“우리 이제 그만 헤어져” 애증의 공인인증서 떠나보낸 날

만난 지 19년, 드디어 공인인증서·액티브엑스와 헤어지게 됐다

SBS ‘별에서 온 그대’의 주인공 ‘천송이’(전지현)가 입고나온 코트. 박근혜 전 대통령이 언급하면서 당시 ‘규제개혁’의 아이콘이 됐다. SBS 갈무리

아, 드디어 지긋지긋한 남친, 아니 이제 ‘구남친’을 떠나보냈어. 2015년에 한 번 헤어지려고 했는데 어찌나 찰싹 달라붙는지… 이제서야 징글징글한 놈을 떼어냈지 뭐야.

이 친구를 처음 만난 건 1999년쯤이야. 꽤 오래 됐지. ‘전자서명법’이란 친구가 소개해줘서 만나게 됐어. 그 때가 인터넷이 막 등장한 초창기였을거야. 전자문서를 주고 받아야 했는데 누가 보냈는지 확인이 필요하다고 하더라고. 그래서 이 친구를 소개받았어. 이 친구만 있다면 내 신분을 확실하게 증명해준다는 이야기를 듣고 만나기 시작한 거야.

뭐, 돌이켜보면 공인인증서 그 친구가 아주 능력이 없던 건 아니였어. 인터넷에서 뭘 하려고 하면 꼭 그 친구가 있어야했거든. 내 신분을 확인해 주기도 하고, 은행에서 돈도 보낼 수 있게 해주고. 사실 꽤 든든한 녀석이긴 했지.

공인인증서가 우리나라에 처음 등장한 것은 1999년 전자서명법이 제정되면서부터다. 인터넷이 막 확산되려는 초창기였다. 인터넷을 통해 전자문서를 주고받는 일이 점점 늘어나는데, 이 문서가 저 사람이 보낸 게 확실한지, 위변조된 것은 아닌지 증명할 수 있는 수단이 필요했다. 그래서 ‘디지털 인감도장’이라고 할 수 있는 공인인증서가 개발됐다.

(중략)

공인인증서를 전자상거래에 가장 먼저 이용한 것은 은행들이었다. 몇몇 은행들이 2000년부터 인터넷뱅킹에서 통장과 신분증을 대신할 본인확인 수단으로 공인인증서를 채택했다. 곧이어 인터넷뱅킹에서 공인인증서 사용이 의무화됐다. 2003년부터는 인터넷쇼핑몰에서 신용카드로 결제할 때에도 공인인증서 사용을 의무화하는 방안이 추진됐다. 물건을 보지 않고 먼저 결제를 해야 하는 전자상거래에 대한 불안감이 있으니, 공인인증서 사용을 의무화해 신뢰도를 높이면 전자상거래가 더욱 활성화될 수 있을 것이라는 게 정부의 생각이었다. 결국 2006년 30만원 이상의 모든 전자상거래에 공인인증서 사용을 의무화하는 전자금융감독규정 시행규칙이 마련됐다.

-2014년 8월 20일 ‘3000만건 발급된 ‘디지털 인감’…전자상거래 ‘열쇠’에서 ‘족쇄’로

쏠쏠하게 도움이 되긴 했어. 아니 왜 주민등록증 같은 거 잃어버릴 때 있잖아. 온라인에서도 주민등록증을 재발급 받을 수 있다길래 누리집에 들어가봤더니, 이 친구와 꼭 같이 있어야한다고 하더라고. 온라인 쇼핑몰에서 가끔 30만원 이상 확∼지를 때도 의지를 많이 했어. 그럼에도 헤어질 결심을 하게 된 건, 바로 구남친의 친구 때문이야. 아니 왜 끼리끼리 다닌다고들 하잖아. 구남친의 친구 중에 ‘액티브엑스’라고, 지독한 놈이 한 명 있었어. 어찌나 속을 썩이던지. 지금 생각해도 분통이 터지네. 줏대도 없는 구남친이 매번 액티브엑스를 따라다니는 거야.

