제했지만, 여전히 그 법적 지위를 일반 인증서와 '차별'하는 제도와 규정을 건드리지는 않았다.

문재인 정부의 공약은 이와 상당히 다르게 접근하고 있다. 기술과 정책의 '접점'을 겨냥했다. 문재인 대통령은 후보 시절 더불어민주당 선거캠프가 제작한 '굿바이 공인인증서'라는 공약 홍보영상에 출연했다. 영상 속에서 공인인증서와 액티브X를 '정보통신기술(ICT)산업 오래된 적폐'로 규정하고 폐지를 선언했다. 그러면서 "공인인증서 악순환을 불러오는 뿌리, 전자금융거래법의 이용자 중대과실조항을 전면 수정하겠다"고 말했다.

이 공약의 실현엔 기술보다 제도의 변화, 그리고 발상의 전환이 필요해 보인다. 구체적으로 어떤 변화와 어떤 발상의 전환이 필요할까.

공인인증서, 액티브X 폐기가 실현되려면 '공인전자서명 독점 체제 폐기', '공인인증서 사용시 금융회사의 사실상 면책 여건 변경', '정부의 온라인 본인확인 관련 기술 개입 중단' 등 조치가 이뤄져야 한다. 이를 위해서 전자서명법 3조 개정, 전자금융거래법 9조 개정, 공공사이트의 추가프로그램 설치 중단, 민간의 동일 관행 중단 유도가 필요하다.

더불어민주당 문재인 선거캠프의 '굿바이 공인인증서' 공약 홍보영상 중

■ ‘공인’이 아닌, ‘그냥’ 인증서를

과거 특정환경에 공인인증서 사용을 강제하는 법 규정이 있었다. 이 강제 규정은 박근혜 정부 때 없어졌다. 문재인 정부의 공약은 여기서 한 발 더 나아간다. 정부가 나서서 어떤 기술을 '공인' 인증서로 보고, 어떤 기술을 '그냥' 인증서로 본다는 식의 개입을 하지 않겠다는 메시지가 읽힌다. 공약은 공인인증서에서 인증서라는 기술이 아니라, '공인'이라는 정부 행위에 초점을 맞춘다.

한국의 공인인증서는 세계적으로 통용되는 기술인 일반 인증서와 법적으로 구별된다. 일반 인증서는 민간사업자가 발급, 유통하고 그 기술적 안전성, 신뢰성을 보증한다. 공인인증서는 한국 정부가 '공인인증기관'이라 지정한 특정 민간사업자가 발급, 유통한다. 그 기술적 안전성과 신뢰성을 정부가 보증한다.

그런데 정부가 일반 인증서와 별개로 공인인증서라는 개념을 만들고 유지해야 할 마땅한 이유를 찾기 어렵다. 공인인증서가 다른 인증서 기술보다 보안상 우월하거나 사고 책임을 더 맡아 주진 않기 때문이다. 일단 기술 비전문가인 공무원에게 인증서의 보안성을 기술적으로 점검, 보완할 능력이 있다고 기대할 수 없다. 또 정부는 공인인증기관 지정에 관여할 뿐, 그 기술을 매개한 사고 발생시 책임을 지진 않는다.

이 점을 염두에 두면, 문재인 대통령이 홍보영상에서 내세운 공약의 의미는 좀 더 분명해진다. 그는 사람들에게 익숙한 '공인인증서'라는 표현을 썼지만, 그 실제 목표는 현행 전자서명법에 근거한 공인인증제도와 공인전자서명제도 폐지를 염두에 둔 것으로 보인다. 공인인증제도에 기반한 '공인전자서명'에 독점적인 지위를 부여하지 않고, 다양한 전자서명 기술이 용도에 맞게 쓰이도록 제도를 바꾸겠다는 의미다.

법 규정상 공인인증서 사용은 강제되지 않지만, 공인전자서명 기술 사용은 전자서명법 제3조에서 강제되고 있다. 인증서와 공인인증서의 관계처럼, 전자서명과 공인전자서명의 관계도 제도적인 차별을 받고 있다. 한국 국민이 법적으로 서명이나 날인이 필요한 행위를 했다고 인정받으려면 '공인전자서명' 기술을 써야 한다. 일반 전자서명 기술은 '당사자간 약정' 수준의 법적 효력만 인정된다.

