▲  공인인증서

은행·보험·증권 업무뿐 아니라 여타의 전자거래에도 널리 사용되는 공인인증서가 마침내 운명의 갈림길에 섰다.

국회 미래창조과학방송통신위원회(이하 미창위)는 6월 18일부터 공인인증 독점제도 폐지를 골자로 한 '전자서명법 개정안' 처리를 위한 논의를 하고 있다. 미창위가 개정안을 통과시키는 쪽으로 가닥을 잡으면, 지난 13년 동안 이용자들을 괴롭혀왔고 개인들의 PC까지 보안위험에 노출시켜온 애물단지가 소비자의 선택에 따라서는 시장퇴출의 길을 밟게 될 수도 있다.

공인인증서는 국민 절반 이상이 은행·증권 업무에 사용할 정도로 자리잡았다. 그런데 이 인증서비스 시장에 진입한 업체는 정부 지정을 받은 다섯 곳뿐이다. 게다가 은행들이 설립한 민간 업체인 금융결제원이 약 75%를 점유하고 있다.

일부 업체는 몇 년전 금융결제원의 시장 독점 문제를 놓고 공정위에 신고를 하기도 했다. 정부 지정 업체들 간에 돈을 놓고 서로 다투어 오다가 지금은 모두 입을 모아 "공인인증서는 공공재"라고 말한다. 하긴 영리를 추구하는 독점기업이 마치 자신이 공익을 대변하는 자선단체인 듯 주장하는 행위가 어제 오늘의 일은 아니다.

파악조차 어려운 공인인증서 사고... "4일간 카드 부정결제 1억7000만원"

공인인증서의 도용, 유출, 부정재발급 사례는 드러난 것만 해도 제대로 기억하기 어려울 정도로 많고, 드러나지 않은 유출 규모는 아예 파악할 수조차 없다. 지난해 11월 2일부터 단 나흘 동안 비씨카드, KB국민카드 등 총 230개 카드사에서 약 1억7000만 원의 부정결제사고가 발생했다.

최근 금융위원회는 인증서 도용, 부정재발급으로 인한 사고를 막아보겠다고 추가인증이나 지정PC를 등록하라면서, 이것이 '보안강화조치'라고 발표했다. 제방 전체가 줄줄 새고 있는데 조약돌 몇 개로 틀어막아보겠다고 나서는 격이다. 추가조치로 인해 이용자가 겪게 될 불편에는 눈감은 지 오래다.

인증서 도용, 부정재발급으로 해를 입은 소비자가 신고를 해도 금융당국은 "인증서는 데이터 기밀성과 무결성이 보장되기 때문에" 절대로 잘못될 수 없고, 직접 대면 확인한 후에 발급해주기 때문에 이것보다 확실한 인증수단은 없다고 한다.

그러나 발급 후에는 마구 복제되어 나돌고, 계좌정보와 주민번호, 보안카드 번호 등을 알면 온라인으로 '묻지마' 재발급 해주기 때문에 공격하기에도 그만이라는 것은 이미 공공연한 비밀이다.

하지만 금융당국과 업체들은 '인증서 발급 후에 발생되는 이런 모든 문제는 사용자의 잘못이라며, 공인인증서를 탓하지는 말라'고 한다. 컴퓨터 지식이 없는 사용자에게 모든 책임을 떠넘기려는 기이한 주장을, 금융감독 당국이 거듭 대변해주고 있는 기이한 상황을 상식적으로 이해하기 어렵다.

사용자의 잘못일 뿐, 공인인증서 잘못은 아니라는 주장과 콤비를 이루는 것이 액티브X가 잘못일 뿐, 공인인증서가 잘못된 것은 결코 아니라는 주장이다. 액티브X는 웹브라우저에 추가 기능을 더할 수 있게 해주는 프로그램이다. '한국형' 공인인증서는 독특한 장소에 저장되도록 한국인터넷진흥원(KISA)가 규격을 정해서 강제하고 있기 때문에 이런 추가프로그램을 설치하지 않고서는 공인인증서를 아예 이용할 수 없다.

"해킹 위험 공지조차 제대로 안 돼... '공인인증서' 독점 끝내야"

하지만 바로 이 추가프로그램이 지난 3·20 해킹사건에도 문제가 됐는데도, 이달 초 KISA는 '이들 프로그램에 취약점이 있어 해커가 이 프로그램을 통해서 이용자의 PC를 원격에서 마음대로 주무를 수 있으니 조심하라'는 공지를 거의 아무도 모르는 어떤 페이지에 조용히(?) 올렸다. 4000만에 가까운 공인인증서 이용자 중, 현재까지 이 페이지를 본 사람은 4000명 미만이다. 만 명 중 겨우 한 명이 이 사실을 알고 있는 것이다.

그래도 공인인증서 잘못은 아니고, 그건 모두 액티브X 잘못이라는 것이 금융당국의 주장이다. 이쯤 되면, 중세를 풍미하던 "교황 무오류설"을 연상하게 한다고 해도 과언이 아니다. 무슨 일이 있어도 공인인증서 잘못은 아니라는 '철학적', '논리적', '선험적' 결론으로 무장한 규제자가 한국 인터넷 기업들의 '현실적' 고충을 외면하면서 '사업적' 제약을 마치 족쇄처럼 매어둔 지 벌써 10년이 넘었다.

프로그램 충돌로 몇 번씩 컴퓨터를 부팅시키며 온갖 스트레스를 받으면서도 울며 겨자 먹기로 써야 했던 국가공인인증서 독점체제, 이용자와 인터넷 기업들을 볼모로 잡고 공인인증 업체들의 사업 편의를 봐주고 인증서 판촉을 위하여 규제자가 발벗고 나서서, '공인인증서 무오류설'을 반복해 온 불행한 사태를 이제 끝내야 한다. 이용자 편의성과 기술의 안전성을 위해 사업자들이 공정하게 경쟁하는 자유경쟁환경으로 바꿔야 한다.