“대한민국이 IT강국? 누가 그래요① – 공인인증서” by 방글라데시브라운

“대한민국이 IT강국? 누가 그래요① – 공인인증서” by 방글라데시브라운
2014. 4. 7

* 기사 정정
지난 3월 21일자 “나보다 내 개인정보가 더 해외여행을 잘 다녀요” 기사에서 “중국의 구글, 네이버격인 바이두에서는 이미 우리의 주민번호가 테이블로 정리되어 누구나 볼 수 있도록 올라와 있다고 합니다.” 라는 필진 코멘트가 나갔으며, 이는 마치 바이두 사이트가 불법정보를 자체적으로 서비스한다는 오해의 소지가 있으므로 정정 코멘트를 넣습니다. 인용 기사에 거론된 주민번호 테이블을 제공하는 사이트는 바이두 자체 서비스가 아니라, 바이두의 검색 결과 창에 나타나는 바이두와는 무관한 사이트입니다. (덧붙여 바이두에는 네이버 지식인과 같은 百度知道라는 서비스가 있으며, 이를 통한 한국주민등록번호 리스트 및 생성기 관련 정보 공유가 몇 년 전부터 성행해 온 바 있습니다. 바이두에서 검색어 입력 시 자체 서비스 페이지 역시 전면에 나타나는 배경 하에서 위와 같은 코멘트가 나갔음을 함께 알려드립니다.)

1) 이슈 들어가기

안녕하세요 BB입니다.

한국은 정보통신 인프라 구축면에서 보면 전세계에서 손에 꼽히는 강자입니다. 세계 어디를 가도 한국처럼 빠른 속도에 용이한 접근을 자랑하는 인터넷 환경을 가진 곳을 찾기 힘들 겁니다. 그뿐인가요, 모바일 제조를 비롯한 각종 IT관련 분야에서도 단연 두각을 나타내고 있기도 합니다.

그런데 과연 대한민국이 정말 IT 강국일까요? 현실과 동떨어진 정부의 일관성 없는 정책, 독과점 기업 위주의 시장 구조, 무리한 규제와 독자적인 표준 선정, 관련 업계 종사자들에 대한 열악한 처우와 이로 인한 해외로의 우수 인력 유출 등이 대한민국을 전세계에서 홀로 동떨어진 갈라파고스로 만들고 있다는 문제 제기에도 이제 귀를 기울여야 할 때입니다.

이번 기사부터 약 3회 가량(예정)에 걸쳐 공인인증서, 윈도우XP, 액티브X, 샵메일 등 대한민국이 진짜 IT강국이 되는 길을 가로막고 있는, 그리고 우리가 알아야 하지만 자칫하면 생소하고 어렵게 들릴 수 있는 관련 이슈들에 대해 최대한 간단히, 하지만 정확히 다루고자 합니다. 오늘 첫 번째로 이야기할 주제는 공인인증서입니다.

 

2) 이슈 디테일

1. 공인인증서로 허비하는 우리의 시간과 이에 비례하는 스트레스

BB: 공인인증서는 액티브X와 더불어 많은 분들이 관련 뉴스를 접하고 또 실생활에서도 직접적으로 불편을 느끼고 있는 부분입니다. 클릭 몇 번으로 상품 구매가 가능한 아마존이나, 아이디와 패스워드만으로 접속 가능한 대다수 해외 인터넷 뱅킹을 사용해보신 분들은 특히 크게 체감하는 문제이기도 합니다.

2014032200423_0.jpg[조선일보, 3월 22일]아마존 ‘1초 결제’… 공인인증서(30만원 이상 결제시) 필수인 국내 쇼핑몰은 10분

피시든 스마트폰이든 아마존에서 사고 싶은 물건을 원클릭(단 한번만 클릭하면 미리 저장되어 있는 신용카드 정보와 주소로 결제가 완료되고 제품이 배달된다)만으로 구매하던 습관에 익숙해져 있는 나로서는 겹겹이 액티브엑스를 설치하고 본인인증을 하는 등 보안 스무고개를 넘어야 물건을 살 수 있게 만든 한국의 전자상거래 관련 규제가 이해가 되지 않는다.
[한겨레 칼럼, 2013년 12월 30일]아마존과 액티브엑스

 

2. 왜 이제 와서 갑자기 바꾸겠다고 난릴까

BB: 1999년 도입, 2007년 모든 전자금융거래에서 공인인증서 도입이 의무화된 이후 공인인증서와 관련된 각종 문제가 제기되어 왔으나 관련 정부 부처는 눈 하나 깜빡하지 않는 태도를 고수해 왔습니다.

