"공인인증 의무화 폐지 6년간 싸웠다"

[아시아경제 조유진 기자]"안철수 전 대선 후보가 공인인증제도를 폐지하고 보안기술을 업계 자율에 맡기겠다는 공략을 내걸었다. 국내 최고 보안전문가인 안 전 후보가 공인인증 방식이 백해무익하다는 사실을 인정한 것이다. 만시지탄이긴하나 국내 웹사용 환경의 기형성을 잘 보여주는 사례라고 볼 수 있다."

김기창 고려대 법과대학 교수

　
웹표준 운동 시민단체 '오픈웹' 대표로 활동하고 있는 김기창 고려대학교 법과대학 교수는 5일 공인인증서가 대한민국 인터넷 기반을 골병들게 하는 해악과 같다며 이같이 말했다. 김 교수는 공인인증서 의무화 폐지를 촉구하며 지난 6년간 금융감독원에 맞서 싸워왔다. 전자서명법에 공인인증서 강제 규정이 없음에도 행정안전부와 금감원이 사용을 강제하는 건 인증업체와 이해 관계에 직결되고 있다는 이야기다.

공인인증 방식의 가장 큰 약점은 해킹 공격에 취약하다는 점이다. 김 교수는 "공인인증서는 '공개 키' 기반 구조 하에 유출 위험이 높다"고 목소리를 높였다. 개인 암호를 각기 다르게 사용하는 유저는 전체의 1%도 안되는 만큼 해킹 악용 위험이 높다는 것이다.

이런 상황에서 관계 당국은 "PC 감독 잘하면 된다는 답답한 소리만 늘어놓고 있다"며 그는 손사래를 쳤다. 금융감독원의 행태도 강하게 비판했다. 김교수는 지난 7월 금감원 산하 인증방법평가위원회 위원직을 사퇴했다. 김 교수는 "어느 보안 기술도 이게 제일 안전하다 하는게 없는데 금융감독원은 공인인증이라는 특정한 인증 기술을 제일 안전한 것처럼 속여왔다"면서 "개점 휴업 상태인 기관에 남고 싶지 않았다"고 설명했다.

정부는 5개를 공인인증기관을 지정하고 있지만 정부가 인증기관을 지정해주는 나라는 세계 어디에도 없다는 것이 김 교수의 주장이다. 현재 정부가 인정한 공인인증기관은 금융결제원, 증권전산원, 한국정보인증, 한국전자인증, 한국무역정보통신 등이다. 김 교수는 "아이러니 한 것은 이들 인증기관들은 국제적으로 신뢰를 받지 못하고 있다"면서 "인터넷은 국경을 넘나들지만 신뢰성 검증은 국내에 담을 쳐놓고 있다"고 한숨을 내쉬었다.

이에 따라 국내 웹 환경은 글로벌 표준에서 역행하고 있다고 그는 목소리를 높였다. 공인인증은 과거 정보통신부 시절 생겨났는데 행안부로 넘어오면서 금융감독원이 은행ㆍ카드사들을 상대로 사용을 강제하는 역할을 했다는 것이다. 김 교수는 "외국 규제기관의 경우 사고를 투명하게 파악하는 매커니즘을 개발하는데 주력하지만 우리나라는 파워 행사에 존립 목적이 있는 것 같다"고 토로했다.

그는 공인인증기관을 지정했던 과거 정통부 공무원이 퇴직해서 인증기관 사외이사로 선임되는 낙하산 인사가 비일비재했다고 개탄했다. 김 교수는 "외국에서 일반화 된 일회용 비밀번호생성기(OTP)나 암호통신기술(SSL) 방식이 공인인증의 대안이 될 수 있다"면서 "정부가 지금부터라도 특정 기술을 강제하기보단 업체들이 자율적으로 뛰어난 인증 보안기술을 선택할 수 있도록 해야 한다"고 역설했다.

조유진 기자 tint@