[인터뷰] 문재인 정부는 약속대로 공인인증서와 액티브X를 없앨 수 있을까?
공인인증서. 액티브X.
이유도 모른 채 의무적으로 공인인증서를 발급받고 갱신하고 해킹당하고 또 발급받아야만 했던 시간들. 잘 알지도 못하는 프로그램을 어쩔 수 없이, 거의 반사적으로 덕지덕지 설치해왔던 일들. 기껏 입력해놓은 정보가 ‘새로고침 하시겠습니까?’ 한 마디에 모조리 날아가버려 다시 처음부터 모든 걸 다시 적어야 했던 그 깊은 분노와 고통의 순간들.
공인인증서·액티브X 제거 공약을 발표했다. 완성도 높은, 잘 준비된 공약이라는 평가를 받았다. 호응도 컸다. 문 후보는 정책쇼핑몰을 표방한 ‘문재인 1번가’에도 이 공약을 비중있게 소개했다.
오픈넷’ 등에서 활동하며 소송, 법개정 운동 등 오랫동안 공인인증제도 폐지 운동을 벌여왔다. 알 만한 사람은 다 안다는 이 분야 선구자이자, 산증인 같은 존재이기도 하다.
그는 문 대통령이 공인인증서를 “직접 사용하고 있다”고 말했다는 얘기를 꺼냈다. 박근혜 정부에서 공인인증서 의무사용 규정이 이미 폐지됐다는 사실도 잘 알고 있다고 했다. “그런데 왜 안 없어지는 겁니까?” 문 대통령이 물었다. 김 교수가 그 이유를 조목조목 설명했더니 문 대통령은 곧바로 이해했다는 표정을 지었다는 후문이다.
"전자금융거래법을 개정해 본인이 모르는 계좌이체가 발생해도 공인인증서만 사용됐으면 사실상 금융회사가 면책되는 잘못된 현실을 개선하겠습니다."
긍정적. 이 조심스러운 희망을 품기까지, 우리는 대체 얼마나 멀리 돌아왔던 걸까.
다음은 인터뷰 전문이다.
3월2일, 'ICT 현장 리더 간담회'에 참석했던 문재인 대통령의 모습. ⓒ뉴스1
- 문재인 대통령이 후보시절 발표한 ‘공인인증서 제거’, ‘액티브X 제거’ 공약이 높은 관심을 받았습니다. 호응이 컸던 이유가 뭘까요?
근데 사실 공인인증서 문제와 액티브X 문제는 엄격히 말하면 구분해야 될 문제입니다. 액티브X라는 건 그야말로 기술의 문제고요, 공인인증서라는 건 기술이라기보다는 제도의 문제입니다. 우리나라에서 문제가 된 이유는 ‘공인’이라는 제도 때문에 생겨난 그런 문제죠. 문재인 대통령의 공약은 인증서 또는 인증기술들이 다양하게 경쟁할 수 있도록 하기 위해서는 뭔가 안전한 것처럼 정부가 뒷받침해주는 제도, 그게 바로 ‘공인’이라는 말을 붙인 건데, 그 공인(인증)제도를 폐지를 하겠다, 이런 공약인 거죠."
- 공약을 만드는 과정에 참여하셨는데, 가장 중요하게 반영하려고 했던 게 뭔지 궁금합니다.
그래서 제가 설명한 내용은 이렇습니다. 우리나라에 전자서명법이 있고 전자금융거래법이 있는데, 전자금융거래법에 배상책임을 정하고 있는 조항(제9조)이 있어요. 공인인증서를 사용하면 사고가 나도 은행이나 카드사가 소비자에게 책임을 다 떠넘기는 데 아주 유리하도록 그렇게 조항이 되어 있고, 법원의 판례들도 그렇게 형성되어 있어왔습니다. 금융회사로서는 공인인증서를 사용해야 될 의무규정은 없어졌는데도 그걸 왜 자꾸 사용하냐면 사고가 나도 (고객들에게) 손해배상을 안해줘도 되는 핑계가 되기 때문에 그렇다, 이 점을 설명을 드렸어요."
- 공약을 발표하면서 그 부분을 언급한 게 가장 인상적이었습니다.
