논쟁의 중심으로 떠오른 공인인증제도. 보는 관점에 차이로 인해서 논쟁이 시작된 것이 아닐까?

페이스북 그룹 중 '한국IT인 연합회'라는 그룹이 있다. 여기에 가입해서 정보들을 서로 공유하고 있는데 최근에 공인인증서 관련 논란이 벌어졌다. 찬성쪽과 반대쪽이 이런저런 이야기를 하면서 논쟁을 벌였는데 뭐 페이스북의 특성 상 서로 고성이 오가는 그런 싸움은 없었고(적어도 실명이 보장되는 상황이라 여차하면 칼부림 날 수 있는 논쟁꺼리였는데 신사적으로 잘 이야기가 오가는 듯 싶었음) 나름 더 괜찮은 정보를 얻을 수 있었다는 생각이 든다.

아래의 글은 공인인증서 폐지에 대한 논란(원래 오픈넷에서 요구했던 것은 공인인증서의 폐지였다고 들었다. 내가 느낀 부분도 그랬고. 그러다가 중간에 공인인증서에서 공인이라는 자격을 빼자는 쪽으로 바꿨는데 결국 결과적으로는 폐지하는 것과 별반 다를 것이 없는 상황이다)에 대해서 페이스북 내 타임라인에 올려두고 그룹(한국IT인 연합회)에도 공유했던 글이다. 페이스북이 생각보다는 휘발성이 강해서 기록 차원에서 적어두고 공인인증서 논란에 대한 내 의견을 블로그를 통해서 개진할 생각으로 적어둔 것이니 참고하길 바란다(참고로 내 페이스북의 타임라인은 원래 친구만 볼 수 있게 되어있으나 이 글만큼은 전체 공유로 해둔 상태다).

현재 이래저래 논란이 되고 있는 공인인증서와 ActiveX. 내 개인적인 생각이겠지만 오픈넷이나 공인인증서 폐지를 얘기하는 사람들은 아마도 원래는 ActiveX를 비난하고 싶은데 마땅히 비난할 꺼리를 찾기 어려우니 ActiveX를 어쩔 수 없이 사용할 수 밖에 없는 공인인증서와 공인인증체계를 우회해서 비난하는 것이 아닐까 싶다. 일단 금융위나 금감원과 같은 국가 기관이 강제식으로 밀어주고 있기에 정부의 개입을 습관처럼 싫어하는 사람들에게 있어서는 좋은 먹이감이 되었을 수도 있기 때문이다. 만약 공인인증서를 ActiveX와 같은 플러그인을 쓰지 않고 OS나 웹브라우저의 종류에 상관없이 사용할 수 있었더라면 지금의 논란이 벌어졌을까? 공인인증체계를 비난하는 사람들 중에 과연 합리적인 경쟁을 바라면서 비판하는 사람은 얼마나 있을까?

ActiveX는 MS의 웹브라우저인 IE의 플러그인이고 크롬이나 파이어폭스, 사파리 등에서도 존재하는 플러그인이나 확장기술 중 하나일 뿐인데 시대적으로 어쩔 수 없이 많이 사용할 수 밖에 없었던 상황에서 지금의 시장지배력을 지니게 되었을 뿐이다. 다만, 웹브라우저 안에서만 권한을 지녀야 하는 플러그인의 조건을 벗어나서 OS 영역까지 영향을 끼칠 수 있는 태생적인 이유때문에 MS 역시 문제성을 인식하고 줄여나가고 있는 중이고. 지속적으로 ActiveX의 영향력은 줄어들 것이고 그 자리를 다른 플러그인과 같은 기술이 대체할 것이라 본다. HTML5도 그 중에 하나일 것이고.

지금의 공인인증체계를 비롯해서 다양한 보안 솔루션의 이슈를 해결하기 위해서는 정말로 은행 창구에서 대면에서 돈을 찾거나 송금하는 것만 허용해야 한다. 인터넷뱅킹이라는 것 자체가 홀이 있을 수 밖에 없다는 얘기다(이 부분은 양병석님의 의견에 동감한다). 그래서 어떻게든 대면 방식과 비슷한 수준의 보안을 적용하기 위해 키로깅방지와 온갖 암호화 기법을 다 사용하는 것이다. OTP나 보안카드도 마찬가지고 말이지. 하지만 이래도 저래도 보안의 홀이 생기는 것은 어쩔 수 없는 상황이다(이제는 메모리까지 해킹해서 정보를 가져가는 상황이 되었으니 말이다 -.-).