민간 인증기관이 인증서와 전자서명 기술을 공급하고 정부는 개입하지 않는 게 세계 추세다. 기술의 안전성과 신뢰성은 시장이 판단할 일이다. 질적 검증은 민간의 기술전문가가 포진한 감사 및 보안 서비스 업체가 맡으면 된다. 한국이 이런 방향으로 가려면 전자서명법 3조를 개정하고 서명 및 날인이 필요시 공인전자서명이나 공인인증서를 쓰도록 명시한 법 조항을 삭제해야 한다.

■ 금융사고에 기댄 공인인증서의 마지막 숨통

문재인 대통령은 전자금융거래법 제9조 2항 이용자 중대과실 조항도 전면 수정하겠다고 예고했다. 이 조항은 그간 국내 금융사고 책임을 금융사 대신 이용자가 지게 만들었다. 금융회사 약관에 동의한 금융사고 피해자들이 금융회사를 상대로 소송을 벌이더라도 승소할 수 없게 만든 근거다. 금융회사가 강제로 쓸 필요없는 공인인증서를 여전히 이용하는 이유다.

현행 전자금융거래법 제9조 1항에 따르면 애초에 금융회사가 책임질 사고 유형은 3가지 뿐이다. 그 유형에 해당하는 사고가 터져도 2항에 담긴 이용자 중대과실 조항 때문에 공인인증서를 쓰는 금융회사가 책임을 피할 여지가 크다. 이용자가 '접근매체'에 해당하는 공인인증서를 유출당하거나 금융정보를 도용당해 범죄자가 공인인증서를 재발급하는 상황이 벌어져도 금융회사가 책임지지 않는 결과를 낳는다.

법 1항은 금융사고시 금융회사가 이용자에게 피해배상 책임을 지는 3가지 사고 유형을 열거하고 있다. 첫째는 공인인증서를 가리키는 '접근매체'가 위조나 변조된 사고, 둘째는 거래의 전송이나 처리과정에 발생한 사고, 셋째는 부정한 방법으로 획득한 접근매체 이용으로 발생한 사고 등이다. 이 셋 중 하나에 해당하지 않는 사고는 금융회사엔 배상 책임이 없는 걸로 해석된다.

이 규정 때문에 국내 금융사고 피해자들은 금융회사에 배상책임을 묻는 소송에서, 자신의 사고사례가 1항의 셋 중 무엇에 해당하는지를 입증하는 부담을 안는다. 피해자가 이걸 입증하더라도 금융회사는 법 2항의 예외사항에 따라, 피해자의 '고의나 중대한 과실'을 주장하며 자신들의 책임을 전가할 수 있다.

법 2항 피해자의 고의나 중대한 과실은 금융회사와 이용자가 체결하는 전자금융거래 약관에 기재된 것이라고 한다. 약관에 담길 수 있는 중대과실 유형은 전자금융거래법 시행령 제8조로 열거돼 있다. 접근매체를 대여, 위임, 양도, 누설, 노출, 방치 또는 추가적인 보안 수단을 누설, 노출, 방치, 대여, 위임, 양도하는 행위를 했을 경우다. 1항과 마찬가지로 법률가들이 기술적인 개념을 놓고 다투게하는 문제가 있다.

한국처럼 사고발생시 금융회사의 법적인 배상책임 범위를 몇 가지로 제한하고, 그 사례에 해당하는지 입증할 부담을 사고 피해자에게 지우는 경우는 외국에서 찾아보기 드물다. 공인인증서와 같은 기술의 위변조, 전자적 신호 등 사고 유형과 그 처리방법을 일일이 열거해가면서, 기술에 익숙치 않은 법률가들이 그 복잡한 개념을 세세히 익히고 다투게 만드는 이용자 중대과실 조항은 피해자에게 불리하게 작용한다.

