액티브X 도배된 공인인증서 환경 바뀌나

대통령 발언으로 규제 개혁 급물살 탈 듯

일반입력 :2014/03/20 17:13    수정: 2014/03/20 18:32

20일 오후 청와대에서 박근혜 대통령 주재로 열린 '제1차 규제개혁장관회의 겸 민관합동 규제개혁점검회의'에선 액티브X 중심의 인터넷 환경과 공인인증서 관련 정책에 대한 비판의 목소리가 쏟아졌다.

특히 박 대통령이 직접 공인인증서 제도에 대한 문제점을 지적하고 나서 눈길을 끌었다.

박 대통령은 최근 중국에서 우리나라 드라마가 큰 인기를 끌었다고 들었다. 그 드라마를 본 중국 시청자가 극중 의상과 패션잡화를 사기 위해 한국 쇼핑몰에 접속했지만, 결제를 위해 요구하는 공인인증서 때문에 실패했다고 한다면서 우리나라서만 요구하는 공인인증서가 국내 쇼핑몰 해외 진출 걸림돌 되고 있는 것이라고 예를 들었다.

대통령 발언으로 국내서 공인인증서 사용범위 자체를 줄이고 기술적인 장벽을 걷어내는 작업이 급물살을 탈지 주목된다.

정부는 그동안 액티브X에 종속된 공인인증서 사용 환경을 웹표준으로 바꾸려는 노력을 계속해왔다. 2년전 공인인증서 연동을 위해 개발한 웹표준 암호화 기술 사업에 이어 웹표준 공인인증서 사용을 위한 기술 개발 사업도 최근 발주했다.

미래창조과학부는 그동안 민간 환경에서 사용하는 공인인증서 제도 개혁에 적극적이었다. 그러나 실질적인 변화의 열쇠를 쥔 금융감독원이나 국가정보원은 소극적인 입장을 보여왔다. 이런 가운데 박근혜 대통령이 공개석상에서 공인인증서 제도를 둘러싼 문제를 거론하고 나선 것이다. 금융감독원과 국가정보원도 신경을 쓸수 밖에 없는 상황이 됐다.

정부가 발주한 내용을 뜯어 보면 미래부가 웹표준화 흐름에 발목을 잡았던 현행 공인인증서 제도 운영과 기술규격을 바꿀 의지를 반영한 것으로 분석된다.

지난 18일 한국인터넷진흥원(KISA)은 HTML5 표준 지원 브라우저에서 부가프로그램(플러그인)을 안 깔고도 공인인증서를 사용할 수 있는 기술을 만들어 달라는 내용의 용역 입찰 공고를 게재했다.

KISA는 ▲공인인증서 발급 및 이용 프레임워크 ▲스마트인증 서비스와 연동 소프트웨어(SW) ▲보안토큰 지원 전용 SW, 3가지 기술의 소스코드와 사용 매뉴얼을 요구했다. 'HTML5 기반 공인인증서 발급 및 이용 프레임워크 개발' 제안요청서의 골자다.

KISA가 요구하는 '공인인증서 발급 및 이용 프레임워크'는 공인인증서를 이용하기 위해 필요한 시스템의 얼개로 쓰일 SW를 가리킨다. 공인인증서 발급을 위한 서버 쪽 시스템과 이를 받은 사용자가 실제 서비스에 사용하기 위한 클라이언트 쪽 시스템 가운데 후자에 초점을 맞춘 모습이다.

그리고 '스마트인증 서비스와 연동SW'란, 스마트폰에 꽂는 범용가입자식별모듈(USIM)같은 별도 매체를 새로운 프레임워크에 맞춰 쓸 수 있도록 하는 기술을 가리킨다. 이로써 스마트폰 사용자들도 앱이 아니라 내장 브라우저를 통해 공인인증서 사용과 관리를 할 수 있을 것으로 기대된다.

