"그는 공인인증서 없는 한국인처럼 울었다"
'슬픔의 최상급 표현'이라는 제목으로 유명해졌던 한 트윗이다.
대선 유력 주자인 문재인 더불어민주당 전 대표도 한국인들의 이 깊은 슬픔을 알고 있는 게 분명하다. ICT(정보통신기술) 공약 중 하나로 '공인인증서 없는 인터넷 환경'을 내세운 것.
문 전 대표는 2일 오후 'ICT 현장 리더 간담회'에 참석하기에 앞서 이런 구상을 밝혔다. "공인인증서 제거를 적극 추진하고 모든 인증서가 시장에서 차별 없이 경쟁할 수 있도록 하겠다"는 내용이다.
또 그는 "정부가 관리하는 모든 사이트에서 액티브엑스(ActiveX)를 없애고 새로 제작하는 정부·공공사이트는 예외없이 노플러그인 정책을 관철할 생각"이라고 밝혔다.
자, 그렇다면 대체 무엇을 어떻게 바꾸겠다는 이야기인지 하나씩 살펴보자.
① 공인인증서
한국인의 필수품, 공인인증서...(...)
바퀴벌레 같은 생명력을 자랑하는 공인인증서는 오랫동안 국내 IT 부문 규제의 상징처럼 인식되어 왔다.
많은 전문가들이 그동안 수없이 지적해왔던 것처럼, 문제의 핵심은 간단하다. 정부가 '공인인증제도'라는 이름으로 지정해놓은 것을 뺀 나머지 인증 기술이 활용되지 못하고 있는 것. 정부가 '이게 제일 안전하다'며 단 하나의 기준을 강제해왔기 때문이다.
이 때문에 소비자들은 은행이나 보험사나 정부 홈페이지 등에서 본인인증을 하려면 공인인증서 말고는 다른 선택의 여지가 없었다. 금융회사나 정부 기관들이 오로지 '공인인증서'만 본인인증 방법으로 인정했기 때문.
더 큰 문제는 따로 있었다. 소비자들은 공인인증서 해킹이나 탈취 등으로 인한 피해를 당해도 보상 받을 길이 없었다. 금융회사들은 '정부가 시키는 대로 공인인증서로 본인인증을 했으니 우리는 할 일을 다 했다. 공인인증서를 관리 못한 책임은 소비자에게 있다'고 말하면 책임에서 벗어날 수 있었다.
따라서 우선 문제 해결의 첫 걸음은 정부가 단 하나의 본인인증 방법을 강제하지 않는 것에서 시작된다. 은행도, 보험사도, 정부도 자율적으로 본인인증 수단을 결정하도록 하자는 것.
그렇게 하면 기술 수준, 안전성 등을 고려해 각자 알아서 가장 좋다고 판단되는 인증수단을 골라서 쓸 수 있게 된다는 취지다. 더 좋은 기술이 나오면 곧바로 반영할 수 있는 여지도 있다.
"모든 인증서가 시장에서 차별 없이 경쟁할 수 있도록 하겠다"는 문 전 대표의 말도 이런 맥락에서 나온 것으로 풀이된다.
문재인 전 대표가 2012년 대선에서 밝혔던 '공인인증제도 폐지' 공약(1)도 똑같은 내용이다. 한 번 살펴보자. (이는 안철수 캠프 측의 공약을 전면 수용한 것이었다. 원문은 여기)
- ‘공인인증기관' 및 ‘공인인증제도'를 정부가 지정하지 않으며, 국제표준에 기초한 ‘금융거래 보안기술 평가점수'를 부여하여 보안 부실을 방지
- 은행, 카드사 등이 인증/보안기술을 자율적으로 선택
- 다양한 보안기술이 국제수준으로 진일보하도록 경쟁 환경 조성
(1) 혼동하기 쉽지만 '공인인증서 폐지'가 아니라 '공인인증제도 폐지'다. 공인인증서의 사용을 완전히 금지하자는 게 아니라 공인인증서를 의무적으로 쓰도록 하는 규제를 폐지하자는 뜻이기 때문이다.
그렇다면 금융사고 발생시 금융회사들의 '면책' 부분은?
문재인 전 대표는 이날 간담회에서 "전자금융거래법을 개정해 본인이 모르는 계좌이체가 발생해도 공인인증서만 사용됐으면 사실상 금융회사가 면책되는 잘못된 현실을 개선하겠다"고 밝혔다. 문제의 핵심을 정확하게 짚었다고 할 수 있다.
2012년 대선에서 당시 박근혜 후보 측도 '글로벌 표준에 맞는 다양한 공인인증서비스를 허용하겠다'는 공약을 냈다. 이 공약은 부분적으로 달성된 상태다.
박근혜 정부는 인터넷 쇼핑에서 결제금액이 30만원 이상일 경우 공인인증서를 무조건 쓰도록 했던 규제를 폐지했다. 이어 인터넷 뱅킹에서도 공인인증서 의무사용 규정을 삭제했다.
또 소비자가 공인인증서 해킹이나 탈취 등으로 피해를 당할 경우, 금융회사들이 사고 책임을 소비자에게 떠넘길 수 없도록 관련 약관도 수정하도록 했다. (다만 관련법의 해당 조항(2) 자체를 개정한 건 아니었다.)
(2) 전자금융거래법제9조 등
그러나 아직도 많은 금융회사와 정부 기관들이 '대안이 없다'는 등의 이유로 공인인증서를 본인인증 수단으로 계속 활용하고 있는 게 현실이다. 일부 대체 기술들이 활용되고는 있지만 아직 많은 이용자들이 변화를 체감하지 못하고 있는 것도 바로 이런 이유 때문이다.
