공인인증서 무력화 논의 '폴폴'

인터넷 뱅킹시 사용하는 공인인증서에 대한 무력화 논의가 일부에서 일어나고 있다. 비스타 출시로 인해 액티브X 상에서만 작동되는 공인인증서가 꼭 필요한지 의문이라는 부정적인 목소리다. 외국 은행들의 경우 공인인증서를 사용하는 나라(덴마크, 스웨덴)도 일부 있지만 대부분 브라우저 상에서 이러한 보안 기능을 제공토록 하고 있다. 한국MS 플랫폼 컨설턴트이자 IT칼럼리스트인 김국현 부장은 "액티브X가 문제시 되는 것은 구조적 확장을 감행했기 때문이다. 체험적 확장만 했으면 문제가 되지 않는다"며 "특히 공인인증 인프라의 경우 구조적 확장의 대표적인 예"라고 전했다. 그는 이어 "액티브X가 아닌 다른 기술이라고 하더라도 구조적 확장을 시도했다면 똑같은 비난을 받게될 것이다. 구조의 임의적 확장은 바람직하지 않다"고 강조했다. 다음 R&D 팀장이자 모질라커뮤니티의 윤석찬 팀장 역시 "체험과 구조의 확장을 구분해야 하는데, 공인인증 체계를 위한 시스템들은 하부구조를 많이 건들고 있다"며 "이것은 매우 큰 문제로 이를 해결하기 위한 다양한 대안기술이 필요하다"고 전했다. 공인인증 인프라의 경우 공인인증 프로그램 말고도 키보드 해킹 방지 솔루션 등이 모두 깔려 있어야 동작이 가능하게 돼있는데 이것이 가장 큰 문제점이라고 윤 팀장은 꼬집었다. 금결원, 공정거래위원회 신고돼또한 이러한 무력화 논의와 함께 소송도 실체화되고 있다. 이달 초 오픈웹이 금결원을 상대로 벌인「공인인증 차별 제공」과 관련 민사 조정 신청에 따른 대법원의 심의 조정이 있었다. 오픈웹과 금결원은 지난 20일 1차 협의를 가졌고 다음주 화요일에 2차 협의를 진행한다.금결원이 지난 12월 리눅스와 매킨토시용 공인인증서를 개발했음을 시인했으나 액티브X는 무료로 제공하지만 리눅스나 매킨토시는 유료로 제공하겠다는 주장을 굽히지 않자 오픈웹은 금결원을 공정거래위원회에 신고한 상태다. 고려대학교 법대 김기창 교수는 "공인인증 제도는 차별 금지와 투명성에 따라 제공되도록 법에서 명시하고 있지만 우리나라에서는 지켜지지 않고 있다"며 "공인인증 제도를 채택하려면 프로토콜이나 API를 공개해야한다는 투명성을 반드시 준수해야 한다"고 강조했다. 그는 이어 "공인인증이나 사설인증이나 모두 보안과 관련된 것이 가장 중요한 것인데 키보드 보안과 해킹방지 솔루션 등까지 모두 액티브X를 고집하면서 이용자가 제대로 된 판단을 하지 못하도록 말살시킨 것이 가장 큰 문제"라고 꼬집었다.@