타협점 찾지 못한채 폐지-유지 주장만 ‘팽팽’

[아이티데일리] 지난 5월 국회에서 최재천 의원이 전자서명법 전부 개정안을 발의하면서 촉발된 공인인증서에 대한 논란이 갈수록 확산되고 있다. 이해관계에 따라 공인인증제 폐지와 유지 의견이 팽팽히 맞서면서 타협점을 찾지 못하고 있는 것. 공인인증서와 관련해 끝장토론이 열린 것은 두 진영 간 기싸움이 얼마나 치열하게 벌어지고 있는가를 보여주는 단적인 예라 할 수 있다. 끝장 토론에서도 특별한 결론 없이 두 진영의 주장이 팽팽히 맞섰을 뿐이다. 본지는 3회에 걸쳐 논란이 되고 있는 부분과, 그동안 공인인증제의 성과 그리고 앞으로 나아가야 할 방향에 대해 알아봤다.


지난 5월 국회에서 최재천 의원이 전자서명법 전부 개정안을 발의하면서 촉발된 공인인증서에 대한 논란이 확산되고 있다. 공인인증제 폐지와 유지를 주장하는 의견이 팽팽히 맞서면서 양 진영은 서로 유리한 여론을 형성하기 위해 안간힘을 쓰고 있다.

최 의원의 전자서명법 개정안은 전자서명과 공인전자서명을 구별하지 않고(개정안 제3조), 공인인증기관 지정을 허가제에서 등록제로 변경하고(개정안 제4조), 행정기관, 공공기관 인증서 발급 인증기관에 대해 독립적 제3자의 점검을 받는다는 것(개정안 제4조)등 크게 3가지로 압축된다. 

최 의원의 전자서명법 개정안에 이어 정부는 지난 8월 전자서명법 일부 개정안을 제출했다. 이 개정안의 핵심 내용 역시 공인인증기관 지정을 허가제에서 등록제로 변경하는 것이다. 이외에 인증기관이 행정기관 전산정보자료로 인증서 가입자의 신분변동 사항을 확인할 수 있게 하고, 인터넷 홈페이지 운영자가 공인인증서 정지·폐지 여부를 실시간 확인하지 않아 가입자에게 손해를 입혔을 때 배상하는 내용 등을 담고 있다.

두 개정안은 공통점은 공인인증기관 등록제이다. 박근혜 정부의 정책방향이 기업활동 규제 완화를 위해 기존 규제를 네거티브 제도로 전환하는 것이라는 점을 감안하면 공인인증기관의 등록제 전환은 큰 문제가 없는 한 그대로 진행될 것으로 보인다.

그러나 최재천 의원이 발의한 전자서명법 전부 개정안 중 전자서명과 공인전자서명을 구별하지 않는다는 것은 사실상 공인인증서의 폐지를 의미한다고 볼 수 있어 논란이 되고 있다.

그동안 공인인증제도는 이해관계에 따라 폐지와 유지 의견이 팽팽히 맞서왔다. 이들 두 진영의 싸움은 폐지를 주장하는 사람들의 여러 주장에 대해 유지를 주장하는 사람들이 하나하나 반박하는 형태로 이루어져 왔으며 싸움은 지금도 계속되고 있다.

폐지를 주장하는 진영은 가장 먼저 공인인증서의 보안성이 낮다는 점을 지적한다. 공인인증서가 보안에 취약한 낙후된 기술이라는 것. 또한 공인인증서와 불가분의 관계를 맺고 있는 액티브엑스가 악성코드 유포의 경로가 된다는 점도 문제점으로 거론한다. 이외에 공인인증제도가 우리나라에만 있는 제도라는 것도 폐지돼야 하는 이유로 들고 있다.

이에 대해 공인인증기관을 비롯해 공인인증제 유지를 주장하는 측에서는 공인인증서의 근간인 PKI기술은 국제표준기술로 성숙되고 안정된 기술이라고 주장한다.

특히 우리나라는 2006년에 인증기관 키 길이를 RSA 1024bit에서 RSA 2048bit로, 2012년도에 사용자 키 길이를 RSA 1024bit에서 RSA 2048bit로 고도화했다는 점을 내세우고 있다.

키 길이가 길어지면 그만큼 보안성이 높아진다는 의미다. NIST(미국국립표준기술연구소) 역시 RSA 2048bit는 2030년까지는 안전을 보장했다는 점을 강조하고 있다.

최근 공인인증서 해킹사고는 기술 자체의 문제가 아니라 보관, 관리의 문제에서 발생한 것으로 PKI기술은 본인인증, 부인방지, 기밀성, 무결성 등 네 가지 기능을 충족하는 거의 유일한 기술로 아직까지 이보다 더 좋은 기술은 없다는 것이 공인인증서 유지를 주장하는 측의 주장이다.

액티브X는 MS사의 플러그인 기술로 공인인증서와는 별개라는 점도 강조하고 있다. 현재 인터넷 익스플로러에서 음악, 영화 등의 콘텐츠를 이용할 때도 액티브X 기반으로 이뤄지는 등 액티브X는 우리나라 인터넷 생태계의 문제이지 인증서만의 문제가 아니라는 것이다.

현재 공인인증기관 및 관련 업계에서 액티브X없는 환경에서 공인인증서가 구동될 수 있도록 서비스, 기술적인 측면에서 다양한 연구개발을 진행하고 있어 액티브X의 문제는 조만간 해결될 것이라고 이야기한다.

이미 일부 은행에서는 스마트폰을 이용, PC와 스마트폰에서 액티브X없이 공인인증서를 이용할 수 있는 서비스를 구현해 테스트를 진행하고 있다.

또한 공인인증제도가 우리나라에만 있는 제도라는 점에 대해서도 각 국가들은 자국의 상황에 적합한 전자서명법을 제정, 공인인증제도를 운영하고 있으며, 오직 우리나라에서만 시행하는 제도가 아니라고 반박한다.

1995년 세계 최초로 디지털서명법을 제정한 미국 유타주에 이어 독일, 싱가폴, 캐나다 등이 전자서명에 관한 법률을 제정했는데 현재 독일, 일본, 싱가폴, 스위스 등 여러 나라에서 공인인증제도를 시행하고 있다는 것이다.

물론 공인인증기관은 공인인증제도를 시행하는 국가 중 우리나라만이 정착에 성공했다는 점에 대해서는 부인하지 않고 있다.

그러나 르완다, 케냐, 에콰도르 등 세계 각국에 우리나라의 PKI시스템이 수출되고 있으며, 이는 해외에서 우리나라의 공인인증제도를 신뢰하기 때문에 가능한 것이라고 설명한다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지