문재인 전 대표의 공약이 실현될 경우, 일례로 금융회사들은 더 이상 공인인증서에만 의존하기 어렵게 된다. 이미 수많은 해킹과 유출 사고가 벌어진 바 있는 공인인증서로 인해 금융사고가 발생할 경우, 그 책임을 상당 부분 부담해야 할 가능성이 높기 때문. 더 안전한 인증수단을 찾아 나서지 않을 수 없게 된다는 뜻이다.
② 액티브X
액티브X...
공인인증서 문제가 거론될 때마다 늘 함께 등장하는 게 바로 '액티브X'다. 마이크로소프트(MS)의 인터넷 익스플로러(IE)에서만 작동하는, MS 마저 내다버릴 만큼 오래되고 낡고 위험하기 짝이 없는 '플러그인'의 한 종류다.
공인인증서는 그 기술 특성상 늘 액티브X를 필요로 했다(3). 다짜고짜 이용자들의 PC에 설치를 강요하는 '보안프로그램 3종세트(방화벽, 키보드보안, 백신)' 역시 대부분 액티브X를 기반으로 작동하도록 설계된다.
(3) 웹브라우저에 내장된 기능으로는 PC 등에 저장된 공인인증서를 불러올 수 없기 때문에 별도의 플러그인을 설치해야만 하는 것. 이 때 한국에서 압도적인 점유율을 기록하고 있는 MS의 IE를 뺀 나머지 웹브라우저에서는 작동하지 않는 플러그인 기술인 액티브X만 지원하도록 한 게 특히 문제가 된다.
이 때문에 '공인인증서 = 액티브X'라는 오해가 널리 퍼져 있는 게 사실이다. 심지어 박근혜 정부는 이른바 '천송이 코트'를 거론하며 '액티브X를 폐지하겠다'고 선언한 뒤 '.exe 파일'이라는 새로운 고통을 선사하기도 했다. 다시 한 번 강조하자면 공인인증서와 액티브X는 별개의 문제다.
그렇다면 문재인 전 대표는 이 문제에 대해 어떤 해법을 가지고 있을까?
이날 간담회에서 그는 "액티브엑스(ActiveX)도 폐지하겠다. 정부가 관리하는 모든 사이트에서 액티브엑스는 물론 일체의 플러그인을 모두 제거하겠다"고 밝혔다.
엄밀히 따지면 '액티브X 폐지'라는 말은 성립하기 어렵다. 액티브X는 규제나 제도의 일종이 아니라, 웹브라우저 플러그인 기술 중 '가장 악명높은 것' 중 하나이기 때문. 따라서 '폐지'는 선언적인 의미로 해석하는 게 옳다.
중요한 건 그 다음 문장이다. 구체적인 실행 방안을 공개한 건 아니지만 "정부가 관리하는 모든 사이트에서" 모든 종류의 "플러그인을 제거하겠다"는 말은 그 자체로 충분히 의미가 있다고 할 수 있다. 서비스를 이용할 때마다 각종 플러그인을 설치하도록 소비자들에게 강요해왔던 관행을 깨는 데 정부가 앞장서겠다는 뜻이기 때문이다.
그동안 정부를 비롯한 국내 인터넷 서비스업체들은 공인인증서 말고도 각종 증명서 발급, (음악, 영화 등) 파일 다운로드, 보안프로그램 설치 등의 작업에 액티브X 같은 플러그인을 이용자들의 PC에 설치하도록 강제해왔다. 설치하지 않으면? 서비스를 이용할 수 없는 경우가 많았다.
사실 새로운 웹표준으로 HTML5가 개발·확산되면서 플러그인을 꼭 써야할 이유는 거의 사라졌다고 할 수 있다. 널리 쓰이는 플러그인 기술은 20년도 넘은 낡은 기술이다. 그럼에도 여전히 많은 정부 기관과 민간 업체들은 액티브X 등의 플러그인에 의존하고 있는 게 현실이다.
서비스 업체나 개발자 입장에서는 플러그인을 활용하면 비교적 간단하고 편리하게 필요한 기능을 실행시킬 수 있다. 별도 소프트웨어를 개발·배포하지 않아도 되니 비용도 비교적 저렴하다. 이미 너무 많은 서비스가 플러그인을 기반으로 개발된 탓에 일종의 관행처럼 굳어진 측면도 있다.
2년 전, 미래창조과학부는 2017년까지 주요 민간 웹사이트에서 액티브X를 퇴출하겠다고 밝혔다. 그러나 여전히 정부기관 홈페이지에서조차 액티브X가 없으면 서비스를 이용할 수 없는 경우가 태반이다.
문재인 전 대표의 말처럼 정부가 모든 정부기관 홈페이지에서 플러그인을 퇴출 시킨다면 어떻게 될까?
정부 홈페이지에서 주민등록등본 발급이나 등기부등본 열람, 연말정산 조회 등을 할 때, 플러그인 따위를 설치하지 않고도 간편하게 업무를 볼 수 있게 된다고 가정해보자. 일단 한 번 그 편리함과 쾌적함을 알게 된 소비자들은 (예를 들어) 네이버 영화다운로드에서 액티브X를 반드시 깔아야 할 이유를 납득하지 못하게 될 것이다.
그렇게 되면 인터넷 서비스 업체나 개발자들도 플러그인을 대체하는 기술을 발 빠르게 적용하지 않을 수 없게 된다. '당장 모두 사라진다'고 장담할 수는 없지만, 적어도 액티브X 등의 플러그인이 퇴출되는 속도가 빨라질 수 있다는 얘기다.