미국은 금융회사 배상 책임 범위를 단순하게 규정했다. 사고 인지 후 신고까지 경과한 시간(날짜)에 따라 나눈다. 며칠 안에 신고하면 100% 배상, 몇달 뒤에는 일부 배상, 1년 뒤에는 무배상, 이런 식이다. 기술적인 사고 유형이나 피해자의 과실여부를 따지지 않는다. 한국도 사고 피해자를 보호하려면 '접근매체' 관련 규정을 없애고 금융회사가 '권한 없는 무단 이체로 발생한 손해'를 부담하도록 법을 개정해야 한다.

더불어민주당 문재인 선거캠프의 '굿바이 공인인증서' 공약 홍보영상 중

■ 이제 액티브X에 영원한 작별을 고할 때

액티브X 폐지 공약은 정부가 관리하는 공공사이트의 변화를 예고했다. 정부가 관리하던 기존 사이트에서 액티브X를 비롯한 플러그인을 제거하고, 새로 만드는 사이트에도 플러그인을 쓰지 않겠다는 메시지다. 이게 실현되면 액티브X와 플러그인 설치 요구로 위협받던 이용자 보안과 웹의 개방성 및 확장성 제한 문제가 해소될 것으로 기대된다.

정부가 공공사이트를 기획하고 운영하는 주체로서 충분히 의지를 발휘한다면 액티브X와 플러그인 설치 요구 환경은 쉽게 바뀔 수 있다. 일반적인 정보 조회는 물론이고 회원가입과 본인확인 및 로그인 정보 암호화 등은 브라우저 기본 기능으로 충분하다. 그럼에도 그간 공공웹사이트에서 액티브X와 플러그인 설치를 요구했던 이유는 관행적인 솔루션 설치와, 행정적 비효율에 대한 자성이 없었기 때문이다.

국세청 온라인 연말정산서류 발급이나 민원24 민원서류발급처럼 도저히 플러그인 없이 제공할 수 없는 서비스도 있어 보인다. 이럴 땐 플러그인 설치가 불가피하다고 단정할 게 아니라, 정부와 관공서에 발상의 전환이 필요하다. 플러그인 설치까지 해서 서류발급같은 서비스를 제공해야 할 필요가 있을까. 이는 결국 어딘가에서 그에 담긴 정보를 요구해서 만들어진 서비스인데, 종이를 출력해야 할 필연성은 없다.

예를 들어 기관은 민원인을 응대하면서, 정보를 보유한 기관에 민원인의 정보 조회를 직접 요청하면 된다. 민간 조직은 확인하려는 특정인의 정보 열람 권한을 1회용 QR코드같은 형태로 받고, 이걸로 서버측에서 임시 생성된 웹페이지를 통해 정보를 보면 된다. 이처럼 기관이 보유한 정보를 필요로하는 기관과 민간조직이 행정처리 관행이나 절차를 바꾸면 액티브X와 플러그인을 써야 할 이유는 없다.

공공사이트에서 액티브X와 플러그인 설치 요구가 사라져야 하는 이유는 2가지다. 브라우저 확장기능이 아니라 설치파일(exe) 방식으로 구현된 서비스에도 해당되는 문제다.

관련기사

첫째는 이용자 보안 위협이다. 인터넷에선 뭔가 내려받아 설치하는 것 자체가 보안상 자제해야 할 위험한 일이다. 그런데 공공사이트는 이용자에게 무조건 'OK'나 '예'를 누르면서 플러그인을 설치하라고 안내한다. 공공사이트가 이용자를 이렇게 길들이면 사이버범죄자들의 악성코드 유포를 방조하는 셈이 된다. 그만큼 인터넷 이용자 개인의 컴퓨터 감염과 사이버공격 피해 위험을 높인다.

둘째는 웹의 확장성 소실이다. 공공사이트의 웹서비스에 액티브X나 플러그인이 개입하면 그 시점부터 서비스의 확장성이 막힌다. 애초에 부가 프로그램은 글로벌 표준과 동떨어져 고립되고 있다. 그에 의존하는 서비스는 여러 플랫폼을 지원하기 어렵다. 다른 운영주체의 서비스나 플랫폼과 연동되지도 않는다. 이런 서비스는 전체 웹 기술 생태계의 흐름을 따라잡지 못하고 고립된다.

김우용, 임민철, 임유경 기자yong2@zdnet.co.kr