마지막으로 '보안토큰 지원 전용SW'는 USB포트에 꽂아 저장소 변조방지, 암호화 작업에 쓰는 하드웨어 기반 보안매체(HSM)를 브라우저가 인식하고 공인인증서 사용환경과 맞물리도록 처리해 줄 기술을 만들어 달라는 내용이다. 이는 지난해 W3C에 제안된 '시큐어엘리먼트' 기술의 표준화를 전제로 진행되는 모습이다.

언뜻 이 사업은 지난 2012년 9월 26일 공고된 '웹 기반 공인인증서 관리 기술 개발' 용역 사업의 연장선에 있는 듯 보인다. 사실 이는 더 오래 전부터 민간 차원에서 추진된 공인인증서 관련기술 표준화 노력의 공공기관 지원 활동에 해당한다.

KISA의 2년 전 사업과 이번에 발주한 사업은 모두 국내 공인인증서를 웹표준 브라우저에서 사용할 수 있는 길을 열어줄 것이란 기대를 모은다는 점에선 공통적이지만 내용이나 추진 방향은 상당히 다르다.

2년 전 사업은 국내 공인인증서 생성, 갱신, 폐기 작업에 필요한 암호화 규격에 맞는 '인증서관리프로토콜(CMP)'과 전자서명 생성, 검증 등 '인증서 사용 기술'을 만드는 내용이었다. KISA에선 더이상 이 사안에 관여치 않고 있다. 한국전자통신연구원(ETRI)에서 국내 관련기업 전문가들과 함께 W3C 표준화를 계속 추진 중이다.

반면 KISA가 새로 요구하는 이번 사업은 현행 공인인증서 사용 관련 규격과 제도에 최대한 들어맞으면서 웹표준으로 가능한 기술을 만들어 보자는 성격에 가깝다. 억지로 기술 규격에 맞추기보다는 일단 웹표준만으로 만들었을 때 어떤 형태가 되는지를 보인 뒤, 제도와 상충하는 부분의 개선을 요청한다는 계획이다.

아직 낙관할 단계는 아니다. 이 결과물이 도출되더라도 현행 공인인증서 사용 환경에 만연한 액티브X 또는 플러그인 기술 기반을 완전히 대체할 수는 없다. 다시말해 액티브X를 필요로하지 않는 HTML5 기반 공인인증서가 나오려면 넘어야 할 제도적 장벽이 남아 있다는 얘기다.

20일 KISA 전자인증팀 관계자는 HTML5 기반 공인인증서 발급 및 이용 프레임워크 개발 사업은 일단 웹표준으로 가능한 공인인증서 사용 기술을 만들어 본 뒤 현행 제도의 한계가 어떤 것인지 확인해 본 뒤 상급부처(미래부)에 개선을 건의하고 다른 유관 기관에 협조를 구할 부분이라고 언급했다.

그는 이어 이번 사업과 2년전 진행된 사업이 함께 성과를 내는 게 최상이라면서도 그렇지 못할 경우 이번 사업만으로 가능한 기술개발과 제도 개선 활동을 통해 실제 웹표준 기반 공인인증서 사용 환경을 갖출 수 있을지까지 검토하게 될 것이라고 설명했다.

관련기사

KISA 전자인증팀이 발주한 이 개발 용역 사업의 수행 기간은 올해 9월 30일까지다. 기술적인 결과물은 해당 일자까지 만들어지더라도, 제도 개선 작업이 얼마나 걸리느냐에 따라 웹표준 공인인증서 확산 시점이 늦어질 수 있다.

현재 국회에는 공인인증서 의무화를 폐지하는 것을 골자로하는 전자금융거래법 개정안도 발의돼 있다. 지난해 발의된 개정안은 지난 2월 임시국회에서도 논의됐지만 처리되지는 못했다. 대통령 발언에 따라 전자금융거래법 개정안 통과에 속도가 붙을 수 있을지도 주목된다.