그 다음에 좀 기만적인 게 있어요. 정부가 ‘공인’이라는 말 붙여놓고 이게 안전하다고 하는데, 사고 나면 정부가 갚아줍니까? 아무 책임도 안 져주잖아요. 정부가 업체 장사하는데 도움이 되도록 선전만 해주고 실제로 피해 입으면 정부는 싹 빠지고 거의 사기극 같은 행태를 벌여온 거죠. 그러니까 이제는 이 공인이라는 제도를 폐지할 때가 왔다는 겁니다. 이제는 인증서비스 제공 업체들이 홀로서기를 해야 되고 공인인증서 말고 여러 다양한 인증기술들이 자유롭게 경쟁해야 된다, 그런 점이 중요한 부분이고요.
다른 나라들은 어떻게 법규정이 되어 있냐면 ‘(고객이) 허락하지 아니한 거래로 생긴 피해는 보상하라’. 이렇게 하면 피해자가 내가 허락한 적이 없다고 하면 나머지는 은행이 왜 자기들이 보상을 안 해야 되는지를 밝혀내야 되는 거죠. 우리나라는 정반대로 가장 초입에 제일 어려운 관문을 두고 피해자에게 ‘너 그거 넘어올 수 있는지 한 번 보자’ 이런 상황이거든요.
은행은 매년 고객 몇 천명이 똑같은 방법으로 올해도 또 당한다는 걸 알고 있어요. 그러면서도 그 기술을 그대로 써먹고 있는 거예요. 저는 그거야말로 진짜 심각한 잘못이라고 생각하거든요. 그런데 법관들은 그런 거 모르니까 그냥 ‘고객의 중대한 잘못이다’라고 해서 자꾸 고객한테 ‘왜 속아넘어갔냐’고 비난을 돌리고 있죠. 그런데 사실은 은행이 이미 다 드러난 공격방법으로 매년 똑같이 몇 천억씩 손해가 나는 걸 알면서도 그 기술을 그대로 지금 10년 넘게 쓰고 있다는 거죠. 이건 사실상 용납될 수 없는 문제라고 보거든요.
근데 우리나라는 모든 걸 고객한테 책임을 떠넘겨 놓고 금융회사는 그냥 15년 묵은 그런 거래보안기술을 오늘도 굴리고 있으니까 보안에 투자할 이유가 없는 거죠. 제도가 그렇게 되어 있으니까. 모두가 다 잃는 그런 상황이고, 매년 몇 천명씩 생기는 피해자들이 이 모든 부담을 감당하고 있는 아주 부정의한 구조인 거죠."
- 요즘에는 스마트폰 뱅킹 같은 서비스에 지문인증도 많이 도입이 되는 추세이지 않습니까?
"지문인증 뿐만 아니라 사실은 무수히 다양한 거래기법이 있을 수 있어요. 그 거래가 어느 정도의 위험을 초래하는 거래냐라는 것에 대한 평가, 또 거기에 상응하는 보안기술을 다양하게 선택해야 되는 겁니다. 어떤 거래는 거래의 양이나 횟수는 많은데 위험은 별로 없는 거래가 있을 수 있어요. 그런 거래는 대단한 보안기술을 쓴다는 게 현명하지 않은 거고요. 어떤 거래는 상당히 위험이 높은 거래일 수 있죠. 따라서 보안에 대한 근본 접근이나 발상 자체를 바꿔야 한다는 겁니다. 정부가 자꾸 개입해서 ‘이게 안전하니까 이걸 어떤 경우든 다 쓰라’고 하는 미개한 1990년대 후반의 규제체제가 아직까지 남아있으니까 우리나라가 중국한테도 뒤지고 심지어는 베트남에도 뒤지고 그런 상황인 거죠."
- 민간영역도 그렇지만 정부 사이트에서도 요구하는 경우가 많지 않습니까? 연말정산 서류 하나 떼려고 해도 공인인증서를 요구하잖아요.
