사라지는 ‘전자금융 인감’… 안전한 대체수단은 언제쯤?

[토요기획]공인인증서 도입 15년만에 ‘의무 사용’ 폐지

공인인증서 인증 화면. 은행 등 공인된 인증기관을 통해 인증서를 발급받은 뒤 자신이 설정한 암호를 입력하는 방식으로 본인 인증을 받는다.

“안녕히 계세요. 나 이제 가요. 내가 뭘 그리 잘못했다고 ‘나가라’, ‘없애라’…. 지난 15년간 나름대로 열심히 했는데, 솔직히 서운해요. 대한민국 사람 둘 중 한 명은 나를 만나본 적 있을 거예요. 내가 있어야 언제 어디서든 은행 일도 볼 수 있고, 인터넷 쇼핑도 할 수 있었잖아요. 어디 그뿐인가요. 주민등록등본도 뽑고, 대학교 학점도 조회하고. 아, 군에 지원할 때도 나 없으면 안 돼요. 그런데 이제는 내가 필요 없다고요? 해외파 친구들만큼 ‘쿨’하지 않다고요? 저 때문에 외국인들이 ‘천송이 코트’를 못 산다고 비난하던데, 제가 좀 답답하고 촌스러운 건 인정할게요. ‘액티브X’다 뭐다 이것저것 귀찮게 한 것도 사실이에요. 그런데, 15년간 나만 바라봐 놓고 하루아침에 나 없이 잘 살 수 있을 것 같아요?”

공인인증서의 독점 시대가 막을 내렸다. 지난 15년간 한국에서 인터넷 금융거래나 상거래를 할 때 본인 인증을 하려면 반드시 공인인증서를 이용해야 했다. 일종의 ‘전자 인감도장’인 셈이다. 하지만 전자금융 거래 시 공인인증서 의무 사용을 폐지한 ‘전자금융거래법 개정안’이 16일부터 시행되면서 금융회사는 공인인증서를 의무적으로 사용하지 않아도 된다. 다른 금융보안 수단을 이용할 수 있다.

‘암덩어리 규제’의 대표적인 예로 지목되면서 말도 많고 탈도 많았던 공인인증서의 공고한 독점 체제가 결국 무너지게 된 것이다. 다양한 인증 기술의 도입과 더불어 전자금융과 모바일 결제서비스 등 금융시장의 변화도 예고됐다. 하지만 이미 공인인증서에 기반한 생태계가 공고한 상황에서 외국의 최첨단 금융서비스에 대항할 만한 서비스가 나올 수 있을지 의문이라는 우려도 나온다.

공인인증서의 탄생

“전자금융 거래 시 인감 역할을 하게 될 ‘공인인증 전자서명키’가 이달 첫선을 보인다. 조흥은행은 3일 금융결제원이 이달부터 발급하는 공인인증서를 은행권에서는 최초로 적용해 발급한다고 밝혔다.” 2000년 9월 4일 동아일보에 실린 기사다. 지금은 신한은행에 합병된 조흥은행에서 처음으로 공인인증서를 발급하고 이를 인터넷뱅킹에 이용할 수 있도록 한다는 내용이다. 공인인증서는 1999년 7월 전자서명법과 함께 도입됐다. 2002년 9월부터는 인터넷뱅킹에 가입하는 모든 고객이 공인인증서를 사용하도록 했고, 2003년 3월부터는 온라인 증권거래를 할 때 공인인증서 사용이 의무화됐다.

“공인인증서를 처음 만들었을 때 ‘1000만 명 보급운동’이라는 게 내부적으로 있었습니다. 매일매일 몇 건이 발급됐는지 보고를 받았죠. 1000만 명에게 보급하려면 인증기관도 5곳은 필요하다고 생각해 그렇게 만들었고요.” 김승주 고려대 정보보호대학원 교수는 한국인터넷진흥원(KISA·옛 한국정보보호진흥원)에서 암호기술팀장으로서 공인인증서 개발에 관여했지만 지금은 공인인증서 의무화 폐지에 앞장서고 있다. 그는 “당시 정보통신부는 정권이 바뀔 때마다 존폐 위기에 몰렸었다”며 “초고속 인터넷통신망을 까는 걸로는 확실한 존재 이유가 안 됐고, 그래서 찾은 게 바로 ‘공인인증서’였다”고 말했다. 정보통신부가 확고한 입지를 다지기 위해 공인인증서 보급에 매달렸다는 것이다. 김대중 정부의 주력사업인 ‘전자정부’ 사업도 공인인증서 확대에 한몫했다. 김 교수는 “전자정부 민원에는 원래 유료인 범용 공인인증서를 써야 하지만, 공인인증서를 많이 보급하기 위해 무료인 인터넷뱅킹용 공인인증서를 쓸 수 있게 했다”고 덧붙였다.

