스마트폰 소액결제의 공인인증서 방식 폐지가 마냥 좋기만 한 것인가?

(아래의 글은 내 개인적인 소견을 썼을 뿐 다른 의미는 없다. 아무래도 오해하는 사람들이 있어서 미리 그 부분을 밝혀주는 바이다.)

부제 : 보안을 빌미로 자신의 기득권을 지키려고만 하는 현 보안업체들

최근 스마트폰을 이용한 결제에 대해서 이런저런 이야기들이 많이 오가고 있는 듯 싶다. 공인인증서 방식을 고집하는 현 정부와 보안업체들, 그리고 공인인증서 방식 폐기를 주장하는 이용자들이 팽팽히 대립하고 있는 상황이다. ActiveX를 기반으로 하는 공인인증서 방식은 한국을 윈도 종속적에 IE 종속적으로 만들었고 결국 그것이 한국 IT의 발전에 발목을 잡는 결과로 이어졌다고 많은 사람들은 얘기하고 있다. 그리고 이러한 방식이 모바일, 특히 스마트폰에까지 도입되면 한국의 모바일 시장의 퇴보는 눈으로 확인하지 않고도 뻔하다고 생각한다. 나 역시 비슷한 생각을 갖고 있다. 아래의 내용은 내 개인적인 생각을 적은 것이니 참고하길 바란다.

스마트폰을 이용한 30만원 이하의 소액결제에서는 공인인증서를 사용하지 않아도 된다

최근 정부, 여당은 스마트폰을 이용한 결제 수단 중 30만원 이하의 소액 결제에 대해서는 현 공인인증서 방식이 아닌 이에 동등한 수준의 다른 보안방식을 적용해도 되는 방향으로 전자금융거래시 공인인증서 강제 사용 규제를 완화하도록 하는 방안을 확정했다고 한다. 전체 전자결제의 90% 이상이 30만원 이하의 소액결제인데 이런 소액결제에 한해서 공인인증서 방식이 아닌 다른 방식으로 해도 된다고 하는 것은 정말로 엄청난 방향전환이자 환영할 일이다. 다만 정부가 내놓을 가이드라인이 현 공인인증서 방식과 비슷하게 된다면 말짱 도루묵이 될 수 있기에 일부에서는 그저 절반의 성공이라는 평을 내놓고 있다.

한국에서 쓰는 공인인증서 방식과 해외에서 많이 사용하는 SSL + OTP 방식에 차이점은 뭘까? 간단히 말해 한국에서 쓰는 공인인증서 방식은 '난 웹브라우저에서 제공하는 보안방식을 신뢰하지 못하니 신뢰하는 기간(정부)에서 발행하는 인증서를 써라'하는 것이다. 현재 각 웹브라우저에서 제공하는 SSL 방식은 과거에 비해 엄청난 발전으로 상당한 수준의 암호화 기술을 지원하는 것으로 알려졌다. 누구 이야기로는 공인인증서에서 채택한 암호화 방식보다 SSL에서 사용하고 있는 암호화 방식이 더 뛰어나다고 하지만 그건 받아들이는 사람에 따라 다르기 때문에 이게 맞다 틀리다라고 판단은 못하겠다만 적어도 현 공인인증서 방식과 비교해서 동등, 혹은 비교우위에 있지 않나 하는 개인적인 생각이 든다. 이런 SSL 방식에 OTP로 매번 다른 암호를 생성하게 하면 그 보안성의 강력함은 이루 말할 수 없다는 것은 보안에 대해서 조금이라도 아는 사람이라면 다 인정하는 바다.

공인인증서의 문제점

공인인증서 방식의 문제점이 뭔가? 여러 블로그에서 하도 많이 말을 해서 따로 정리해서 말하는 것 조차가 낭비일 정도다. ActiveX 방식을 사용했으니 윈도 운영체제에서밖에 못사용하고 인터넷 익스플로러에서밖에 못사용한다. 사용에 제약이 있다. 매번 OS가 업그레이드 될 때마다 그에 맞도록 수정해야 하는 문제가 있다. 기본적으로 하위호환성을 유지하는 윈도라지만 비스타 사태처럼(하기사 공인인증서가 아닌 다른 문제때문에 생겨난 일이지만) 호환성을 무시할려는 시도가 앞으로도 계속 있을텐데 그럴 때마다 매번 MS에 읍소해서 바꿔야 하는 것도 문제다. PC가 이러한데 이걸 모바일로 끌어 올릴려는 시도는 더 심하다.

