"서로 함포 사격만 하지 말고 백병전해서 결론 내자"는 임종인 한국정보보안학회 회장의 당부가 통한 것일까. 스마트폰 공인인증서 의무화를 놓고 대립하던 찬반 양쪽이 모처럼 한자리에서 뜨거운 설전을 벌였다.
25일 오후 2시 서울 삼성동 코엑스 컨퍼런스룸에서 한국정보보안학회 주최로 열린 '공인인증서 보안문제' 토론회는 지난달 스마트폰 보안 토론 못지않게 흥미진진했다. 지금까지는 스마트폰 열풍에 힘입어 공인인증서 의무화를 반대해 온 오픈웹 진영이 주로 공세를 펼쳐왔다면 이날은 '수세'에 몰렸던 공인인증업계와 정부쪽이 반격에 나선 형국이었다.
스마트폰 열풍에 '수세' 몰린 공인인증업계 반격그동안 마이크로소프트의 '액티브엑스' 기술에 바탕을 둔 공인인증서 제도는 스마트폰을 통한 전자결제 및 모바일뱅킹 활성화에 큰 걸림돌로 여겨졌다. 그럼에도 행정안전부와 금융감독원 등이 스마트폰 공인인증서 의무화를 추진하면서 모바일 관련 업체들의 큰 반발을 샀다.
급기야 그동안 정부 관계 부처와 공인인증서 사용 규제 완화 대책을 협의해온 이민화 중소기업청 기업호민관이 전날(24일) 기자간담회를 열어 스마트폰 공인인증서 의무화 중단을 촉구하기도 했다.
이날 방청객으로 토론회장을 찾은 이민화 기업호민관은 보안업계 참석자들을 의식한 듯 "기술적으로 공인인증서에 문제가 있어 폐기하라는 게 아니라 다른 기술의 진입을 규제하지 말라는 것"이라고 발언 취지를 설명했다.
벤처 창업 1세대이기도 한 이 호민관은 "한국이 유선 인터넷에선 최강국이 됐지만 무선 인터넷 보급률은 작년 말 1%로 OECD 최하위 수준"이라며 "웹1.0 선진국인 한국이 웹2.0에서도 선진국이 되기 어려운 것에도 규제가 한 축을 담당한다"라며 인증 시장 진입 규제 완화를 다시 한번 촉구했다.
공인인증서의 대안 중 하나로 외국에서 일반화된 'SSL(암호통신기술)+OTP(1회용 비밀번호 생성기)'를 거론한 김기창 교수 역시 "(기술적으로) 어떤 게 더 낫다는 게 아니라 '강제'하는 규정이 바람직하냐는 것"이라며 "기술적으로 사설인증서나 공인인증서나 차이가 없는데 공인인증서만 강제하는 건 인증 시장의 자유로운 경쟁을 막는 것"라고 지적했다.
이에 맞서 주로 정부 입장을 대변한 한국인터넷진흥원(KISA)과 공인인증 관련 업체들은 11년 전 도입된 공인인증서 제도가 경제활동인구의 90% 이상이 사용할 정도로 한국 사회에 깊숙이 뿌리내린 것을 강조하는 한편 SSL+OTP 방식의 안전성 문제를 적극 제기하며 공인인증서 제도 고수를 주장했다.
박광춘 한국정보인증 상무는 "호민관이 규제 해소를 얘기했지만 필요한 규제도 있다고 생각한다"면서 "공인인증서의 신뢰성에 기초해 전자금융거래가 활성화된 측면이 있는데 기술적 측면만 문제 삼는 건 아쉽다"며 공인인증서 의무화 반대 논리를 반박했다.
반면 '모바일 소액결제' 업체인 페이게이트 이동산 이사는 지난 연말 모바일 알라딘에 처음 아이폰을 통한 카드결제서비스를 도입했다가 신용카드사의 반대로 중단된 사례를 들며 인증 기술 규제 폐지를 주장했다. 이 이사는 "당시 아이폰에서 공인인증서를 쓸 수 있는 방법이 아예 없었던 것처럼 기술과 환경 사이엔 항상 갭이 존재한다"면서 "뛰어난 기술을 무조건 못 하게 막아두고 기다리게 하면 기업으로선 기회를 놓치게 된다"고 지적했다.
김기창 교수는 "공인인증제도를 뒤집자는 얘기가 아니라 '반드시 사용해야 한다'는 규정만 빼달라, 시장에서 자유롭게 경쟁하게 해달라는 것"이라며 "공인인증서 강제 규정을 빼더라도 많은 은행들은 계속 공인인증서를 쓸 것"이라고 밝혔다.
"아이폰도 이미 공인인증서 사용" vs. "앱 기반 현실성 없어"
강필용 KISA 팀장은 그동안 공인인증서가 스마트폰 뱅킹 걸림돌로 여겨진 건 오해라며 적극 해명에 나서기도 했다. 강 팀장은 우선 MS 액티브엑스 기술에 기반한 공인인증서가 익스플로러 외 다른 웹브라우저에선 사용할 수 없다고 알려진 것에 대해, 자바 기술로도 구현해 파이어폭스나 오페라, 애플 사파리 등에서도 사용할 수 있다고 말했다.
강 팀장은 "액티브엑스가 안 되는 아이폰에서 가장 먼저 뱅킹 서비스를 제공해 하나은행, 기업은행, 신한은행, 미래에셋증권 등이 이미 공인인증서 기반 전용 뱅킹 프로그램(앱) 서비스를 하고 있다"며 "스마트폰에서 공인인증서가 안 된다는 건 틀린 얘기"라고 밝혔다.
정부는 한 걸음 더 나아가 PC에서처럼 아이폰에서도 금융기관에 상관없이 하나의 공인인증서를 쓸 수 있는 '공용 앱'을 4월 중 선보일 계획이다. 하지만 이처럼 정부 차원에서 표준화된 보안 모듈을 만드는 것에 이견도 나왔다.
이동산 이사는 "행안부 공용 앱은 애플 승인이 필요하고 앱스토어 규정도 지켜야 하는데 국가 인프라를 해외 기업에 맡기는 게 맞느냐"면서 "웹(Web) 기반으로 하면 아이폰뿐 아니라 전자책이나 다른 단말기에서도 사용할 수 있는데 아이폰에서만 되는 앱(App)만 하라는 건 현실성이 없다"고 지적했다.
김기창 교수는 "공인인증기관 5군데는 PKI(공개키 기반 구조) 벤더로서 서비스 상품 판매자"라며 "전자서명법에 공인인증서 강제 규정이 없는데도 금감원이 사용 강제를 한 건 공인인증업체의 이해 관계와 직결된 것"이라고 정부와 공인인증업체를 함께 꼬집었다.
이에 김홍근 KISA 단장은 "스마트폰 환경에서 돈 다루는 앱은 신중할 필요가 있다"면서 "과거 초고속인터넷 보급에만 주력하다 보니 보안 문제가 사후약방문이 돼 버렸는데, 스마트폰 환경도 보급과 활성화에 너무 드라이브를 걸게 되면 그 교훈을 잊게 된다"며 지금부터라도 제대로 된 스마트폰 환경을 만들자고 제안했다.