그래픽 정희영 기자

‘윈도 10’ 나왔을 때 기억하지? 그 때 제대로 작동되지 않는 사이트들이 바로 액티브 엑스인지 와이인지, 그 친구놈 때문이었다고. 구남친을 만나려면 꼭 친구도 그렇게 따라나오는 거야. 문제는 이 친구가 사회성이 좀 없어. 오로지 ‘인터넷 익스플로러’하고만 친하게 지내거든. 나는 사실 다른 브라우저인 ‘크롬’하고도 친하고 ‘파이어폭스’하고도 친한데, 절대 다같이 만날 수가 없더라고. (▶관련 기사: ‘윈도 10’에서 국내 100대 누리집 중 18% ‘오류’)

문제를 일으킨 사이트들은 결제, 보안, 인증 프로그램들이 에러를 일으킨 경우들이라고 미래부는 설명했다. 이들이 액티브엑스와 같은 비표준 기술에 의존하고 있는 탓이다. 액티브엑스란 마이크로소프트가 1996년에 개발한 웹 서비스 구동용 기술로, 웹에서 여러 응용 프로그램들을 작동하는 데 쓰인다. 하지만 새 웹표준(HTML5)이 자리 잡으면서 글로벌 인터넷 환경에선 거의 퇴출되었는데, 국내에서만 유독 여전히 문제가 되는 상황이다.

핵심에는 금융 결제에 주로 쓰이는 공인인증서 문제가 자리잡고 있다. 온라인 뱅킹을 비롯 각종 전자상거래에 쓰이는 공인인증서는 비표준 기술에 의존한다. 예전에는 액티브엑스를 활용했는데, 지난해 박근혜 대통령이 “외국에선 (쓰이지 않는 액티브엑스 탓에) ‘천송이 코트’를 사지 못한다”는 발언 뒤에 별도 실행(exe)파일을 설치해 구동하는 식으로 바뀌었다. 하지만 여전히 모두 비표준 기술들이다. 이 때문에 윈도10의 차세대 웹브라우저인 ‘엣지’에선 국내 모든 은행사와 카드사 사이트들이 먹통이다. 다만 엣지와 함께 지원하는 예전 웹브라우저 ‘익스플로러11’을 통해선 이용이 가능하다.

이런 먹통 사태는 오래 전부터 예견되었다. 액티브엑스 문제는 멀게는 2007년 윈도비스타 출시 때부터 시작해 새 운영체제가 나오거나 웹 기술이 업그레이드 될 때마다 수시로 불거졌다. 하지만 정부는 그때마다 웹표준 기술로 전환하는 근본 해법엔 손 대지 않은 채 업체에 국내 이용자를 위한 지원을 요청하는 등의 안일한 땜질식 처방으로 문제를 키워온 측면이 크다. 미래부는 지난 4월에야 ‘민간분야 액티브엑스 개선 방안’을 발표해 2017년까지 문제를 해결하겠다고 밝힌 바 있다.

-2015년 8월 12일 ‘윈도10’에서 국내 100대 누리집 중 18% ‘오류’

‘액티브엑스폐지운동’ 제공

나 말고도 액티브엑스를 싫어하는 친구들이 좀 있었나봐. 한번은, 이 친구를 쫓아내고 ‘실행파일’(exe)이란 친구를 데려왔는데, 아니 글쎄 얘도 도긴개긴이야∼ 어찌나 사람을 귀찮게 하는지… (▶관련 기사: 전자상거래 ‘액티브X’ 폐지하고 ‘exe 방식’ 도입…무늬만 다른 액티브X 될라)

기존에 온라인쇼핑몰에서 30만원 이상의 물건을 구매하기 위해서는 액티브 엑스에 기반한 공인인증서 설치가 필수적이었다. 그러나 공인인증서는 국내만 적용되는 것이라 공인인증서가 없는 외국 소비자들은 국내 온라인쇼핑몰에서 물건을 살 수 없었다.

국내 소비자들도 액티브 엑스 탓에 여러 차례 프로그램 설치를 해야 하는 번거로움을 감수해야 했다. 설치 과정의 복잡함을 이용해 보안프로그램 대신 악성코드가 깔려 불편을 겪는 소비자들도 생겨났다. 웹브라우저의 다양성은 커져가는 데 반해 인터넷 익스플로러에서만 사용 가능한 폐쇄성도 문제였다.

