법률규정도 없는 공인인증기관

시행령 근거로 5개 지정

[아시아경제 조유진 기자]해킹에 취약한 한국식 공인인증체계는 사실 법률적 배경이 존재하지 않는다. 관련 근거라고 할 수 있는 전자서명법 시행령 제2조 공인인증기관 지정 기준이나 제3조 지정 절차에는 공인인증에 대한 강제 규정을 찾아볼 수 없다. 다만 공인인증기관의 지정 기준에 '국가기술자격 또는 이와 동등 이상의 자격이 있다고 미래창조과학부장관이 인정하는 자격을 갖출 것', '공인인증기관 지정의 유효기간은 지정받은 날부터 3년으로 한다'고 규정했을 뿐이다. 정부가 지정한 기관만 공인인증기관으로 인정한다고 해석할 여지는 어디서도 찾아볼 수 없는 것이다.

하지만 정부는 시행령을 근거로 5개 공인인증기관을 지정하고 있다. 금융결제원, 증권전산원, 한국정보인증, 한국전자인증, 한국무역정보통신이다. 강제성은 없지만 금융감독원 등 정부부처는 사실상 이들 기관의 공인인증을 표준처럼 사용토록 하고 있다. 익스플로러의 독점적 지위와 함께 이미 광범위하게 퍼진 지금의 인증체계를 유지하는데 급급한 실정인 것이다.

전자서명법의 주무부처는 90년대 말 정통부에서 시작해 방송통신위원회에 이어 현재는 미래창조과학부로 넘어왔다. 이에 따라 금융거래와 전자상거래 등에 이용되는 현행 전자서명과 공인인증서 체계의 판을 다시 짜야 한다는 주장이 제기되고 있다. 박근혜 대통령도 대선 공약 중 하나로 글로벌 표준에 맞는 다양한 공인인증서비스 허용을 내세운 바 있다.

정보보안 영역은 엔지니어+인문학+정책 종합적인 접근이 필요한 만큼 이들로 구성된 TF(태스크포스)를 구성해야 한다는 지적이 학계에서도 제기되고 있다. 이경호 교수(고려대학교 정보보호학부ㆍ정보보호대학원 사이버국방학과)는 "3. 20 해킹 대란을 계기로 누가 총대를 메고 기초부터 바로 잡느냐에 따라 IT강국의 미래가 달렸다"며 "기존 체계를 재점검하고 IT와 인터넷 발전을 반영해 '백투더 베이직(Back to the basic)'으로 돌아가야 한다"고 강조했다.

조유진 기자 tint@