국내에서야 윈도 모바일이 탑재된 스마트폰이 많이 퍼져있지만 최근 많이 쓰고 있는 아이폰이라던지 안드로이드 폰에서는 당연히 ActiveX를 사용할 수 없다. 물론 ActiveX를 사용하지 않고 다른 방식으로 공인인증서를 휴대폰 안에 넣는 방식을 채택하려고 하겠지만 왜 쓸데없는 짓을 죽기로 할려는지 이해가 안간다. 이미 스마트폰에 탑재된 모바일 웹브라우저는 SSL을 기본적으로 다 지원한다. 충분히 SSL + OTP 방식으로 보안을 가져갈 수 있음에도 그렇게 하지 않음은 정말 답답하기 그지 없는 일이다.

보안기술의 신토불이?

그렇다면 왜 유독 한국에서는 공인인증서 방식을 고집하는 것일까? 몇가지 이유가 있는데 가장 대표적인 이유는 세계 표준이라는 것을 인정하지 않으려는 한국 정부의 보안에 대한 인식 때문이다. 국정원도 그렇고 여러 보안관련 사람들을 만나다보면 한결같이 하는 얘기가 보안만큼은 우리방식으로 해야 한다는 것이다. 그래야 믿을 수 있다는 것이다. 해외 표준의 경우 이미 스팩 등이 다 나와있기에 해킹할 수 있는 방법이 다양해지고 대응하기 어렵다고 한다. 우리의 것이라면 충분히 우리쪽에서 알아서 대응할 수 있으니 대응하기 편해진다는 논리를 편다. 또 세계 표준은 한국 사람들의 정서와는 잘 안맞으니 국내 표준을 쓰는 것이 더 정서상 맞다고 한다. 뭐 신토불이를 이런데 적용한다는 얘기다. 먹을 것에 대해서는 체질과 관련되어 있기 때문에 신토불이를 적용할 수 있겠지만 이런 기술적인 부분, 게다가 해외에서 먼저 들여와서 국내에 정착된 이런 기술에 신토불이를 적용하는 것은 도저히 이해가 안간다.

기득권을 지킬려는 보안업체, 공인인증서 업체의 더러운 로비

이런 보안인식의 기반에는 기존 국내 보안업체들, 공인인증서 업체들의 이익을 기반으로 하는 로비가 한몫했다고 생각이 든다. 1990년대 후반부터 2000년대에 이르기까지 이런 갈라파고스 적인 보안인식으로 엄청나게 한몫 챙긴 이들 보안업체들과 공인인증서 업체들, 그리고 이들에게 돈을 잘도 받아먹은 금융위 등은 지금까지 받은 특혜나 이익이 세계 표준을 따름으로 감소되거나 없어지는 것을 매우 두려워한다. 회사의 최종 목적은 이익창출이기 때문에 회사의 존립을 위해서라는 부분에서는 이해가 가나 기술의 발전을 막는 정말 저질 행태에 불과하다. 이미 세계 표준이 현 보안수준보다 기술적으로 우위에 있다면 그쪽으로 방향선회를 해서 그것에 맞도록 자신들의 솔루션을 변화시켜야 하는데 기존의 것이 잘 돌아가고 있으니 어떻게든 끌고 나갈려고 하는, 그래서 지금까지 얻은 이익을 보존하려는 생각이 이런 상황을 만든 것이다. 자기들이 갖고 있었던 기득권을 포기하지 않는.. 뭐 이런 이유때문에 그들은 열심히 로비를 하고 정책을 주관하는 정부쪽은 이들의 손을 들어주고 있는 것이다.

위에서 언급했듯 30만원 이하의 소액결제에 대해서는 공인인증서 방식을 사용하지 않고 이에 동등한 다른 방법을 쓸 수 있도록 업체들의 자율적인 경쟁을 유도하겠다고 한다. 하지만 정부쪽에서 가이드라인을 만들고 이에 따라야 하는데 그 가이드라인이 현 공인인증서 방식과 거의 흡사하다면 열심히 정부쪽과 싸워서 얻어낸 이런 결과가 의미가 없어지는 것이다. 그래서 절반의 성공밖에 안된다고 말하는 것이 아닐까? 정부가 가이드라인을 만들 때 과연 누구와 같이 만들까? 국내에 있는 보안전문가들에게 자문을 구할 것이며 이들 중 상당수는 현 보안업체에 소속된 사람들일 것이다. 과연 얼마나 혁신적인 가이드라인을 내놓을 것인가? 우려의 목소리가 나오는 것은 당연하다.

내 기우일 수 있다. 현 공인인증서 방식을 완전히 탈피한 새로운 방식이 제시될 수도 있다. 그렇게 바라던 SSL + OTP 방식으 대세로 자리잡을 수도 있을 것이다. 하지만 그동안 정부가 보여줬던 정책결정 방식을 지켜보고자 하면 불안이 더 커지는 것은 어쩔 수 없다.

돈이 오가는 일이므로 보안이 확실해야 함은 당연한 것이다. 하지만 이미 기술적으로 증명된 방식을 쳐다보지도 않고 기존 방식만 요구하는, 또 그것이 저런 이권과 연결된 것이라면 이는 정말로 없어져야 할 악습이라고 본다.