현재 공인인증서는 금융거래부터 상표출원까지 다양한 곳에서 광범위하게 활용되고 있다. 공인인증서는 전자서명법 개정 이래 가장 오랫동안 사용된 인증방법이다. 그만큼 공인인증서에 대한 신뢰도는 높다. 그럼에도 불구하고 대다수 공인인증서 사용자들의 불만의 목소리는 커져가고 있다.
이에 지난 1월 정부는 공인인증서를 폐지하고 새로운 인증방법을 도입할 것을 공식적으로 발표했다. 이는 2006년 정부가 공인인증서를 적극적으로 도입하던 때와는 정반대의 모습이다. 공인인증서는 어떤 이유에서 도입됐으며 왜 역사 속으로 사라질 위기에 처한 걸까.
 
신뢰를 위한 본인인증수단, 공인인증서
공인인증서는 흔히 ‘온라인 인감도장’이라고 불린다. 공인인증서가 온라인상에서 본인임을 인증할 때 사용되기 때문이다. 공인인증서란 공인인증기관이 발급한 인증서로 *전자서명이 특정인에게만 속한다는 사실을 증명하는 전자적 정보를 말한다.

공인인증서는 전자상거래의 활성화를 위해 탄생했다. 과거의 상거래와 달리 전자상거래에선 어떠한 물리적인 만남 없이 거래를 할 수 있다. 이러한 전자상거래의 특징은 시·공간의 제약 없이 거래를 할 수 있다는 장점으로도 이어지지만 거래당사자 간 신뢰를 구축하기 어렵다는 단점을 낳기도 한다. 
전자상거래가 발전하기 위해선 거래당사자 간 신뢰를 구축할 수 있는 환경이 우선적으로 만들어져야 한다. 하지만 전자상거래에선 신원을 확인하기 어렵다는 문제뿐만 아니라 문서를 위조하거나 변조하기 쉽고 자신의 거래내역을 부인하는 일이 발생할 수 있어 거래 시 당사자 간의 신뢰구축 형성이 어렵다. 이러한 문제를 해결하기 위해 전자서명의 필요성이 대두됐으며 전자서명을 안전하게 사용하기 위해 공인인증서가 만들어졌다. 「전자서명법」 제1조에는 공인인증서 도입 이유에 대해 ‘전자문서의 안전성과 신뢰성을 확보하고 그 이용을 활성화하기 위하여’ 라고 명시하고 있다.

액티브 엑스, 사용자에게 부여된 책임
하지만 공인인증서는 복잡한 실행과정이 문제점으로 지적된다. 액티브 엑스(Active X)가 그 예다. 액티브 엑스는 마이크로소프트(Microsoft) 사에서 개발한 인터넷익스플로러(Internet Explore) 환경에서 공인인증서를 사용하기 위해 설치해야 하는 프로그램이다. 김승주 고려대 사이버국방학과 교수는 “액티브 엑스는 사용자의 보안을 강화하기 위한 프로그램을 설치하는 것을 돕는 프로그램이다”고 설명했다.

액티브 엑스는 여러 번 설치해야 한다는 불편함이 있을 수 있다. 지수연(일본학과 17) 학우는 “공인인증서를 사용하기 전 액티브 엑스 프로그램을 설치해야 하는 것이 불편하다”고 말했다. 이처럼 사용자가 액티브 엑스 프로그램을 설치하는 것에 대한 불편함을 토로하는 것에 대해 김 교수는 “액티브 엑스 프로그램을 여러 번 설치하는 경우는 공인인증서 때문만이 아닌 다른 보안 프로그램 때문이다”고 설명했다.

액티브 엑스는 서버 제공자와 사용자 모두에게 보안에 대한 책임을 묻기 위해 만들어졌다. 외국에선 서버의 보안에만 중점을 두는 반면 우리나라는 서버와 사용자 모두 보안 인증을 거쳐야 한다. 사용자가 액티브 엑스를 통해 보안 프로그램을 설치할 필요가 있는 것이다. 한호현 경희대 컴퓨터공학과 교수는 “보안방식은 업무의 환경과 문화차이에 따라 다른 체계를 가진다”며 “우리나라의 경우 보안사고 발생 시 서버 제공자에게만 책임을 묻는 경향이 있어 제공자와 사용자의 책임을 모두 요하는 보안 프로그램을 사용한다”고 말했다.

사용자의 많은 불만을 야기했던 액티브 엑스에 대해 정부는 지난 2016년 공인인증서를 위한 액티브 엑스 프로그램 설치 의무화 법안을 폐지했다. 따라서 현재는 액티브 엑스에 기반 하지 않고도 공인인증서 사용이 가능해졌다.

이와 더불어 공인인증서 사용시 분실이나 유출 사고에 대한 우려도 크다. 공인인증서엔 일련번호, 소유자·인증기관 식별명칭, 소유자의 공개키 등 중요한 정보가 포함돼있다. 유출이나 해킹 시 중요한 개인정보가 유출될 수 있는 것이다. 지 학우는 “공인인증서에 많은 정보가 들어가 있어 유출될 상황을 방지하기 위해 핸드폰과 컴퓨터엔 공인인증서를 설치하지 않고 USB에 저장해 사용하고 있다”고 말했다.
 
