인터넷뱅킹에서 공인인증서를 의무적으로 사용하도록 했던 규정이 18일자로 폐지됐다. 그럼 이제 공인인증서를 안 써도 되는 걸까?
결론부터 말하자면, 꼭 그렇지는 않다. 그럼 대체 뭐가 달라졌다는 거냐고? 허핑턴포스트가 공인인증서 사용의무 폐지에 대한 내용을 5개의 문답으로 정리했다.
1. 뭐가 폐지됐다는 건가?
전자금융거래에서 ‘공인인증서를 꼭 써야 한다’는 내용의 규정이 폐지된 것이다. 당신이 지금까지 좋으나 싫으나 인터넷뱅킹에서 공인인증서를 써야만 했던 이유는 바로 이 조항 때문이었다.
제37조(공인인증서 사용기준)
① 모든 전자금융거래에 있어 「전자서명법」에 의한 공인인증서 또는 이와 동등한 수준의 안전성이 인정되는 인증방법(이하 "공인인증서등”이라 한다)을 사용하여야 한다.
금융위원회는 18일 회의에서 이 부분(1~3항)을 개정해 공인인증서 의무사용 규정을 폐지하기로 의결했다. 이 내용은 즉시 시행된다.
2. 이미 폐지됐던 거 아니었나?
지난해에도 공인인증서 의무사용 규정이 폐지된 바 있다. 그때 사라진 건 인터넷쇼핑 부분에서의 의무사용 규정이었다. 인터넷쇼핑몰에서 30만원 이상의 제품을 구입할 때 무조건 공인인증서로 서명을 하도록 하는 규정이 폐지된 것.
여전히 공인인증서를 요구하는 인터넷쇼핑몰이 없는 건 아니지만, 지금은 공인인증서 대신 ARS(자동응답전화)나 SNS(문자메시지) 같은 방법으로도 인증이 이뤄지고 있다.
이번에는 인터넷뱅킹에서의 의무사용 규정도 사라지게 됐다. 인터넷 쇼핑·뱅킹 같은 전자금융거래에서 공인인증서를 의무적으로 쓰도록 했던 법적 규제는 이제 모두 사라진 셈이다.
3. 그럼 이제 공인인증서가 폐지되는 건가?
흔히 그렇게 이해하기 쉽지만, 공인인증서를 강제로 쓰지 못하게 하는 게 아닌 이상 엄밀히 말해 ‘공인인증서 폐지’는 존재하기 어렵다.
그럼 이게 다 소용 없는 일 아니냐고? 그렇지 않다. 의무사용 규정이 폐지된 것만으로도 충분히 큰 의미가 있다.
- 개정 전 : 인증이 필요하면 공인인증서를 써야 됨! 다른 건 없고 무조건무조건 공인인증서만!
- 개정 후 : 공인인증서 말고 다른 걸 써도 됨! 우리(정부)는 손 뗄 테니 알아서 결정해보길!
지금까지는 금융회사들이 공인인증서 의무사용 규정을 핑계 삼아 보안 관련 혁신 노력을 회피해왔다는 비판이 많았다. 정부가 시키는 대로 공인인증서만 쓰면 되니 (더 안전하고 편리한) 새로운 보안수단을 굳이 개발하거나 채택하려 고민할 필요가 없었기 때문이다.
강정수 연세대 커뮤니케이션연구소 전문위원은 “공인인증서 의무화 조항 때문에 은행 등 금융기관들이 공인인증서만 제대로 쓸 수 있도록 하면 금융사고가 일어나도 면책을 받을 수 있게 됐다”며 “은행이 자체적으로 보안 서비스를 개선하기 위해 노력하기보다 보안의 책임을 소비자에게 떠넘겨 왔다”고 말했다. (동아일보 2014년 10월18일)
정부가 공인인증서라는 하나의 정답을 제시하던 의무사용 규정이 폐지된 이상, 이제는 상황이 달라질 수밖에 없다.
4. 앞으로는 공인인증서를 안 써도 되는 건가?
모두가 가장 궁금해 하는 부분이다. 결론부터 말하자면, 꼭 그렇지는 않다.
일단 금융회사들이 얼마나 의지를 가지고 있느냐가 관건이다. 공인인증서 의무사용 조항이 사라지는 것일 뿐, 사용 자체가 금지되는 게 아니기 때문이다.
금융회사들이 여러 가지 이유를 들어 고객들에게 공인인증서를 계속 요구할 가능성도 있다. 이를테면, 이런 이유들이다.
- ‘공인인증서를 쓰는 고객들이 아직 많기 때문에 당장 바꾸기는 어렵다’
- ‘다른 인증기술들은 아직 안전성을 담보할 수 없으니 당분간은 공인인증서를 쓸 수밖에 없다’
또 한 가지 기억할 게 있다. 공인인증서가 인터넷 쇼핑·뱅킹 같은 전자금융거래에만 쓰이는 게 아니라는 사실 말이다.
인터넷 상에서 ‘자필서명’이 필요한 곳에서는 지금처럼 공인인증서가 계속 쓰일 가능성이 높다. 민원서류를 발급 받을 때나 연말정산 관련 내역을 조회할 때처럼 인터넷 뱅킹·쇼핑이 아니더라도 공인인증서를 요구하는 분야는 여전히 많다.
공인인증서와 전자서명에 대한 내용은 이번에 개정된 내용이 아니라 전혀 다른 법 조항인 전자서명법에 담겨 있다. 이번에 시행되는 의무사용 폐지는 이 부분과 아무런 관련이 없다.
5. 엄살? 은행들은 왜 망설이나
의무사용 규정 폐지가 예고되자 은행들은 걱정과 우려를 쏟아냈다.
또 다른 은행 관계자는 “공인인증서가 지금은 폐지돼야 할 규제의 온상으로 지목되고 있지만 안정성 면에서는 이를 따라갈 만한 수단이 없다”며 “공인인증서보다 안전성이 떨어지는 인증기술을 사용하다 금융사고라도 발생하면 그에 대한 보상은 고스란히 은행이 져야 하기 때문에 고민이 많다”고 걱정했다. (머니위크 3월3일)
엄살을 부리고 있는 걸까? 꼭 그렇다고 볼 수는 없다. 김승주 고려대 정보보호대학원 교수는 허핑턴포스트코리아와의 통화에서 이렇게 말했다.
(공인인증서를 그대로 쓰겠다는 것도) 결국 은행들의 선택이기 때문에 존중해줘야 한다고 본다. 은행들을 압박해봤자 소용없다. 오히려 문제는 다른 데 있다.
만약 은행들이 지금처럼 공인인증서를 쓰다가 금융사고가 났다고 해보자. 그렇다면 예전처럼 ‘은행은 할 수 있는 최선의 보안조치를 다 했다’면서 면죄부를 줄 것인지, 아니면 ‘(공인인증서 말고도) 여러 가지 보안수단이 있는데 보안조치를 충분히 안 했다’면서 죄를 물을 건지? 만약 죄를 묻는 방향으로 간다면 은행들도 움직일 수밖에 없을 것이다.
이건 법조계에 있는 분들이 명확히 판단해줘야 하는 부분이라고 본다. 이 부분에 대한 법적인 해석이나 연구, 논의가 활발히 진행될 필요가 있다. 의무사용을 강제하는 법이 사라졌으니 이제는 다음 스텝으로 가는 거다. 법은 바뀌었는데, 그럼 어떻게 적용할 거냐는 얘기다.
공인인증서가 전자금융거래를 독점하던 시대는 끝났다. 그러나 공인인증서의 시대는 당분간 더 이어질 수밖에 없다. 당신이 원하든, 원하지 않든.