공인인증서 논의 쳇바퀴 '용어 불일치' 탓?

[김국배기자] 공인인증서를 둘러싼 논의는 왜 결론에 이르지 못하고 쳇바퀴만 돌까. 반복되는 토론에도 공인인증서 문제가 쉽게 진전되지 않는 이유 중 하나로 '용어의 불일치'가 지목됐다.

김승주 고려대학교 정보보호대학원 교수는 25일 '공인인증서, 대안은 무엇인가'를 주제로 열린 '정보통신망 정보보호콘퍼런스' 패널토의에서 "(공인인증제도 폐지에 대한) 찬성, 반대 주장이 결론이 안 나고 (이야기가) 쳇바퀴만 도는 경우가 많다"고 지적했다.

그는 "시민단체에서는 실생활에서 사용 중인 소프트웨어(SW) 기반의 공인인증서를 놓고 대안이 없는 지 얘기하는데 정부는 전자서명법 상에 정의한 '완벽한 형태'의 공인인증서를 놓고 '이것만큼 좋은 게 어디 있느냐'고 답하니 일치점이 안 생기는 것"이라고 설명했다.

전자서명법에서 말하는 공인인증서는 부인방지 기능을 보장하지만 SW 기반의 방식을 사용하는 공인인증서는 해킹 기술의 발전으로 이 기능을 충족시키지 못하고 있다는 게 그의 설명이다. 부인방지란 거래를 해놓고 발뺌하는 것을 막는 공인인증서의 기능 중 한 가지다.

그는 특히 "공인인증서와 동등한 수준의 기술을 따지면 끝이 없다"며 "부인방지 기능이 무엇인지 정의하고 어떤 거래에 필요한 지를 따져봐야 한다"고 조언했다. 김교수는 "지금 쓰는 SW 기반 공인인증서가 부인방지 기능을 만족하는지 따져 접근하면 조금 더 명확히 (해법이) 보일 것 같다"고 덧붙였다.

이날 토론회에선 '공인인증서에 대한 공과를 명확히 평가해야 논의가 앞으로 나아갈 수 있다'는 의견과 '공인인증서에만 너무 많은 자원을 소모하는 것을 경계하고 총체적 보안에 신경써야 한다'는 주장도 나왔다.

한국전자통신연구원(ETRI) 진승헌 박사는 "공인인증서의 공과를 가려야 다음 단계의 논의를 할 수 있다"며 "공인인증서의 대안은 편의성, 안정성, 다양성 세 가지 요소가 고려돼야 하며 특히 외국과 단순 비교할 게 아니라 서비스 환경과 문화가 인증 기술과 함께 논의돼야 할 것"이라고 말했다.

진 박사는 "공인인증서가 3천만 건이 발급됐다는 건 보편성이 있다는 의미"라며 "이러한 인증 인프라를 어떻게 활용할 지도 중요한 데 이를 배제한 채 대안을 고려한다면 중요한 부분을 놓치는 것"이라고 말했다.

페이게이트 이동산 이사는 "공인인증서도 인증 방법의 하나일 뿐 정작 관심을 가져야 할 부분은 총체적 보안"이라며 "전체적인 보안성을 높이는 데 집중해야 한다"는 의견을 표시했다.

그는 또한 "금감원이 보안감사 역할을 하는데 조직을 10배로 늘린다고 해도 다 못한다"며 "회계 감사처럼 보안감사도 민간에서 수행하고 정부는 보안 생태계를 유지하는 역할에 집중해야 한다"고 덧붙였다.

공인인증서는 인터넷뱅킹을 비롯한 전자금융, 전자상거래, 전자 입찰 등의 공공 서비스 분야 등 다양한 분야에서 사용되며 2013년 기준 발급 건수가 3천만 장을 넘어선 상태다. 지난 해 5월 최재천 국회의원(민주당)이 발의한 전자서명법 개정안은 현재 국회에 계류 중이다.