그러다 지난달 23일 열린 대통령과의 토론에서 ‘별에서 온 그대’라는 드라마의 등장 인물이 착용한 코트를 해외 팬들이 구매하고 싶어도 국내 쇼핑몰에 탑재된 결제 시스템 때문에 불가능하다는 이야기가 나왔고, 대통령이 이를 지적하자 관련 정부 부처는 급히 대책을 강구하기 시작했습니다. 그리고 그 결과로 나온 것이 바로 공인인증서가 필요없는 외국인 전용 쇼핑몰입니다.

중국 등 해외에서 인터넷을 통한 외국인의 ‘천송이 코트’ 직접 구매가 올해 상반기 중 가능할 전망이다. 금융위원회 관계자는 22일 “외국인들이 공인인증서 없이도 국내 인터넷 쇼핑몰에서 물건을 구입할 수 있도록 하는 방안을 추진 중”이라고 밝혔다.

박근혜 대통령도 지난 20일 ‘규제개혁 끝장토론’에서 “중국 소비자들이 한국 드라마 속 의상을 사기 위해 한국 인터넷쇼핑몰에 접속했지만 공인인증서 때문에 구매에 실패했다”고 지적한 바 있다. 정부는 이에 따라 비자·마스터카드처럼 국제적으로 통용되는 신용카드 번호 등을 입력하면 물품을 구입할 수 있도록 하는 방안을 검토하고 있다. 공인인증서 없이도 보안 문제를 해결하는데 큰 어려움은 없을 것으로 예상하고 있다.(그럼 이제까지 내국인에게 공인인증서 사용을 강제해 온 이유는 도대체 무엇일까요?)
[연합뉴스, 3월 22일]6월부터 中서 공인인증서 없이 ‘천송이 코트’ 산다

BB: 토론 후 정확히 이틀 만에 나온 이야기입니다. 그러자 곧바로 해외 직구(해외 직접 구매, 해외 온라인 쇼핑몰에서 물건을 구매하고 국제 배송 시스템을 통해 상품을 받는 방식의 구매를 일컬음)마저 규제를 하겠다는 이야기가 나오는 마당에(참고: ㅍㅍㅅㅅ 3월 18일, 해외 직구 대책 마련 비판 트윗 모음), 해도 해도 너무한 내국인 차별이 아니냐는 반발이 불거져 나옵니다. 그러자 정부는 내국인에게도 적용을 하겠다고 또 말을 바꿉니다.

오는 6월부터 인터넷 쇼핑몰에서 카드 결제를 할 때 공인인증서를 사용하지 않아도 된다.

금융위원회와 금융감독원은 현재 30만원 이상 인터넷 쇼핑 등 전자상거래 시 공인인증서 등을 의무적으로 사용하도록 하는 ‘전자금융감독규정 시행세칙’ 개정을 추진한다고 3일 밝혔다.

금융당국은 시행세칙 변경 사전예고와 규제개혁위원회 심사 등을 거쳐 6월 이내에 이를 시행키로 했다. 이번 조치에 따라 앞으로 카드사와 전자지급경제 대행업자는 인증서 사용 여부를 자율적으로 결정하면 된다.
[파이낸셜뉴스, 4월 3일]6월부터 공인인증서 없이 인터넷 쇼핑몰 결제 가능

 

3. 말도 많고 탈도 많은 공인인증서, 왜 사라지지 않는가 무엇이 문제인가

BB: 단순히 불편하고 번거롭다는 것 이외에도 공인인증서가 가진 문제점들은 아래와 같습니다.

  • 공인인증서의 가장 중요한 존재 이유인 보안과 관련한 취약점이 드러나면서 각종 해킹 사고가 잇따르고 있다.

  • 공인인증서 자체는 하나의 파일에 불과하며, 얼마든지 복사 및 붙여넣기가 가능하다.

  • 공인인증서 사용은 사고 발생 시 금융기관과 기업의 피해 보상 의무를 면책시켜 주는 것이지(공인인증서 사용은 고객의 거래 부인 방지를 위한 용도로도 이용됨. 즉, 내가 이 거래를 승인한 당사자가 맞고 이 거래에 따른 모든 책임은 내가 집니다, 라고 확인 해주는 것), 고객을 위한 것이 아니다.

  • 공인인증서 사용을 위해서는 액티브X가 필수적인데 이는 악성코드 확산의 주범으로도 널리 알려져 있다.

  • 관련 정부 부처 및 보안 회사들의 이익 관계가 복잡하게 얽혀 있다.

최근 공인인증서 해킹 사고가 잇따르면서 공인인증서에 대한 ‘불편한 진실’이 하나둘씩 실체를 드러내고 있습니다.

결국 공인인증서가 가장 안전하다는 일반적 인식은 일종의 심리적 위안에 불과했던 겁니다. 금융기관들도 하소연합니다. 공인인증서의 보안취약성이 드러나면서 일선의 혼란이 커지고 있지만 딱히 해법은 없고 자칫 보안사고가 날경우 당국으로부터 책임추궁을 당할까봐 걱정하는 겁니다.