민간 웹사이트 같은 경우는 정부가 이래라 저래라 할 수 없는 게 원칙입니다만, 금융서비스 같은 경우는 오프라인이건 온라인이건 규제자의 감독을 받고 있죠. 그렇다면 규제자는 금융회사에게 플러그인 사용 여부에 대해 인센티브를 줄 수 있겠죠. 플러그인을 다 걷어낼 수 있도록 격려, 권장해주면 전반적인 트렌드가 바뀌고 추가프로그램을 덜 설치하게 되면 사실은 우리나라 전반의 보안환경이 좀 개선될 수 있겠죠. 프로그램을 자기 컴퓨터에 추가로 설치한다, 또는 자기 스마트폰에 무슨 앱을 추가로 설치한다 이게 사실은 위험한 단계잖아요.
- 그 관행이 이 사실은 무서운 거 아니겠습니까?
"정부가 공인증서를 쓰도록 강요하는데 공인인증서가 저장규격이 워낙 독특해서 플러그인 없이는 그걸 사용을 못하죠. 이러니까 온 국민이 플러그인 까는 데 익숙하게 만들어 온 거죠. 그건 우리나라 보안업계가 잘못한 거라고 저는 생각해요. 온 국민으로 하여금 ‘OK’, ‘예’ 눌러가지고 프로그램 설치하는 걸 아무렇지도 않게 여기게 만든 건 보안 면에서 낙제점이다, 이렇게 생각해요. "
- 플러그인 대체기술이 충분히 있는 상황 아닌가요?
액티브X 설치파일을 따로 나눠주고 다운로드 받아서 설치하라는 건 말이 안 되는 발상이죠. 어떤 추가프로그램을 설치하지 않고도 서비스를 제공할 수 있는 그런 여러 다양한 기술은 이미 다 있어요."
- 공인인증서를 없애겠다고 하면 공인인증 사업자들의 반발이 만만치 않을 것 같은데, 어떻게 보세요?
*들은 아주 손쉽게 안정적으로 영업을 해왔죠. 15년 간. 당연히 반발하겠죠. 그렇지만 그 업체 사정을 봐주기 위해서 한국의 나머지 모든 인터넷 사업이 희생자가 되어야 한다는 말이냐. 또 모든 이용자들이 그 몇몇 업체의 이익을 위해서 희생해야 된다는 말이냐. 이 질문을 던지면 뭐 정답은 대답은 뻔할 것 같아요."
* 현행법에 따르면, 미래창조과학부가 지정하는 공인인증기관에 한해 공인인증서 발급 등의 업무를 할 수 있게 되어있다. 현재 국내 공인인증 업체는 한국인터넷진흥원(최상위 인증기관)의 관리를 받는 금융결제원, 한국정보인증, 한국전자인증, 코스콤, 한국무역정보통신 등 5개다.
- 공인인증서 공짜 아니냐고 알고 있는 분들도 꽤 있는 것 같습니다. 공인인증 업체들은 어떻게 돈을 버는 건가요?
그런데 이용자 입장에서는 인증서 파일 자체는 무료라고 하지만 그걸 설치하고 관리하고 매년 갱신하는 데 허비하는 시간이나 노력을 생각하면 엄청난 손해를 입고 있는 거죠. 또 그게 허술해서 자기 금융자산을 다 털리고 배상을 못 받는 액수가 매년 수천억원이 된다는 말이죠. 그게 다 비용인 셈이죠. 온 국민이 지금 희생당하면서 감당하는 비용이거든요. 그 비용 위에 몇몇 인증업체, 인증관련 업체가 사업을 하고 있는데 그 분들을 위해서 온국민이 희생하라는 말인가. 이게 올바른 질문인 것 같아요."
- 공인인증서를 없애자고 하면 '공인인증서가 문제가 아니라 액티브X만 없애면 된다'고 말하는 사람들도 있지 않습니까? 그건 어떻게 생각하시나요?
"흔히 언론보도를 보면 ‘공인인증서 문제와 액티브X 문제를 구분해야 된다’고 말씀하시면서 사실 액티브X가 문제이지, 공인인증서는 잘못된 게 없다는 식으로 결론을 내리는 경우를 저는 자주 보는데요. 저는 다르게 생각합니다. 액티브X도 물론 잘못됐고, 공인인증서도 대단히 잘못된 것이라고 생각해요. 정부가 그렇게 개입해서 특정기술을 콕 집어서 ‘이게 안전하다’고 노골적으로 선전해주는 건 IT기술의 활발한 발전을 치명적으로 저해하는 거예요. 어느 기술도 정부로부터 그렇게 특혜를 안 받아야 제대로 경쟁이 활발하게 일어나서 더 나은 기술이 개발되는 거죠. 그러니까 둘 다 문제다. 저는 그렇게 생각합니다."
