"공인인증서 완전 폐지"를 약속한 문재인 후보 덕분에 이 문제가 다시 관심 대상이 되고 있네요. 평소 공인인증서 제도를 옹호해 오시던 분들께서도 다시 발언을 하고 계시고요. 오해를 줄이는 차원에서 몇 가지만 첨언하겠습니다.

1.

공인인증서 사용을 정부가 강제해온 기간은 2002년 9월부터 2015년 3월 18일까지 12년 6개월 동안이었습니다. 특정 기술의 사용을 정부가 업계와 국민에게 강요하면서 "지원", "진흥", "촉진"한 기간이 12년 6개월이라는 말이지요. 그동안 경쟁 기술은 한국에서 발을 붙이지 못했고요.

2.

"전자금융거래" 분야에서 공인인증서 사용 강제 규정은 2015년 3월 18일자로 모두 삭제되었습니다(금융거래 외의 여러 다른 분야에서는 여전히 공인인증서 사용이 법으로 강제되는 경우가 많이 있습니다만). 특정 기술 사용을 강제하는 규정을 없애고 기술 선택의 자유를 부여한다고 해서 시장이나 업계에 혼란이 오는 것은 아니라는 점은 지난 2년간 실제로 입증되었습니다. 사실, 혼란이 너무나 없어서 강제규정이 삭제되었는지도 모르는 분들이 대부분이지요.

3.

문재인 후보의 "공인인증서 완전 폐지" 공약은 인증/서명 기술에 정부가 더 이상 개입, 간섭, 통제하지 않겠다는 뜻이라고 저는 이해합니다. 즉, 정부가 특정 업체를 더 이상 "공인"하지 않겠으니 모든 업체는 시장에서 그 신뢰성을 인정받으라는 것이지요. 따라서 공인/사설의 구분이 없어지고, 다양한 당사자인증/서명 기술 업체들은 모두 대등한 업체로 공평하게 경쟁하게 되겠지요. 새로운 기술력을 구비한 업체가 시장에 등장하여 차별없이 경쟁할 수 있게 된다는 점은 의미가 크다고 봅니다.

문재인 후보의 공약은 PKI기술이나, 디지털인증서 기술, 디지털서명 기술 등 기술 자체에 대한 비난이나 부정적 평가가 아닙니다. 이 모든 기술과 그 외의 경쟁 기술들이 모두 대등하고 당당하게 국내 시장 뿐 아니라 세계 시장에서 경쟁하라는 뜻입니다. 정부가 특정 기술을 "공인"하는 식으로 편들어 주는 일은 그만하겠다는 뜻입니다.

4.

문재인 후보 연설 중, 가장 중요한 내용은 "'전자금융거래법'을 개정해서 본인이 모르는 계좌이체가 발생해도 공인인증서만 사용했으면 사실상 금융회사가 면책되는 이런 잘못된 현실을 개선하겠습니다"라는 부분입니다. 금융회사의 극렬한 반대 로비가 예상되지만, 이 문제가 개선되지 않으면 한국의 금융회사는 "더 나은 보안 기술"에 투자할 인센티브가 전혀 없기 때문에 보안 시장이나 보안 기술이 성장하지 못합니다. 보안 기술이 활발하게 발달하고, 보안 기술 인력이 제대로 대접받으려면, 금융회사들이 허접한 보안 기술로 생긴 사고거래에 대한 책임을 지도록 제도가 마련되어야 합니다. 사고가 나도 "소비자에게 중과실이 있었다"면서 책임을 소비자에게 떠넘길 수 있으면, 금융회사가 미쳤다고 더 나은 보안 기술을 도입하기 위하여 투자 하겠습니까? 불행하게도, 전자금융거래법은 지금까지 금융회사의 배상책임을 면제하는 용도로만 사용되어 왔습니다.

문재인 후보의 공약은 공인인증서에 방점이 있는 것이 아니라, 금융회사들이 그동안 무수한 소비자들이 당한 보이스 피싱 피해(매년 수천억원 가량의 피해)를 나 몰라라 해왔던 정의롭지 못한 사태를 더 이상 방치하지 않겠다는 내용입니다. 이때까지는 사고가 나면 피해자가 조롱당하고, 피해자가 뒤집어써야 했는데, 앞으로는 금융회사에게 책임을 묻겠다는 뜻입니다. 그러면 더 나은 기술에 투자하겠지요(보이스피싱에 매우 취약하다는 사실이 여러해 동안 거듭 확인된 보안카드+공인인증서 기반의 전자금융거래 기술을 그래도 계속 쓸지는 각 은행이 결정하겠지요 ^^).

인증, 보안 기술 분야에 종사하시는 분들은 문재인 후보의 공약이 보안 기술의 발전이나 소비자 보호에 어떤 의미를 가지게 될지를 잘 생각하셔서 자신의 입장을 정하시면 좋겠습니다.

* 이 글은 필자의 페이스북에 실린 글입니다.