공인인증서 관련 사업을 벌이는 한 보안업체는 오히려 인증수단이 다양화되면 관리의 문제가 생겨 해킹위협이 커진다는 선뜻 납득되지 않는 주장까지 폈습니다. 기득권을 지키기 위한 저항처럼 느껴집니다.
[머니투데이, 2013년 5월 25일]아마존엔 왜 공인인증서가 없을까?

반면 미국에서는 기업이 결제 방식을 자유롭게 선택할 수 있다. 결제를 쉽게 하려면 사용자 정보를 많이 저장해야 한다. 하지만 그만큼 보안 위협도 커진다. 그래서 정보를 많이 수집하는 기업은 보안에 투자한다. 사용자 정보를 유출하면 어마어마한 소송에 휘말리기 때문이다. 보안에 투자할 여력이 없는 기업은 정보를 조금만 수집한다. 김승주 고려대 정보보호대학원 교수는 “한국에서는 부정 거래가 발생하면 사용자에게 책임을 돌리지만, 미국에서는 사업자가 책임을 진다”며 “기업이 자기 손해를 줄이기 위해 많은 돈을 투자해 정교한 부정 거래 방지 시스템을 구축하고 있다”고 말했다.
[조선일보, 3월 22일]아마존 ‘1초 결제’… 公認인증서(30만원 이상 결제시) 필수인 국내 쇼핑몰은 10분

그렇다면 금결원은? 국가기관과는 전혀 관계가 없는 민간업체입니다. 공인인증시스템을 구축해서 운영하고 있고, 수익사업을 통해 최근 수년간 매년 600억 원가량의 순이익을 남기고 있는데도 “비영리 사단법인” 지위를 계속 유지하고 있는 신기한 업체이기도 합니다.
[슬로우뉴스, 2013년 6월 18일]공인인증서 커넥션: 재직 중 받으면 뇌물, 퇴임 후 받으면 ‘감사 연봉’

 

3) 주목할 만한 보도

BB: 공인인증서를 외국인에게 풀어주네, 내국인에게도 적용하네, 하는 식으로 모든 경우의 수를 정부가 하나하나 규제하는 것부터가 바로 이 많은 문제점들의 시작적임을 꼬집어 주는 기사입니다.

거슬러 올라가면 이런 기형적 환경은 정부가 공인인증서를 유일무이한 인증기술로 채택하고 이를 위해 MS의 브라우저와 액티브X를 사용하도록 강제하면서 타 보안 기술의 진입을 막은 탓입니다. 그같은 판단은 2000년대 초반 인터넷확산기에는 유효했겠지만 멀티 OS, 멀티플랫폼, 멀티디바이스를 논하는 현재는 오히려 소비자 불편을 키우고 기술발전의 장애물이 된다는 사실을 모르는 이가 없습니다.

결국 정부주도로 공인인증서를 다른 브라우저에서 쓰도록 한다는 발상이나 외국인 전용 쇼핑몰을 만들어 내외국인을 차별하는 것도 또다른 기형적 환경을 만들어내는 것일 뿐입니다.

결국 정부의 태도와 인식의 변화에 본질적 해법이 있습니다. 단순히 액티브X나 공인인증서를 안써도 된다가 아니라 실질적으로 다양한 보안기술을 금융사나 전자상거래업체가 자유롭게 선택할 수 있는 구조와 문화, 그리고 다양한 보안 기술들이 시장에서 자유롭게 경쟁하는 체제를 이끌어내야하는 것입니다.
[머니투데이, 3월 29일]공인인증서 도대체 왜, 못 없애는 걸까요?

 

4) 편집인 코멘트

이 모든 일이 대통령과의 토론이 있었던 3월 20일부터 지금까지 약 2주만에 번갯불에 콩볶듯 이뤄졌습니다. 관련 업계 종사자, 전문가, 시민단체 및 사용자들이 국내 특유의 복잡한 결제, 인증 시스템에 대해 문제를 제기해온 것은 1, 2년 동안의 일이 아닙니다. 지금이라도 문제를 인식하고 개선하겠다니 다행이지만 이런 식으로 만들어지고 있는 변화가 과연 어느 정도로 제대로 앞을 내다보고, 얼마나 전문가의 의견과 국민들의 목소리를 잘 수렴하여 만들어질지 의문입니다. 모름지기 결과만큼, 아니 결과보다 중요한 것이 과정이라고 했습니다. 관심을 가지고 지켜보아야 할 사안입니다.

Main editer : 방글라데시브라운, editor in crossjournalism.com

신문은 하나만 읽으면 안됩니다, 행간읽기
http://www.crossjournalism.com

이 글에 대해 어떻게 생각하세요?