공인인증서 의무화가 만든 득과 실
「전자금융거래법」 제21조에선 전자금융거래 인증방법으로 공인인증서만을 규정하진 않고 있다. 이는 보안·인증업체 간 경쟁을 통해 해당 기술의 발전을 꾀하고자 함이다. 하지만 금융위원회가 제정한 전자금융감독규정에 따라 2002년부터 공인인증서 사용이 의무화됐다. 1년 후 6개의 인증기관이 공인인증서로 인증방법을 통일시키면서 공인인증서는 더욱 확산되기 시작했다. 하나의 공인인증서로 온라인상에서 활용가능한 모든 전자서명의 사용이 가능해졌다. 나아가 정부는 인터넷 뱅킹과 온라인상의 주식 거래 시 공인인증서를 의무적으로 실행하도록 했다. 이후 2006년 제정돼 2007년 처음 시행된 「전자금융거래법」을 통해 모든 전자금융거래에 있어 공인인증서를 사용할 것을 공표했다.

공인인증서 사용이 의무화 되면서 인터넷 뱅킹이 급속도로 퍼졌다. 김 교수는 “공인인증서가 금융권에서 인증의 기준이 되면서 인터넷 뱅킹 개발자들이 보안방식에 대해 고려하지 않을 수 있었다”며 “이에 사람들이 쉽게 인터넷 뱅킹을 활용하고 서비스를 제공받을 수 있게 됐다”고 말했다.

하지만 공인인증서 의무화정책은 온라인상에서의 보안 기술을 정체시키기도 했다. 인증제도로 공인인증서만 이용돼 보안 업체 간의 경쟁을 통한 보안 기술의 성장이 이뤄지지 않았다. 이는 해킹에 대한 위험으로 이어졌다. 2005년 정보통신부는 이러한 문제점을 해결하고자 전자금융거래 안정성 강화 종합대책을 마련했다. 공인인증서의 사용률을 줄이기 위해 카드 회사에 따라 공인인증서 사용 여부를 달리하고 거래 위험이 없는 항공사 예매는 공인인증서 사용을 제외하는 대책이었다. 김 교수는 “금융권에서 사용자를 위해 새로운 인증방식을 만드는 것에 대한 경쟁이 이뤄지지 않았다”고 말했다.

새로 인증방식이 도입되기 위해 풀어야할 숙제
지난 1월 22일(월) 문재인 대통령은 규제 혁신 토론회에서 공인인증서 제도를 폐지하겠다고 발표했다. 하지만 공인인증서를 폐지하려는 노력에도 불구하고 이를 대체할 수 있는 전자서명이 존재하지 않아 금융거래에선 아직까지 공인인증서를 사용하고 있다.

대체 인증기술로 대두되고 있는 생체인증은 공인인증서와 인증방식이 다르다. 공인인증서는 문서의 변조를 확인할 수 있는 메시지 인증과 사용자 인증이 모두 가능하지만 생체인증은 사용자 인증만 가능하다. 김 교수는 “공인인증서를 완전히 대체할 수 있는 것은 없지만 사설인증서가 대안이 될 수 있다”고 말했다. 한 교수는 공인인증서와 사설인증서의 차이에 대해 “사설 인증서와 공인인증서의 차이는 책임의 주체에 있다”며 “사설인증서는 거래 당사자 사이의 계약에 따라 책임 범위가 정해지지만, 공인인증서의 경우 원인 입증 책임은 서비스 제공자에 있다”고 설명했다.

블록체인기술과 생체인증은 모두 사용자 인증만 가능하다는 점에서 현재로서는 인증방식에 사용될 수 없다. 한 교수는 “공인인증서 전면 폐지에 따른 불편함을 해소시킬 수 있는 제도나 기술의 개발이 필요하다”고 말했다.

지난 16년간 공인인증서는 서비스 부문을 막론하고 온라인에서 본인을 인증하기 위한 수단으로 이용됐다. 그러나 기술이 발전함에 따라 사용자들은 더욱 편리한 인증방법을 원했고 공인인증서는 폐지될 위기에 처했다. 공인인증서는 현재까지 가장 신뢰할 수 있는 인증방법이다. 하지만 공인인증서 의무화 정책이 낳은 폐단에서 볼 수 있듯이 공인인증서만을 유일한 인증방법으로 생각하는 것은 위험하다. 새로운 보안·인증기술이 발전할 수 있는 토양을 만들 때 더 나은 미래를 꿈꿀 수 있기 때문이다.

*전자서명: 송신자가 전자문서를 보낼 때 받는 사람의 신원을 확인하고 문서 내용에 대한 위조·변조 여부를 확인하기 공인인증서를 기반으로 만들어진 인증방식

*플러그인: 웹 브라우저의 일부로 추가적인 기능이 필요할 때 설치하는 프로그램