정부의 노력에 힘입어 2006년 공인인증서 발급건수는 1000만 건이 넘었고, 매년 꾸준히 증가해 올해 들어서는 9월 말 현재 3053만 건이 넘게 발급됐다.

크게보기

공인인증서 명(明)과 암(暗)

“지금 바로 이체할게. 축의금 좀 부탁해.” 직장인 김희은 씨(31·여)는 윤달을 앞두고 결혼식이 집중되면서 축의금을 보낼 일이 많다. 결혼식장에 가지 못할 때는 지인 편에 축의금을 전달한다. 은행이 문을 닫는 주말이든, 한밤중이든 걱정이 없다. 공인인증서만 있으면 언제든 계좌이체를 할 수 있기 때문이다. 국내에서 공인인증서를 이용하는 분야는 다양하다. 인터넷뱅킹 등 온라인 금융 거래뿐만 아니라 전자 민원, 공과금 수납 등 공공 분야와 교육행정정보시스템, 인터넷 주주총회에 이르기까지 본인 인증이 필요한 여러 분야에서 광범위하게 사용되고 있다. 한국은행이 발표한 ‘국내 인터넷뱅킹 서비스 이용 현황’에 따르면 올해 2분기(4∼6월) 인터넷뱅킹 서비스 등록자(동일인 중복 합산)는 9949만 명으로 1억 명에 육박했다.

공인인증서는 비교적 안전한 보안기술로 평가 받는다. 지난 15년간 해커가 금융회사 전산망의 방호벽을 뚫고 들어와 공인인증서를 빼내가는 해킹 사례는 단 한 건도 없었다. 높은 수준의 암호화 기술로 공인인증서를 철저하게 보호하고 있기 때문이다. 우리나라 공인인증서는 카메룬, 케냐, 이란, 베트남, 몽골, 필리핀 등으로 수출되기도 했다.

하지만 공인인증서를 발급받은 개인의 관리 소홀로 공인인증서가 유출되는 사례는 점점 늘고 있다. 16일 국회 정무위원회 소속 김태환 새누리당 의원이 금융감독원에서 제출받은 ‘은행별 공인인증서 유출로 인한 폐기 현황’ 자료에 따르면 공인인증서가 유출돼 폐기된 건수는 2012년 8건에서 지난해 5871건으로 급증했고, 올해에도 8월 말까지 1만5376건이 유출된 것으로 나타났다. 드물기는 하지만 이렇게 유출된 공인인증서를 손에 넣은 사람이 공인인증서의 비밀번호까지 알아낼 경우 계좌이체나 카드 이용 등의 피해로 이어질 수 있다. 공인인증서 유출이 늘고 있는 것은 휴대전화나 하드디스크에 공인인증서를 저장하는 이용자가 많기 때문이다. 한국인터넷진흥원의 ‘2013년 대국민 전자서명 이용실태 조사’에 따르면 이용자의 42.1%가 PC 하드디스크에 공인인증서를 저장해 쓰는 것으로 나타났다. 가장 안전한 것으로 평가받은 보안토큰을 이용하는 사용자는 전체의 1.4%에 불과했다.

이처럼 공인인증서 유출 사고가 계속되자 금융결제원, 한국정보인증, 코스콤, 한국전자인증, 한국무역정보통신 등 5개 공인인증기관은 공인인증서의 이용 안전성을 높이기 위해 비밀번호를 8자리에서 10자리로 늘렸다. 지난달부터 새로 공인인증서를 발급받거나 갱신하려면 10자리 이상으로 숫자나 영문, 특수문자가 반드시 포함된 비밀번호를 사용해야 한다.

이런 이유 등으로 공인인증서는 최근 ‘동네북’이 됐다. 외국인들의 국내 온라인 쇼핑을 가로막는 주범으로 몰리는가 하면 중국의 ‘알리페이’, 미국의 ‘페이팔’과 같은 혁신적인 금융 서비스가 나오지 못하게 된 원인으로도 지목됐다. 김 교수는 “공인인증서가 금융보안 서비스를 독점하게 되면서 사설인증 시장이 완전히 죽어버렸다”며 “페이팔의 원클릭 서비스나 애플페이의 지문인식 시스템 등을 보면 알 수 있듯이 이들은 사용자의 편리성을 높이기 위해 부단히 노력하는 데 반해 우리는 15년째 제자리에 머물러 있다”고 지적했다. 강정수 연세대 커뮤니케이션연구소 전문위원은 “공인인증서 의무화 조항 때문에 은행 등 금융기관들이 공인인증서만 제대로 쓸 수 있도록 하면 금융사고가 일어나도 면책을 받을 수 있게 됐다”며 “은행이 자체적으로 보안 서비스를 개선하기 위해 노력하기보다 보안의 책임을 소비자에게 떠넘겨 왔다”고 말했다.

