끝나지 않는 공인인증서 논란 (3)

한국인증산업발전협의회에 대해 공인인증제도를 폐지하자는 주장이 나오자 밥그릇을 챙기기 위해 서비스 업체들이 협의회를 만들어 대응하려 한다는 부정적인 시각이 있는 것도 사실이다.

하지만 공인인증서 제공 기관들이 공인인증서 뿐만 아니라 다양한 인증수단 등 보다 편리하고 안전한 대안을 찾고자 하는 것은 고무적인 일이라 할 수 있다.

특히 인증산업은 금융 및 전자상거래 등 인터넷 산업의 근간을 이루는 신뢰기반 영역으로 어떤 경우에도 국민들이 안심하고 믿을 수 있는 인프라가 되어야 한다는 점에서 이번 한국인증산업발전협의회 구성은 다행스런 일로 받아들여진다.

그렇다면 현재 공인인증서를 둘러싼 문제의 해법은 무엇일까.
 
대부분 전문가들은 현행 전자서명법의 근간과 취지는 살리면서 국민의 편의성, 보안 강화, 산업의 발전을 함께 아우르는 방향으로 접근해야 한다고 말한다.

현재의 상황에서 혼란을 최소화하면서 문제점을 보완해 나가야 한다는 주장이다.

가장 먼저 액티브엑스 문제가 거론된다. 액티브엑스는 결코 인증서만의 문제는 아니지만 악성코드 유포의 원인이 되고 있는 만큼 문제해결을 위해 국가적인 노력이 요구된다.

이미 공인인증서가 액티브엑스 없는 환경에서 구동될 수 있도록 서비스, 기술적인 측면에서 다양한 기술개발이 진행되고 있다.

스마트폰에서 USIM이나 NFC를 활용하면 액티브엑스 없이 공인인증서를 사용할 수 있다. 근본적인 방법으로는 차세대 인터넷 표준인 HTML5가 대안이 될 수도 있다.

다음으로 실시간 유효성검증(OCSP) 의무화를 적극 검토할 필요성이 있다.

OCSP(Online Certificate Status Protocol) 검증을 통해 공인인증서가 실질적으로 어떤 사이트에서 어떻게 사용되고 있는지를 확인할 수 있다.

OCSP 적용은 소비자 보호를 위한 사후조치로 OCSP를 의무화 한다면 공인인증서가 불법사이트에서 이용되는 것을 막고 허가된 사이트에서만 이용하도록 할 수 있다. 보안의 실효성이 높아지는 것이다.

지난 8월 21일 정부에서 제출한 전자서명법 일부 개정안(제25조의2제2항)에서는 공인인증서의 정지 또는 폐지 여부 실시간 미확인에 따른 손해의 배상책임을 명확히 하고 있다.

실시간 미확인으로 인한 가입자의 손해에 대해 사업자가 배상해야 한다는 것이다.

인터넷 홈페이지를 운영하는 사업자들은 OCSP 도입을 통해 이러한 사고를 미연에 방지할 수 있다.

전문가들은 인증관련 정책을 편의성 중심에서 보안성 중심으로 전환해야 한다고 지적한다.

1999년, 전자서명법 제정 당시 공인인증제도를 신속히 확산사키기 위해 보안성보다 편의성에 중점을 두었으나 이제는 보안에 중점을 두어야 한다는 것이다.

공인인증서가 현재 3천만 명이 사용하는 사회 인프라가 될 수 있었던 것은 공인인증서의 대중화를 위해 하드디스크 저장, 복사허용, 온라인 재발급 간소화 등을 추진한 결과이다.

그러나 이러한 대중화 정책이 한편으로 보안성을 약화시켰다는 점은 누구도 부인하지 못하고 있다.

보안성을 강화하기 위해서는 본인확인을 강화하고 하드디스크 저장 금지 등 보관 관리의 안전성을 높이기 위한 방안이 필요하다.
 
이제 공인인증제도에 대한 소모적인 논란은 그쳐야 할 때이다.

그동안의 논란으로 공인인증제도에 대한 각종 문제점이 노출됐으며 해결책도 제시됐다.

이제는 논란보다는 객관적인 사실을 바탕으로 공인인증제도의 장점은 살리고 단점은 고쳐나가며 모두가 함께 인증수단 발전에 나서야 할 때이다.