(중략)

기존의 액티브 엑스와 다를 게 없다는 지적도 있다. 김기창 고려대 법학전문대학원 교수는 “이엑스이도 결국 프로그램을 소비자의 기기에 설치해야 하는데 소비자가 프로그램의 선악을 구별할 능력이 없는 가운데 악성코드가 내포돼 있는 프로그램을 설치할 가능성은 똑같다. 새 기술도 여전히 보안에 취약하다. 무늬만 다른 액티브 엑스”라고 지적했다.

-2015년 3월 23일 ‘전자상거래 ‘액티브X’ 폐지하고 ‘exe 방식’ 도입…무늬만 다른 액티브X 될라’

SBS ‘별에서 온 그대’ 갈무리

귀찮게 굴어도 구남친을 믿어보려고 했던 건, 사실 안전한 줄 알았기 때문이야. 그런데 뒷통수 치더라…ㅎ 하…몇 천 건씩 무더기로 유출되질 않나. 아휴∼새삼 돌이켜보니 어째 안좋은 점만 생각나는 것 같네. (▶관련 기사: 박 대통령이 지적한 ‘공인인증서 문제’ 뭐길래…)

공인인증서 제도의 문제점으로는 크게 두 가지가 꼽힌다. 먼저 특정 기술 강제이다. 현재 공인인증서는 미국 마이크로소프트사의 웹브라우저(인터넷 익스플로러)와 여기에서 구동되는 ‘액티브 엑스(X)’를 사용하는 환경 속에서 작동된다. 구글의 크롬이나 애플의 사파리 같은 다른 웹브라우저를 사용하는 소비자들은 공인인증서 자체를 활용할 수 없는 셈이다.

보안 취약성도 문제점으로 꼽힌다. 공인인증서는 저장 매체가 제한되지 않는 탓에 개인용 컴퓨터나 이동식 메모리(USB) 장치 등 다양한 매체에 저장·복사를 할 수 있다. 해킹에 따른 유출이나 분실의 위험이 큰 셈이다. 심지어 액티브엑스를 개발한 마이크로소프트도 스스로 보안 취약 등의 이유로 제한적 사용을 권고하고 있다.

-2014년 3월 20일 ‘박 대통령이 지적한 ‘공인인증서 문제’ 뭐길래…’

그래서 나도 몇 번은 헤어져보려고도 했어. 2014년 여름엔가, 왜 ‘천송이 코트’ 유행했을 때 있잖아. 올림머리 좋아하는 양반이 중국인들도 천송이 코트 살 수 있게 해달라고 요구하는 바람에 온라인 쇼핑몰에서 결제할 때 휴대전화만 있으면 되더라. 그 다음해에는 금융거래를 할 때도 더이상 남친이랑 같이 오지 말래. 그런데 알다시피 뭔가를 바꾸는게 쉽지 않잖아. 이 친구가 아니라고 해서, 뭐 확 끌리는 다른 친구가 등장하는 것도 아니었어. (▶관련 기사: 공인인증서 없어도 온라인 결제 가능, 금융거래시 공인인증서 사용 의무 폐지)

이르면 8월부터 30만원 이상을 온라인 쇼핑몰에서 결제할 때도 휴대폰 인증 등 간단한 절차만으로 결제가 가능해진다. 액티브엑스(Active X) 없이 사용할 수 있는 공인인증서도 개발된다.

-2014년 7월 28일 ‘공인인증서 없어도 온라인 결제 가능’

인터넷뱅킹이나 인터넷 쇼핑 등 전자금융 거래에서 공인인증서 사용 의무가 폐지됐다. 또 옐로페이, 페이팔 등 비대면 직불전자지급 수단의 하루 이용한도가 현행 30만원에서 200만원으로 높아져 모바일을 활용한 쇼핑 결제가 한층 더 늘어날 전망이다.