공인인증서의 기능, 혹은 요건 중 하나는 본인 인증 기능이다. 이 부분에 있어서 신뢰할 수 있는 기업에서 발급하는 인증서도 신분증 역할을 할 수 있는 인증서를 발급할 수 있게 하자는 것이 오픈넷을 비롯하여 공인인증체계 폐지를 요구하는 사람들의 목소리라고 보여진다. 그런데 공인인증체계를 옹호하는 입장에서는 공인인증서가 전자신분증 기능을 지니고 있으며 국가에서 지정한 기관, 혹은 기업에서 국가의 업무를 대신하여 발급하는 것이 옳다고 생각한다. 주민등록증을 아무나 막 발급할 수는 없지 않느냐 하는 논리다. 어쩌면 한국이라는 나라의 특수성(신분증 발급 및 관리에 대한 정부 및 공공기관의 법적 논리)이 가져온 문제라는 생각이 든다. 자유롭게 시장에서 서로 경쟁하면서 서비스의 질을 높히는 것이 옳다라는 것은 누구나 다 아는 사실이지만 인증서 발급을 그 경쟁의 범주에 넣느냐 마느냐는 과연 인증서 발급 서비스를 이익을 추구하는 기업의 서비스 범주로 넣느냐 마느냐 하는 것과 연관이 되어있으며 이에 대한 우선적인 정의가 내려져야 그 이후의 얘기를 할 수 있지 않을까 싶다. 미국식의 사고방식이라면 인증서 발급도 서비스이기 때문에(실제로 공인인증서 발급을 하는 금결원 등은 이를 수익모델로 잡고 있기는 하다. 물론 개인 대상이 아닌 공인인증서를 사용하려는 기업 대상이기는 하지만) 경쟁 범위에 넣는게 맞을 듯 싶다. 하지만 한국의 사고방식에서는 이 부분에 대해서는 여전히 국가에서 통제하는 것이 맞다고 생각하고 있는 듯 싶다(이 부분에서 논란의 요지는 분명히 있다. 하지만 아쉽게도 윗분들은 그렇게 생각하고 있는 듯 싶다).

공인인증서를 바라보는 시각의 차이는 공인인증서를 전자신분증의 역할까지 부여하느냐, 아니면 그냥 여러 인증서 중의 하나로 범위를 제한하느냐에 따라서 매우 크다는 생각이 든다. 이 시각의 차이를 줄이지 않으면 이 논쟁은 어쩌면 몇년 더 지속되지 않을까 싶다.

공인인증서 폐지가 맞다, 틀리다의 결론을 내지는 못했다. 결론 내기가 참 어렵다. ActiveX는 분명히 귀찮은 기술이고 사람을 불편하게 만드는 기술임은 분명하지만 공인인증서와 ActiveX 문제는 분명히 분리해서 얘기해야 하는데 묶어서 얘기하는 현재의 상황도 좀 애매하기도 하고 말이다.

공인인증서를 핸들링하는 기술 자체(ActiveX 방식, 보관 방식 등)는 분명히 고쳐야 할 부분이 많다. 공인인증서가 저장된 폴더(NPKI 등)를 그대로 복사하면 인증서 자체가 그대로 복사되는 방식도 그렇고 기술적으로는 IE와 ActiveX 외에도 사용할 수 있는 방법이 마련되어 있지만 은행권에서 아직 적용을 못하고 있는 시점에서 기존의 ActiveX 방식으로 인한 불편도 그렇고, 그 외에도 수많은 개선을 필요로 하는 것이 현재의 공인인증서 핸들링 방식이며 이것이 공인인증서를 불편하게 바라보게 만드는 원인으로 작용하는 것이 사실이기도 한다. 하지만 이것은 기술적인 측면에서 접근해서 해결해야 할 부분이지 공인인증서 자체를 없애는, 즉 정책적으로 접근할 문제는 아니라는 것이 내 생각이다.

어찌되었던 논쟁의 원인이 된 '전자금융거래법 일부개정법률안'은 이번 임시국회 상정이 취소된 듯 하다. 차기 국회에서 다시 상정해보겠다고 공인인증서 폐지를 논하는 쪽에서는 얘기하는 듯 싶은데 일단 그 때가 되어야 알 수 있을 듯 싶고 지금으로서는 공인인증서는 목숨은 붙어있지만 바람 앞의 촛불 신세나 다름없다는 생각도 든다.

폐지를 주장하는 쪽이나 존치를 주장하는 쪽 모두가 좀 합리적인 방향으로 접근했으면 좋겠는데 지금 양쪽 진영에서 서로 싸우는 것을 보면 합리적인 의견 개진보다는 감정싸움의 꼴로 변질되고 있다는 생각도 들고 말이다. 공인인증서에 대해서는 나중에 좀 더 자세히 다뤄볼까 싶다. 지금으로서는 정리도 안되고. 일단 이 포스트는 위에서 언급했던 대로 내가 페이스북에 썼던 글을 기록으로 남기는 수준에서 이정도로 마무리할까 한다.