공인인증서가 액티브X를 활용한다는 점도 오랫동안 문제로 지적돼 왔다. 액티브X는 마이크로소프트의 웹브라우저 기술이라 ‘인터넷 익스플로러’ 외에 구글의 ‘크롬’이나 애플의 ‘사파리’ 등 다른 브라우저에서는 공인인증서를 사용할 수 없다. 이 때문에 유독 한국에서는 ‘인터넷 익스플로러’를 사용하는 이들이 많다. 글로벌 인터넷 통계제공업체인 스탯카운터에 따르면 2013년 9월부터 올해 9월까지 1년간 세계에서 가장 많이 쓴 브라우저는 ‘크롬’(43.84%)이었고 ‘인터넷 익스플로러’는 23.39%로 두 번째를 차지했다. 반면 한국에서는 ‘인터넷 익스플로러’가 75.09%로 압도적이다. 애플의 맥북을 쓰고 있는 강기훈 씨(29)는 “한국에서는 인터넷 익스플로러가 아니면 온라인 쇼핑도, 인터넷뱅킹도 할 수가 없다”고 말했다.

공인인증서의 변화가 필요한 시점이다. 미국에서 사용되고 있는 계산기와 열쇠. 스마트카드 형태의 다양한 보안토큰들. 발급비용이 따로 들지만 금융 사고를 방지할 수 있는 강력한 인증 수단으로 최근 각광을 받고 있다. 사진 출처 위키피디아

공인인증서 ‘그 이후’

공인인증서 의무 사용이 폐지됐지만, 당분간은 이를 대체할 만한 인증 수단이 나오기는 힘들 것이라는 관측이 많다. 소비자들이 공인인증서 사용에 오랫동안 길들여진 데다 사설인증 시장이 없다시피 하기 때문이다. 금융기관도 소극적이다. 한 시중은행의 보안 담당자는 “기존에는 공인인증서 가이드라인만 지키면 됐지만 앞으로는 은행이 자율성을 가지는 만큼 책임도 지게 돼 부담이 되는 것이 사실”이라며 “공인인증서 의무화 폐지 방향은 맞지만, 지금으로서는 공인인증서를 계속 사용할 수밖에 없다”고 말했다. 신한은행 관계자는 “현재 액티브X를 쓰지 않는 공인인증서 사용 환경을 구축하고 있다”며 “앞으로 새로운 인증 수단이 나오면 검토할 것”이라고 밝혔다.

반면 알리페이나 페이팔 등 외국의 전자결제서비스, 국내에서 카카오톡이 내놓은 모바일결제서비스인 ‘카카오페이’ 등의 등장에 긴장한 카드업계는 공인인증서 외에 자동응답시스템(ARS), 문자메시지(SMS) 인증 방식 등을 속속 내놓고 있다. 그동안 공인인증서 의무 사용 규정 때문에 막혀 있던 간편결제서비스도 확대 중이다.

전문가들은 무엇보다 공인인증서 외의 다양한 인증 수단을 통해 시장에 경쟁을 불어넣는 것이 관건이라고 말한다. 김승주 교수는 “아이디와 패스워드만으로 본인 인증을 할 수 있는 간편한 서비스와 비용이 들더라도 보안 수준을 강화해 믿고 쓸 수 있는 서비스 등 소비자가 입맛에 맞게 골라 쓸 수 있는 다양한 인증 수단이 갖춰져야 한다”고 말했다.

해외에서는 대부분 금융기관이 자체적으로 보안·인증 수단을 마련해 제공하고 있다. 김 교수는 가장 안전한 인증 시스템으로 스위스 UBS은행의 일회용 비밀번호(OTP·One Time Password) 생성기 겸용 보안토큰을 들었다. 계좌조회 등에는 OTP를 이용하고 계좌이체 시에는 여기에 담긴 인증서를 함께 이용하는 방식이다. 한 번 발급 받으려면 2만 원 이상의 비용이 들지만, 금융 사고를 방지하는 강력한 인증 수단으로 인정받고 있다.

공인인증서의 벽을 넘으면 다양한 인증 수단을 활용한 새로운 금융상품이 개발될 것으로 기대된다. 강정수 교수는 “이미 외국에서는 모바일 결제 시장에 정보기술(IT) 기업들이 대거 뛰어들어 다양한 서비스를 내놓고 있다”며 “금융회사와 IT 기업들이 공인인증서에 대한 절대적인 의존에서 벗어나 보안성과 편리성을 갖춘 금융 서비스를 개발해야 글로벌 경쟁에서 뒤처지지 않을 수 있다”고 말했다.

신민기 기자 minki@donga.com