우리나라에서 금융 거래나 본인임을 증명할 때 가장 많이 쓰이는 수단은 공인인증서입니다. 지금까지 공인인증서를 다운받아 사용 중인 사람은 5,000만 명에 육박합니다. 그런데, 최근 공인인증서 독점적 지위가 사실상 시장에서 박탈됐습니다. 국회가 21년 만에 전자서명법을 개정하고, 공인인증서와 동등한 법적 자격을 사설 인증에도 부여했기 때문입니다.
수조 원에 달하는 공인인증 시장을 놓고 민간 사설 인증 플랫폼 경쟁이 본격화될 전망입니다. KT의 PASS 등 통신사 휴대폰 인증과 신용카드 인증, 은행 공동 뱅크사인, 카카오 인증, 분산 ID(DID)까지 서로 다른 형태 인증 플랫폼이 공인인증서를 대체하기 위해 본격적인 전쟁에 돌입했습니다.
중장기로는 사설 인증 시장이 열리면서 ‘플랫폼 개발’ 후방 시장에도 큰 R&D 투자가 이뤄질 것으로 보입니다. LG CNS 등 SI 전문 역량을 갖춘 기술 기반 기업의 약진이 예상되는 이유입니다.
천송이 코트가 촉발한 공인인증서 논란, 그리고 퇴출
천송이 코트란 말을 한 번쯤 들어본 적이 있을 겁니다. 전 정부 시절 ‘별에서 온 그대’라는 드라마가 히트를 치면서 ‘천송이 코트’라는 신조어가 등장합니다. 당시 여주인공(천송이)이 코트를 입고 나왔는데, 이 코트를 구매하기 위해 중국 소비자들이 한국 전자상거래 직구에 나섭니다.
하지만 우리나라 전자서명법상, 공인인증서를 의무적으로 사용해야 되기 때문에 사실상 외국인은 한국 전자상거래 이용이 불가능했습니다. 항의는 빗발쳤고, 당시 대통령까지 나와 이 같은 공인인증서 규제에 대해 문제를 제기합니다.
종전 전자거래법상 한국은 물품 30만 원 이상 구매 시 공인인증서를 의무적으로 이용해야 합니다. 결국 전자서명법은 공인인증서를 한국의 대표 인증 수단으로 만들고, 강력한 법적 지위를 부여하지만 외국인 사용 역차별 등 또 다른 폐해를 야기합니다.
그 외에 공인인증서의 역기능인 액티브 X가 논란이 중심에 섰습니다. 액티브 X는 웹 브라우저(인터넷 익스플로러) 기능을 확장시키기 위해 사용자 PC에 추가 설치하는 특정 프로그램을 의미합니다. 웹사이트 접속만으로 설치가 가능하기 때문에 쉽게 사용자 PC를 제어할 수 있고 이 기술을 적용하면 제한 없이 웹 브라우저 기능을 확장할 수 있습니다.
금융 거래와 신원증명, 정부가 발행하는 행정문서 등을 이용할 때 공인인증서가 필수인 한국에서 결국 액티브 X를 같이 다운로드해 설치하게 됩니다. 국내 대부분 사이트에서 공인인증서를 연동해야 하기 때문입니다.
하지만 액티브 X의 범용성 뒤에는 또 다른 얼굴이 숨어있습니다. PC 속도가 저하되고 특정 S/W만을 사용해야 합니다. 그리고 악성코드 등 보안 사고 위협까지 증가하는 결과를 초래합니다. 우선 내 PC에 액티브 X를 설치하면 크롬, 파이어폭스 등 다른 웹 브라우저와 호환이 되지 않습니다. 스마트폰이나 태블릿 컴퓨터에서도 사용이 불가능합니다.
사용자 PC에 설치되는 액티브 X 특성을 악용해 악성코드를 심거나 개인정보 유출 등 보안 사고가 연이어 발생한 적이 있습니다. 설치 과정에서 사용자가 원하지 않는 기능까지 함께 설치되는 사례가 급증하며 PC를 먹통으로 만드는 사례가 늘었습니다.
결국 정부는 이 같은 액티브 X 역기능을 해소하고, 공인인증서의 독점적 지위를 없애 다양한 인증수단을 국민이 선택할 수 있도록 전자서명법을 전면 개정했습니다. 금융권은 물론 공공영역에서 액티브 X 퇴출이 진행 중이며, 대체 기술로 꼽히는 HTML5 기술을 활용하는 곳이 늘고 있습니다.
