'공인' 떼는 인증서…편의성 높인 사설업체 무한경쟁

23년 만에 독점 권한 폐지…발급과정 복잡하고 호환 안 돼 수년간 비판적 의견
카카오페이 등 대안 인증 등장…네이버·토스 서비스 출범 예고
기존 공인인증서도 사용 가능…유효기간 늘고 자동 갱신 추진

지난달 20일 열린 20대 국회 마지막 본회의에서 정보통신기술(ICT) 산업계의 해묵은 현안이 대거 처리됐다. 그중 하나가 공인인증서의 폐지를 다루는 전자서명법 개정안이다.

인터넷 전자상거래 등에 필수적이었지만 각종 문제로 논란이 끊이지 않던 공인인증서가 1999년 도입 이래 23년 만에 '공인' 자격을 잃게 되면서 사설 인증서 시장이 더욱 확대될 전망이다.

◆2014년 천송이 코트 논란

인터넷 뱅킹은 물론 온라인 증권거래, 30만원 이상 전자 상거래에서 신용카드 결제, 계좌이체에 사용되는 '공인'인증서란 말 그대로 한국정보인증, 코스콤, 금융결제원, 한국전자인증, 한국무역정보통신 등 국가기관에서 발급한 인증서만 국가가 공인한 인증서라는 의미로 쓰인다. 올해 2월까지 누적 발급 건수가 4천293만7천여건에 달한다.

이번 개정안으로 통해 공인인증서의 공인이라는 지위가 사라지고 민간 사업자가 발급한 다양한 인증서도 동등한 지위로 갖게 된다. 공인인증서의 공인 자격이 사라지는 셈이다.

공인인증서가 수모를 겪는 데에는 2014년 '천송이 코트' 논란이 결정적이었다. 중국에서 큰 인기를 끌던 SBS 드라마 '별에서 온 그대'의 주인공 천송이(전지현)이 입던 코트를 중국인이 사려고 했지만 공인인증서 때문에 살 수 없었다고 공개 비난을 박근혜 전 대통령이 규제개혁 끝장 토론회에서 쏟아냈기 때문이다.

정부는 그해 5월부터 공인인증서를 의무적으로 사용해야 한다는 규정을 없앴다. 그러나 공인인증서를 둘러싼 논란은 계속됐다. 연말정산을 위해 접속하는 국세청 홈페이지 등 국가기관들은 여전히 공인인증서를 고집했다. 국가에서 발급한 공인인증서를 공공기관이 무시할 순 없었다. 금융사들도 해킹사고가 발생할 경우 책임 소재와 배상 문제로 인해 공인인증서를 사용할 수밖에 없었다.

◆보안 문제 등 태생부터 취약점 노출

공인인증서를 처음 도입한 취지는 좀 더 안전하게 인터넷 뱅킹과 전자상거래를 이용하자는 것이었다. 나름대로는 선구적인 역할을 해왔다. 하지만 보안 문제 등 태생적 한계를 극복하긴 어려웠다. 하드 디스크나 USB에 담아 쓰는 공인인증서는 그 자체가 해킹 위험에 노출돼 있다는 우려가 끊이질 않았고, 공인인증서를 사용하기 위해 필수적인 액티브X는 공인인증서의 불편함을 더욱 부추겼다.

앞서 정부는 2006년 전자금융감독규정 개정으로 모든 전자금융거래에서 공인인증서 사용을 전면 의무화한 바 있다. 이로 인해 전자상거래를 이용하는 모든 시민이 액티브X 기술을 통한 공인인증서 프로그램 설치 해야 했다. 액티브X란 웹브라우저(인터넷 익스플로러) 기능을 확장하기 위한 프로그램 말한다. 사용자는 추가 기능을 위해 특정 프로그램을 PC에 반드시 설치해야 한다.

하지만 크롬, 파이어폭스 등 다른 웹브라우저와 호환이 되지 않아 불편함이 컸고 스마트폰이나 태블릿 컴퓨터에서도 사용할 수도 없었다. PC에 직접 설치해야 하는 특성을 악용한 보안 사고에도 끊임없이 노출되면서 이용자들의 외면을 받아왔다. 액티브X를 가장해 악성코드를 심거나 개인정보를 빼간다는 우려가 컸다.

◆사설인증서 시장은 어떻게?

공인인증서가 공인 타이틀을 내려놓으면서 사설 인증서 시장이 춘추전국시대를 맞았다. 현재 시민들이 주로 이용하는 사설인증서는 카카오페이가 운영하는 카카오페이 인증서와 이동 통신 3사와 협업하는 핀테크 보안기업 아톤의 패스(PASS) 인증서가 있다.

2017년 7월 출시한 카카오페이 인증은 1천만명 이상이, 지난해 4월 출시한 패스 인증은 2천800만명이 사용하는 것으로 알려졌다. 이 밖에도 은행연합회가 2018년 출시한 뱅크사인(이용자수 약 30만명)이 있으며 네이버와 토스 등이 새로운 서비스 출범을 예고하면서 경쟁이 더욱 치열해질 것으로 예상된다.

이용자들이 다양한 인증서를 사용하면 시장 경쟁이 촉진된다는 장점이 있다. 좋은 서비스를 만든 곳이 결국 살아남을 것이라는 전망이 앞선다. 실제 이번 개정안은 공인인증기관, 공인인증서, 공인전자서명 개념과 기술적 요건들을 삭제하면서 창의적이고 다양한 전자서명 수단이 나올 토대를 마련했다는 평가를 받는다.

이 밖에도 전자서명의 신뢰성을 높이고 소비자들의 합리적 선택에 필요한 정보를 제공하기 위해 전자서명인증업무 인정·평가제가 도입되며 정부의 관리·감독도 최소화될 것으로 전망된다.

다만 사설 인증서가 확대되면서 보안 사각지대가 발생하는 것 아니냐는 우려도 나온다. 이에 전문가들은 더 안전하고 사용하기 편한 기술 경쟁이 본격화되면 결국 쓰기 좋고 안전한 기술이 소비자의 선택을 받게 될 것이라고 내다보고 있다.

◆ 공인인증서의 변화도 기대

공인인증서의 자체 변화도 기대된다. 개정안이 통과돼도 지금까지 사용하던 공인인증서는 그대로 사용할 수 있다.

공인인증서 발급 기관인 금융결제원은 법률 개정안이 국회를 통과하자 여러 가지 개선안을 내놨다.

우선 인증서 발급 절차를 대폭 개선한다. 지금은 은행별로 인증서 발급 절차가 제각각이라 어떤 은행은 공인인증서를 발급하는 절차가 10단계 이상이기도 하다. 금융결제원은 앞으로는 절차를 간소화하고 단일화하겠다고 밝혔다.

복잡했던 비밀번호도 단순화되고 인증서 유효기간도 길어진다. 지금은 고작 1년에 불과해 해마다 갱신해야 하는 불편함이 따랐다.

불만이 잇따르자 결제원은 유효기간을 3년으로 늘리고 자동 갱신 제도를 도입할 계획이다. 결제원은 비밀번호도 여섯 자리 숫자로 구성된 핀(PIN) 방식으로 변경하고 지문, 안면, 홍채 인식 등 다양한 인증 방식을 도입하겠다는 계획을 세웠다.

보안 취약하다고 지적받아온 인증서 보관방식도 결제원 클라우드에 보관하는 방식 등으로 변화를 맞을 전망이다.