• 검색

'공인' 없는 '인증서' 시대 열린다

  • 2020.06.01(월) 15:11

[공인 없는 인증서 시대]①온라인시대 열었지만 적폐로
공인인증서 아닌 다른 인증서 사용 기회 넓어져

21년만에 '공인인증서'가 사라진다. 공인인증서는 온라인 상에서 안전하게 금융거래, 행정 업무, 온라인 쇼핑 등을 할 수 있도록 도입됐다. 하지만 시간이 지나면서 온라인 상에서 사라져야 할 적폐가 됐다. 결국 정부에서 인증해준 '공인' 역할을 하는 인증서는 시장에서 사라지게 됐고 자율경쟁이 시작됐다. 자율경쟁으로 인증서 사용자를 끌어모이기 위한 기업들의 서비스 품질 경쟁도 시작된다. 21년만에 새롭게 열리는 시장에서 어떠한 변화가 있을지 짚어보고자 한다. [편집자]

온라인 세상에서 한 번 의심을 시작하면 끝도 없다. 나와 대화를 나누고 있는 저 상대가 과연 내 친구가 진짜 맞는 걸까? 내 친구의 스마트폰을 주운 사람이 친구인 척 하는 건 아닐까? 아니면 친구의 계정이 해킹당한 것은 아닐까?

그래서 등장한 것이 '인증서'다. 인증서는 서명이나 인감도장과 같은 역할로 현재 온라인에서 하는 활동은 '내'가 하고 있는 것이 맞다는 것을 인증하는 기능을 제공한다. 이 인증서를 공인인증기관에서 발급한 것을 '공인인증서'라고 한다.

금융거래를 할 때도, 온라인결제를 할 때도, 보험 가입을 할 때도, 연말정산을 할 때도 현재 온라인에서 해당 행위를 요청하는 사람이 '나'임을 증명하기 위해 그동안 '공인인증서'가 필요했던 것이다.

공인인증서에는 다양한 중요한 내용을 담고 있다. 인감증명서에 주민등록번호, 성명, 인감, 주소 이동사항 등이 기재되듯 온라인 인감증명서인 공인인증서에는 소유자의 실명과 식별 명칭, 소유자의 공개키, 인증서 내용이 진실임을 증명하는 발행기관의 전자서명 값 등이 들어있다.

즉 '공인인증서'는 불편하지만 다른 사람이 '나'인 척 온라인에서 활동하는 것을 막기 위해 필요했다. 

억울한 공인인증서

그간 공인인증서는 보안취약, 불편함, 기술발전 저해요인 등으로 지목되면서 퇴출돼야 하는 제도로 인식돼왔다. 하지만 공인인증서는 장점도 있었다. 공인인증제도 도입은 온라인 상에서 '신뢰를 기반'으로 해야 하는 행위를 가능하게 했다. 물론 공인인증서를 발급받고 액티브X를 여러 번 설치해야 하는 불편함은 기술 발전 후에도 남아있는 단점이었다. 

과학기술정보통신부는 "1999년 공인인증제도를 도입해 인터넷을 통한 행정, 금융, 상거래 등을 활성화하는 등의 성과를 이뤄냈지만 20년 넘게 공인인증제도가 유지되면서 우월한 법적효력을 가진 공인인증서가 전자서명시장을 독점했다"면서 "이는 신기술 전자서명기업의 시장진입 기회를 차단하고 액티브X 설치 등 이용자의 불편을 초래하는 다양한 문제가 지적돼왔다"고 말했다. 

공인인증서가 많은 사람들로부터 미움을 받게 된 것은 무분별한 사용도 한 몫 했다. 공인인증서는 '온라인 인감' 역할을 했다. 물건을 사거나 소액 송금을 할 때 인감도장을 찍지 않듯이 평소 오프라인 상에서 인감을 사용하는 일은 많지 않다. 카드 결제나 금융 거래, 증명서 발급 때도 신분증을 통해 본인확인을 하는 정도다.

하지만 그동안 많은 온라인 기업들은 본인확인 정도만 필요한 순간에도 '온라인 인감'을 요구했던 탓에 공인인증서가 무분별하게 여러 곳에서 사용됐다. 

특히 지난 2015년 정부는 금융 거래 시 공인인증서 의무화를 폐지했다. 이전에는 금융거래를 할 때 싫든 좋든 공인인증서를 사용해야 했지만, 2015년 이후에는 반드시 공인인증서를 사용하지 않아도 됐다. 

하지만 카카오뱅크에서 공인인증서 대신 자체 인증서를 도입하기 전까지 국내 금융사들은 여전히 공인인증서를 활용했고 공공기관 등에서는 공인인증서를 본인 인증을 위해 우선 수단으로 요구했다.

윤희봉 과학기술정보통신부 정보보호기획과 사무관은 "기존 전자서명법에서 공인인증서는 일반 서명과 동일한 효력이 있다고 법으로 규정하고 있었고 다른 인증서에 대한 규정은 없었기 때문에 공인인증서가 법적 효력을 확실하게 갖고 있고 나머지는 상대적으로 부족해 보였던 것"이라고 설명했다.

공인인증서 폐지는 무슨 의미?

지난달 제20대 국회는 금융결제원에서 발급하는 공인인증서의 독점적 지위를 없애는 '전자서명법 개정안'을 통과시켰다. 지금까지는 공인인증기관인 금융결제원, 코스콤, 한국정보인증 등 5곳에서 발급하는 '공인인증서'와 민간기관에서 발급하는 '사설인증서'가 있었다. 

공인인증서의 발급 및 사용은 사설인증서보다 불편했지만 '공인'이라는 이름이 붙어 있어 사용자의 본인 확인이나 본인 인증 등이 필요한 기업 및 기관에서는 사설인증서보다 '공인인증서'를 선호하는 추세였다. 이제는 '공인인증서'의 '공인' 계급장을 없애고 민간기관에서 발급한 인증서 및 전자서명과 동등한 선상에서 경쟁하게 된다. 

이번 개정안은 인증서 및 전자서명 수단에 특정 지위를 두지 않고 소비자 및 인증서 이용기관 선택에 맡겨 전자서명 기술 경쟁을 장려하기 위해서다. 

기존에 발급받았던 공인인증서는 유효기간까지 사용할 수 있으며 '공인인증서'가 아닌 '일반인증서'의 이름으로 사용이 가능하다. 다른 기관이나 기업에서 더 편리하고 안전한 인증서를 출시한다면 해당 인증서를 사용하는 것도 가능하다.

기업 및 기관이 전자서명인증 수단을 만들고 평가기관으로부터 평가받은 후 인정기관인 한국인터넷진흥원에서 증명서를 발급한다. 아직 구체적인 평가 방식이나 인정 방식은 정해지지 않았다.

윤 사무관은 "이번 개정안은 제도를 변화시켜 인증서 시장을 가급적 최대한 자율적으로 운영하고 평가나 인증도 민간기관을 선정해 위탁하는 형태다"라며 "그 과정에서 이용기관이나 이용자들이 정보를 확보할 수 있도록 제공할 수 있는 평가제나 인증제를 어떻게 운영할지는 검토 중이며 보안 등급제 등은 아직 결정된 바 없다"고 말했다. 

올해 12월 전자서명법 개정안이 시행되는 시기에 맞춰 시행령 규정 등 하위 법령이 정해질 것으로 보인다.

>> 관련기사 : 고작 700억대 인증서 시장, 기업들 왜 달려들까
편의·보안 갖춘 '블록체인' 인증서 통해 플랫폼 구축한다

 

naver daum
SNS 로그인
naver
facebook
google