공인인증서는 왜 '천덕꾸러기'가 됐을까

별도 프로그램 내려받아야 하는 '플러그인' 방식으로 가동되는 경우 많아 이용자 불편 초래

공인인증서 의무사용 규정 폐지됐지만 은행들은 면책 등을 이유로 약관 통해 사용 강제

온라인 상에서 본인확인시 자주 사용돼 피로감 누적됐다는 분석도

공인인증서는 모두에게 미움 받는 ‘괴물’ 또는 ‘천덕꾸러기’ 같은 존재다. 문재인 전 더불어민주당 대표가 지난 2일 “공인인증서 완전 폐지를 실현하고 다양한 인증방식이 시장에서 차별 없이 경쟁할 수 있도록 하겠다”고 밝히는 등 시장에서 퇴출시켜야 한다는 목소리도 높다.

공인인증서가 처음 세상에 나왔을 때는 지금과 확실히 분위기가 달랐다. 지난 1999년 전자서명법 시행으로 태어난 공인인증서는 수년 간 전자정부 구축 및 국내 인터넷 뱅킹 활성화의 1등 공신으로 추앙 받았다. 정보통신부는 이 같은 순기능에 고무돼 지난 2002년 ‘전자서명인구 1,000만 명 달성 운동’을 벌이기도 했다. 하지만 15년이 지난 현재 대한민국에서는 IT 규제의 대표 사례로 꼽힐 정도로 지위가 추락했다. 그 사이에 도대체 무슨 일이 있었던 걸까.

전문가들은 ‘플러그인(plug-in)’ 기반의 구동방식을 가장 큰 이유로 꼽는다. 플러그인이란 웹 브라우저 내에서 구현하기 힘든 프로그램을 ‘액티브엑스’와 같이 별도 응용프로그램을 내려받아 실행하는 방식이다. PC상에서 공인인증서를 사용하려면 키보드 보안 및 해킹 방지프로그램 등의 소프트웨어를 몇 분간 내려 받고 또 웹 브라우저를 수 차례 강제종료해야 하는 것은 다 플러그인 때문이다. 대부분 웹 사이트들은 공인인증서 도입 초기부터 플러그인으로 프로그램을 구동시키고 있으며 현재도 이 같은 방식을 고수하고 있다. 플러그인을 쓰지 않고도 공인인증서 구동이 가능하지만 비용 등을 이유로 바꿀 생각을 하지 않는 업체가 대부분이다.

반면 공인인증서는 UN 의 전자서명 모델을 충족하고 있으며 ‘애플페이’ 등에도 적용된 공개키기반구조(PKI)이기 때문에 범용성이나 기술적 측면에서 문제가 없다. 결국 공인인증서가 아닌 이를 실행시키는 프로그램이 짜증을 유발했던 셈이다. 김승주 고려대학교 정보보호대학원 교수는 “다른 나라들도 공인인증서와 유사한 기술을 쓰고 있지만 유독 공인인증서만 불편한 것은 액티브엑스와 같은 플러그인 방식 때문”이라며 “보안 서비스를 이용자들에게 맞춘 게 아니라 그 반대로 했던 것이 문제”라고 밝혔다.

금융사들이 면책을 위해 공인인증서를 강제하는 것이 사안의 핵심이라는 지적도 나온다. 금융사들은 지난 2015년 공인인증서 의무사용 규정이 폐지됐음에도 불구하고 자체 보안 시스템 구축의 어려움 등을 이유로 공인인증서 사용을 강제하고 있다. W은행의 경우 약관을 통해 ‘이용자는 이 약관의 적용대상인 전자금융거래를 이용하는 경우 반드시 전자서명법에 의한 공인인증서를 사용하여야 한다’고 명시해 놓았으며 대부분 은행이 유사한 약관을 갖고 있다.

실제 관련 법을 살펴보면 피싱(phishing) 등의 금융사고가 발생하더라도 공인인증서 사용만 강제해 놓으면 어느 정도 면책이 가능한 구조다. 전자금융거래법은 제 9조를 통해 ‘사고 발생시 관련 약정을 미리 체결한 경우 책임의 전부 또는 일부를 이용자가 부담하게 할 수 있다’고 규정해 놓았기 때문이다. 시중은행 보안 담당자는 “은행들은 금융사고 발생에 대비해 보험에 가입하는데 공인인증서 사용만 강제하면 연간 몇 억원의 보험료 만으로 금융 사고에 대한 부담을 크게 덜 수 있다”며 “엄청난 예산이 드는데다 면책 여부도 불투명한 새로운 보안 시스템을 구축할 유인이 크지 않은 상황”이라고 밝혔다.

공인인증서가 본인 확인 용도로 지나치게 많이 사용돼 ‘피로감’을 주고 있다는 지적도 나온다. 전자서명법 제18조의 2항은 ‘공인인증기관이 발급한 공인인증서에 의하여 본인임을 확인할 수 있다’고 돼 있다. 이 때문에 대부분 업체들은 온라인 상에서 본인 확인 시 공인인증서에서 과도하게 의존하고 있는 실정이다. 휴대전화를 통한 본인 확인 방식은 건당 30원 가량을 이통사에 지급해야 하기 때문에 공인인증서 방식을 보다 선호하고 있다는 분석도 나온다. 정보기술(IT)업계 관계자는 “실생활에서 인감증명서를 이용하는 경우는 1년에 손에 꼽을 정도이지만 온라인 인감증명서라는 공인인증서는 하루에도 수차례 사용할 수밖에 없는 것이 한국 IT의 현주소”라며 “개발 취지에 맞게 공인인증서 사용 용도를 한정해 놓을 필요가 있어 보인다”고 밝혔다. /양철민기자 chopin@sedaily.com



◇공인인증서가 미움 받는 이유

△플러그인 구동 방식

=별도 프로그램 내려받아야 하는 ‘플러그인’ 방식 때문에 이용자 불편 초래

△금융사들의 강요

=각종 금융사고 발생 시 면책 가능하다는 이유로 약관 등을 통해 공인인증서 강요

△본인 확인용으로 자주 사용

=온라인 본인 인증 시 공인인증서 요구하는 경우 많아 이용자 피로 누적