[월요논단] 공인인증서 강제 규제의 물꼬를 트며

[월요논단] 공인인증서 강제 규제의 물꼬를 트며

 한국의 미래 경쟁력은 ‘나 홀로의 규제’ 개선에 달려 있다고 해도 과언이 아니다. 지난 1995년부터 2000년까지 벤처기업의 질풍노도와 같은 발전시기에 한국은 세계 인터넷 강국으로 갑작스럽게 부상했다. 그러나 기술을 해결할 역량은 있었지만 제도를 만드는 경험은 모자랐다. 공인인증서 기반 인터넷 금융이나 제한적인 본인확인제(인터넷 실명제), 게임물 사전등급제, 플러그인방식의 보안모듈 등은 한국이 앞서 제도화한 규제들이다. 특히 플러그인 보안 모듈은 당시 부족한 인터넷 웹브라우저 보안기능을 보완한 세계에서 가장 앞선 시도였다.

 그러나 2000년 이후 동일한 수준의 보안 기술인 보안접속(SSL)이 웹 브라우저에 내장되기 시작했다. SSL은 국제결제은행 산하 은행규제감독위원회(바젤위원회)가 권고하는 상호인증 기능으로서 피싱 등 온라인 금융피해 위험을 줄이고 액티브X 등 특정 보안프로그램을 사용할 필요가 없어 보안상 획기적인 진전을 가져왔다.

 성공은 실패의 어머니인가. 한국은 앞서가기는 했지만 후발 국가들이 채택한 더욱 발전한 제도 채택을 홀로 배제함으로써 자신을 ‘디지털 갈라파고스(디지털 고립국)’로 만들어 버렸다. 낙후된 규제로 인해 한국은 보안에 취약한 액티브X의 최다 사용국, 웹 표준 미준수 압도적 1위국, 바이러스에 가장 취약한 나라가 되었던 것이다. 특히 무선 인터넷은 경제협력개발기구(OECD) 소속 국가 중에서도 가장 낙후된 국가로 전락했다. 실제로 OECD 주요국 무선 인터넷 평균보급률은 20%대에 육박하지만 한국은 지난해 말 현재 1%대에 불과하다. 정부 규제는 한술 더 떠 이번에는 스마트폰에서도 공인인증서 사용을 강제하는 경지에 도달했다.

 그러나 아이폰 혁명이라는 시대적 환경과 더불어, 기업호민관실은 공인인증서 사용 강제를 막을 수 있는 결정적인 근거 자료 4개를 확보했다. 우선 영국 옥스퍼드대학과 케임브리지대학에서 ‘한국 인터넷 금융보안’이라는 제목의 논문을 공동으로 발표했다. 이 논문은 한국 인터넷뱅킹에서 일률적으로 사용하고 있는 공인인증서가 SSL과 일회용 비밀번호 생성기(OTP)를 결합한 국제 통용 보안시스템보다 불편할 뿐 아니라 보안상 유리하지 않다는 이론적 근거를 제시했다. 한국금융보안연구원이 발표한 ‘해외 인터넷 뱅킹 보안조사’ 보고서도 대부분 나라들이 SSL과 OTP 결합식 보안체계 등을 채택하고 있다고 입증했다. 특히 바젤위원회는 ‘전자 금융에 대한 바젤협약’이라는 보고서에서 기술 발전을 감안할 때 국가는 특정 보안기술을 강요하지 않아야 하며 은행이 반드시 보안체계를 자율에 따라 선택 사용할 수 있도록 해야 한다고 선언했다. 마지막으로 마이크로소프트(MS)도 자사 공식 인터넷 홈페이지에 ‘보안목적으로는 액티브X(공인인증서에 사용되는 프로그램)를 사용하지 말고 SSL 등 국제적으로 통용되는 기술을 사용하라’고 권고했다.

 이러한 근거 자료를 바탕으로 기업호민관실은 10년 묵은 규제를 해결하는 물꼬를 트게 됐다. 전자금융에 공인인증서 사용을 강제하는 정책이 일단 취소된 것이다. 이 과정에서 내공이 깊은 누리꾼들의 적극적인 참여와 국무총리실의 결단이 크게 작용했다. 지난 주에는 이 분야의 세계적권위자들이 참석한 국제 세미나가 호민관실 주최로 개최돼 세계적 흐름을 토론했다. 이제는 상식과 국제 표준에 입각해 제도가 재정비돼야 한다. 규제 부처들도 겸허히 우리가 무선 인터넷 후진국임을 인정하고 다시 시작하는 자세로 ‘나홀로 규제’를 재고할 시점이라고 생각한다.

 이민화 기업호민관 mhlee@homin.go.kr