[기고-이순형] ‘천송이 코트’와 공인인증서 논란

‘천송이 코트’로 시작된 공인인증서의 필요성에 대한 갑론을박이 계속되고 있다. 지난 3월 ‘규제개혁 끝장토론’에서 박근혜 대통령이 불필요한 규제 때문에 중국에서 천송이 코트를 구입하지 못한다며 대책을 주문한 것을 시작으로 공인인증서 규제 개혁 및 대체 수단에 대해 검토가 진행되는 상황이다. 그러나 전적으로 공인인증서 때문에 천송이 코트를 해외에서 구입하지 못하는 것인지 질문한다면, “그건 아니다”라고 확실히 답할 수 있다.

해외 소비자들이 국내 쇼핑몰에서 구매를 못하는 이유는 공인인증서 때문만이 아니라 국내 신용카드 결제 시스템의 차이 때문이다. 박 대통령의 천송이 코트 발언이 있었던 당시에도 30만원 이상 카드결제 시 공인인증서를 통해 추가 인증하는 절차가 필수 요구사항으로 포함돼 있었으나, 30만원 미만은 공인인증서 없이도 해외에서 결제가 가능했다. 결론적으로 말하면 30만원 이하의 천송이 코트는 이전에도, 지금도 중국에서 구입할 수 있다.

그러나 현재 공인인증서 폐지론까지 나오고 있다. 과연 공인인증서는 우리 사회에서 없어져야 할 필요악일까? 이를 위해 먼저 공인인증서가 무엇이며 어떤 역할을 하고 있는지 살펴볼 필요가 있다. 공인인증서는 온라인상에서 본인을 인증하기 위한 가장 기본이 되는 인감도장과 같다. 온라인 금융거래 및 결제 때 신원을 확인해주고, 문서의 위·변조 방지와 같은 기능을 제공한다. 이런 순기능에도 불구하고 사용의 편리함 측면이 더 부각돼 성급한 변화를 가져온다면 사회적인 혼란을 야기할 수도 있다.

최근 공인인증서 관련 규제의 변화도 일정 금액 이상 온라인 결제 시 공인인증서를 필수적으로 사용해야 한다는 강제조항이 삭제됐을 뿐 대안은 만들어가는 과정에 있다. 공인인증서가 주로 사용되는 온라인 뱅킹이나 증권거래 시에는 공인인증서를 온전히 대체해 그 기능을 충분하게 제공하는 대안이 아직은 없다. 특히 공인인증서의 주요 기능인 거래사실 부인 방지 기능의 경우 공인인증서 말고는 기술적·법적 대안이 없어 공인인증서가 갑자기 폐지된다면 사회적 파장은 크게 확대될 수도 있다. 그렇다면 지금 시점에서는 공인인증서를 어떻게 관리하고 사용해야 하는지 검토하는 것이 현실적이고 중요하지 않을까.

지난해부터 대규모 공인인증서 유출 사건이 잇따르면서 공인인증서에 대한 사용자들의 불안감이 커져가고 있다. 2012년 유출된 공인인증서는 8개에 불과했지만, 지난해에는 954배나 급증한 7632개의 공인인증서가 유출됐다. 2013년 유출된 공인인증서 중 약 90%인 6856개의 공인인증서가 스마트폰을 통해 유출됐다. 이는 스미싱 등 해킹 수법의 진화에 따른 것으로 스마트폰 및 태블릿PC의 대중화가 가속화될수록 공인인증서의 보안 이슈는 더욱 중요시될 것으로 전망된다. 일반 사용자들은 대부분 공인인증서를 PC 하드디스크나 이동식저장매체인 USB에 보관해 사용하고 있다. 그러나 이는 미국 국립표준기술연구소의 전자인증 가이드라인에 따르면 보안 3등급으로 분류돼 낮은 보안성을 갖춘 것으로 평가되고 있다. 보안성 측면에서 보다 높은 기준을 충족시키는 저장매체가 필요한 것이다.

정부는 공인인증서 유출 이슈가 발생할 때마다 PC 하드디스크나 USB보다 보안토큰 또는 스마트폰 유심(USIM) 칩에 공인인증서를 저장하라고 권고하고 있다. 이 두 매체는 한국인터넷진흥원(KISA)의 보안 1등급 매체로 인증을 받았다.

현재의 공인인증서 시스템을 전체적으로 변경하는 작업은 대안장치가 완벽하게 마련된 뒤에 실행돼야 한다. 그 전까지는 공인인증서를 어떻게 하면 안전하고 편리하게 사용할 수 있을지 고민하는 것이 더 필요하다.

이순형 라온시큐어 대표