-2015년 3월 18일 ‘금융거래시 공인인증서 사용 의무 폐지’

SBS ‘별에서 온 그대’ 갈무리

물론 공인인증서와 사이가 좀 소원해진 다음엔, 눈을 좀 돌려보기도 했어. 그나마 눈에 띄는 친구가 생긴 건 2016년쯤부터인 것 같아. 은행에서 앞다퉈 간편한 인증서비스를 내놓기 시작했거든. 2016년 KB국민은행은 유심(USIM)에 ‘케이비든든간편인증서’를 저장해두면 금융거래할 때 핀번호만 눌러 이용할 수 있도록 했어. KEB하나은행도 공인인증서 필요없이 문자메시지만으로도 간편하게 송금할 수 있도록 ‘텍스트 뱅킹’을 출시했지 뭐야. 농협은행은 지문인증만으로도 계좌조회나 이체, 금융상품 가입이 가능하도록 하더라.

지난해부턴 본격적으로 카카오뱅크나 토스 이런 친구들과 어울리기 시작했어. 이 친구들은 절대로 날 귀찮게 하거나 불편하게 만들지 않거든. 그냥 내 휴대전화에 지문을 갖다 대거나 6자리 숫자 정도만 입력하면 돼∼어쩜 그렇게 구남친이랑 비교가 되던지.

어쨌든 이 구남친이 나만 싫었던 건 아닌가봐. 아니 글쎄 정부까지 나서서 더 이상 만나지 않아도 된다고 하네. (▶관련 기사: 공인인증서 제도 폐지…공공·금융기관 사용의무 없앤다)

과기정통부는 획일화된 인증시장을 혁신하고, 신기술 도입을 활성화하기 위해 공인인증서 제도를 폐지하기로 했다. 관련 법에 명시된 공인인증서의 우월적 지위를 폐지해 사설인증서와 마찬가지로다양한 인증수단의 하나로 활용하게 한다는 계획이다. (중략) 공인인증서는 애초 계약 성사를 확인하는 전자서명 용도로 만들어졌지만, 사설인증서보다 우월한 법적 지위로 인해 공공 및 금융기관에서 본인 확인용으로 활용하는 경우가 많았다. 게다가 실행을 위해서는 액티브X가 필요해 이용자의 불편함이 컸다. 과기정통부는 공인인증서 폐지로 블록체인·생체인증 등 다양한 인증수단이 확산하고, 액티브X 없는 인터넷 이용환경이 구축될 것으로 기대했다.

-2018년 1월 22일 ‘공인인증서 제도 폐지…공공·금융기관 사용의무 없앤다’

SBS ‘별에서 온 그대’ 갈무리

나는 이제 슬슬 ‘블록체인’이란 친구를 만나볼 예정이야. 알잖아∼요즘 완∼∼∼∼전 ‘핫’한 거. 처음 한 번만 본인인증을 하면 여러 증권사에서 다 거래할 수 있다고 하더라고. 별도 등록절차 없이 말이야. 구남친은 매년 새로 갱신해달라고 그렇게 졸라댔는데, 이 친구는 3년에 한 번씩만 하면 된대. 뭐, 아직 어떤지 잘은 모르겠지만, 한 번 만나보고 와서 후기를 또 들려줄게∼ 그 때 봐∼ (▶관련 기사: 공인인증서 가고…‘블록체인’ 온다)

금융투자협회는 (지난해 10월) 31일 블록체인 기반 금융투자업권 공동인증 서비스 ‘체인 아이디’(CHAIN ID) 시범사업을 시작한다고 밝혔다. 기존 공인인증서는 중앙서버에서 관리돼, 금융 소비자들이 개별 금융기관에서 거래를 시작할 때마다 인증서를 재발급받거나 인증서 가져오기 등을 해야 했다. 장영훈 금융투자협회 정보시스템부 차장은 “공인인증서 정보유출은 인증서 가져오기와 내보내기에서 비롯되는데, 블록체인 기술에선 정보를 공유하고 있으니 인증서를 가져오고 내보내는 기능 자체가 없어 유출 위험 등이 현저히 낮다”고 말했다.

-2017년 10월 31일 ‘공인인증서 가고…‘블록체인’ 온다’

박다해 기자 doall@hani.co.kr