전자서명법의 역사, 차세대 대체 인증 시장 ‘부상’
공인인증서 퇴출까지 21년이라는 시간이 걸렸습니다. 여전히 시장에서는 공인인증서의 편리함과 보안성을 옹호하는 의견도 많습니다. 그렇다면 전자서명법이 무엇인지 그 역사에 대해 짚어볼 필요가 있습니다.
전자서명법은 1999년 처음 발효됩니다. 우리나라 5대 공인인증기관이 있는데요. 이곳에서 발급하는 인증서를 ‘공인인증서’로 정의해 법적 효력을 부여한 것이 바로 전자서명법 시초입니다. 과학기술정보통신부에서 5개 공인 인증기관을 지정했고, 모든 온라인 거래에 공인인증서 사용이 강제됩니다. 은행 인터넷 뱅킹은 물론 온라인 증권 거래, 30만 원 이상 전자상거래에 의무인증 수단으로 공인인증서가 등장합니다.
이후, 한국은 공인인증서 사용을 더욱 강화합니다, 2006년 금융당국은 전자금융 감독규정을 개정하고 전자금융 거래에서 공인인증서 사용을 법적으로 의무화합니다. 이로 인해 액티브 X를 통한 공인인증서 보급이 급증합니다.
금융권을 비롯 공공기관 등 대부분의 전자금융 거래 시 공인인증서 사용 초기부터 액티브 X 기술을 통해 공인인증서가 PC에 설치됩니다. 2010년 정부는 또다시 법 규정을 손질합니다. 스마트폰이 보급되면서 PC용으로 사용하던 공인인증서를 모바일 영역까지 확대, 적용합니다. 그러다 천송이 코트 사건이 터지면서 정부는 2015년, 공인인증서 사용 의무를 폐지합니다.
하지만 공인인증서 사용은 여전했고, 현재까지도 공인인증서 발급은 4,293만 7,666건 (2020년 2월 기준)에 달합니다. 국회에서 전자서명법 전부 개정안을 통과시킴에 따라 새 국면을 맞이했습니다. 이와 함께 정부는 국정운영 5개년 계획에 금융•공공분야 액티브 X 제거를 주요 전략으로 담았습니다.
시장에서는 공인인증서 시장 독점이 전자서명 기술과 서비스 혁신을 저해한다는 의견이 끊임없이 제기됩니다. 민간에서 생채 인증, 블록체인 등 다양한 전자서명 수단이 있는데 정부가 공인인증서만을 강제하고 있다는 비판입니다. 때문에 이번 전자서명법 개정안은 한국 전자서명제도를 민간 기술로 전환하는 첫 시발점이 될 것입니다. 시장에서는 공인인증서를 대체할 인증 수단으로 ‘분산 신원확인(DID)’를 꼽습니다.
공인인증 시장, 대안으로 블록체인 기술 ‘성큼’
그간 공인인증서가 법적으로 누렸던 독점 지위가 사라짐에 따라 다양한 전자서명, 인증 수단 활용이 장려될 것으로 보입니다.
이미 7~8가지의 대체 인증 수단이 시장에서 경쟁을 시작했습니다. 이 중 공인인증서 대체 강력한 대항마로 꼽히는 기술이 있습니다. 바로 분산 신원확인(Decentralized ID,이하 DID)입니다. 블록체인 기술을 활용합니다. 한 소비자가 한 기관에서 인증하면 다른 기관에서 다시 인증할 필요가 없도록 하는 ‘디지털 신원 확인 방식’이 강점입니다.
ID나 패스워드 등을 통한 인증 방식의 경우 고객이 특정 기관에서 한번 발급받으면 다른 기관에서는 사용이 불가능합니다. 반면 DID의 경우 다른 기관이 추가 인증을 하지 않고 특정 기관이 수행한 인증 결과를 차용해 사용할 수 있습니다.
금융 당국에서는 이미 DID 서비스 일부를 혁신 금융 서비스로 지정한 바 있습니다. 한국에서는 3개 주요 DID 컨소시엄이 경쟁을 벌이고 있습니다.
신원 확인을 위해 여러 기관에 관련 서류를 제출하거나 개별 인증을 받지 않고 한 번의 신원 확인만 하면 모든 서비스를 이용할 수 있다는 점에서 DID 기술 도입 필요성이 제기되고 있습니다.
글 l 길재식 l 전자신문 기자(osolgil@etnews.com)