- 공약이 아무리 좋아도 실현되어야 의미가 있는 건데, 언제쯤 달성될 수 있을 거라고 보세요?
제3조)이 개정이 되어야 해요. 공인전자서명 만이 서명날인으로서의 법적효력을 인정받도록 되어 있는 그 규정이 개정이 되어야 되고요. 그 다음에 전자금융거래법(제9조)이 개정되어야 하죠.
말하자면 이건 본인확인 서비스 제공자가 자유롭게 경쟁해야 되는데 우리나라만 유독 정부가 ‘여기만 본인확인서비스를 할 수 있다’고 지정을 해요. 그것도 개정하려면 정보통신망법(제23조의3)을 개정해야 되니까 입법부의 협력이 필요한 사안이죠. 그건 정부가 야당과의 관계에서 어느 정도 원만한 협의를 이루어 내느냐에 달려 있겠지만, 제가 평가하기로는 야당이 이런 문제를 반대할 명분은 별로 없다고 생각합니다. 야당이 이런 개정을 반대한다면 그야말로 우리 IT산업의 장래에 먹칠을 가하는 그런 집단으로 평가될 위험이 있다, 이렇게 생각합니다."
- 법을 개정하기 전에 다른 방법으로 속도를 낼 수 있는 건 없을까요?
- 의지만 있으면 바로 할 수 있다?
"네. 손해배상과 관련해서는 금융 규제 당국이 은행에 약관에 대한 지도나 이런 걸 통해서 지금보다는 사태를 개선할 수는 있어요. 그렇지만 근본적으로는 법개정이 되어야 손해배상 문제가 좀 더 선진적으로 바뀔 수 있다고 봅니다."
- 법원에서 판례가 한 번 나오는 것도 중요할 것 같습니다.
- 박근혜 정부에서 어쨌든 의무사용 규정이 폐지됐는데, 생각만큼 큰 변화는 없었던 것 같습니다. 이번에는 좀 다를 수 있다고 보시나요?
공인인증서 사용을 강제하는 규정을 다 삭제하도록 했고, 보안프로그램 사용 또는 설치를 강요하는 그런 규정도 다 삭제를 했어요.
- 일각에서는 보안 투자비용이 너무 많이 든다, 그런 이야기들도 하잖아요.
은행이 15년 낡은 거래기술을 아직도 쓰고 있으니까 그렇게 많은 피해가 생기는 건데 그걸 자꾸 소비자한테 ‘당신 잘못이다’라고 떠넘기는 건 정의롭지도 않은 거잖아요. 그러니까 ‘더 선진적인 기술을 도입해라’, ‘구닥다리 기술 쓰고 있다가 생긴 손해는 은행들이 다 배상하라’는 식으로 제도가 바뀌는 순간 은행은 금방 투자할 겁니다."
- 그동안 정부부처도 공인인증제도 폐지에 부정적인 입장을 밝힌 경우가 많았는데, 변화가 있을까요?
그런데 새 정부 하에서는 관료집단이 그런 식의 구닥다리 입장을 견지하기는 어려울 것 같아요. 지금까지 미래부가 공인인증제도에 대해서 그렇게 퇴행적인 입장을 견지할 수 있었던 건 그 윗선이 기술적인 내막을 모르니까 그랬던 거고요. 그런데 문재인 대통령 정부의 대통령실에서 인증기술과 관련된 이해도가 더 높아진 이런 상황에서는 미래부 같은 하나의 행정부서가 그런 퇴행적인 입장을 유지하기는 어려울 거예요. 저는 긍정적으로 봅니다. 온 국민이 관심을 가지고 또 언론이 제대로 이 사태를 국민들에게 안내하고 또 소개하고 보도를 하면 그 개혁을 위한 동력이 더욱더 마련되겠죠."