많은 사람들이 공인인증서는 반드시 폐지되어야 한다고 주장한다. 그리고 대부분의 사람들은 단지 “너무 불편”하다는 이유를 들어 공인인증서는 폐지되어야 한다고 말한다.
맞다. 너무 불편하고 짜증난다. 아직도 은행, 증권사를 비롯한 금융기관들은 공인인증서가 있어야 하고 이 공인인증서를 사용하기 위해 수 많은 별도의 프로그램을 PC에 설치해야 한다. 그리고 그 프로그램들은 PC의 성능을 저하시키고 원인을 알 수 없는 수 많은 에러를 유발하기도 한다.
대한민국의 공인인증서란?
“지구에서 유일하게 전 국민에게 사용을 강요하는 개인의 신원 보증용 전자서명인증서”
원래 우리나라의 공인인증서 제도는 국제적인 시각에서 봤을 때 약간 변태적인 구조다. 우리나라에서 사용하는 공인인증서는 개인에게 발급하여 개인의 신원을 확인하는 용도다. 즉 은행이나 증권회사가 고객의 신원을 검증하고자 하는 목적이다. PKI에 기반한 전자서명인증서를 이렇게 온 국민에게 강요하고 사용하게 하는 국가는 적어도 내가 알기론 지구상에 대한민국 밖에 없다. (있다면 알려주시라…필자가 영어가 짧아서…) 즉, 인터넷 상에서 사용하는 개인의 “인감증명서”라고 할 수 있다.
그런데 원래 PKI 인증서를 일컫는… 지구상에서 공용으로 통용되는 공인인증서는 원래 다수의 이용자가 접속해 이용하는 웹사이트가 가짜가 아님을 보증하는 목적으로 사용되고 있다. 예를 들면 네이버나 다음에 접속할 때 브라우저에 이런 창을 볼 수 있을 것이다.
크롬의 웹사이트 접속 시 안전한 사이트 표시
빨간색 동그라미의 자물쇠 표시가 있다. 흔히 이 표시는 단지 “안전한 사이트”라는 표시로 이해하고 있다. 그리고 조금 더 아는 사람들은 https 로 브라우저와 네이버나 다음이 통신할 때 암호화하여 데이터를 주고 받는다 정도로 이야기 한다. 이정도로만 이해하고 있는 것도 많이 알고 있는 것이다.
그렇다면 어떻게 브라우저는 사용자가 접속한 사이트가 “네이버”나 “다음”이 맞고 안전하다고 판단하여 자물쇠 표시를 해주는 것일까?
그것이 바로 네이버나 다음의 웹서버에 설치되어 있는 “공인인증서”의 역할이다. 저 자물쇠를 클릭하고 자세한 정보를 확인하면 아래와 같은 창이 보인다.
이 인증서는 웹브라우저를 통해 네이버나 다음에 접속하면 서버에서 “난 이런 서버야~~”라고 브라우저에게 보내주는 인증서다. 브라우저는 이 인증서를 받으면 인증서가 올바른 인증서인지 그리고 인증서에 기재된 도메인과 실제 접속한 도메인이 동일한지 등 여러가지 정보를 공인인증기관에 확인한다. 그리고 문제가 없다면 자물쇠 표시를 통해 안전한 사이트 임을 이용자에게 알려준다.
다만… 이 웹사이트가 해킹된 상태가 아님을 보증하는 것은 아니다. 단지 이 웹서버의 신원만을 보증하는 것이다. 이 웹서버가 해킹되어 이용자에게 악성코드를 유포하거나 개인정보를 불법적으로 수집하지 않음을 보장하는 것 또한 아니다.
즉… 공인인증서(PKI 기반의 SSL 인증서)는 기관(기업, 공공기관)의 웹서버의 신원을 확인하고 안전한 통신을 목적으로 사용하는 것이 일반적이다. 당연히 IE나 크롬, 사파리 등 웹브라우저는 웹서버가 아니므로 개인이 국제 공인인증기관에서 인증서를 발급 받더라도 사용할 수 있는 기능이 없다. 브라우저에는 개인이 발급받은 공인인증서를 저장하고 있으면서 누군가에게 PC가 “안전한PC”임을 알려줄 수 있는 기능이 전혀 없다. 뭔가 추가적인 플러그인이나 별도의 프로그램을 만들어 웹 브라우저와 연동하지 않으면 사용할 수 없는 것이다. (우리나라에서 금융거래를 위해 공인인증서를 사용할 때 설치하는 ActiveX등의 플러그인이 그 역할을 수행한다.)
그런데 문제는 지금까지 앞에서 설명한 공인인증서는 우리나라의 공인인증기관인 금융결제원, KOSCOM, 한국전자인증 등에서 발급하는 공인인증서가 아니다. 다음이나 네이버 등과 같이 웹서버에는 금융결제원이나 KOSCOM 등에서 발급하는 공인인증서를 적용할 수 없다. 앞에서 설명한 공인인증서는 국제적으로 공인된 베리사인 혹은 코모도 등에서 발급하는 국제공인 인증서다. 결론적으로 대한민국에서 사용하는 공인인증서는 국제적으로 공인된 공인인증서도 아니다.
즉… 수 년간 공론화 되고 있는 공인인증서 폐지 문제는 대한민국만의 문제이며 브라우저가 문제가 아니다. 브라우저는 국제적으로 공인된 인증서만 “안전한 인증서”로 인정한다. 대한민국에서만 사용하는 공인인증서는 적어도 IE나 크롬 등에게는 “안전한 공인인증서”가 아니다. 게다가 전세계 어느나라도 개인에게 공인인증서를 발급받고 은행이나 증권사에 거래를 위해 접속할 때 “너의 신원을 공인인증서를 이용해서 증명해”라고 요구하지 않는다. 유독 우리나라만 그런 신원 확인 요구를 “개인”에게 “공인인증서”를 통해 증명할 것을 요구하고 있는 것이다. 그것도 얼마 안되긴 하지만 1년마다 돈을 받아가면서 말이다.
흔히 IE와 액티브X가 원흉인 것 처럼 이야기하지만 IE와 액티브X는 장애를 유발할 수 있는 버그가 많고 자체적으로 보안에 취약할 뿐이지 공인인증서와 궁합이 맞지 않는다던가 공인인증서에 적합하지 않다고 말할 근거 자체가 없는 것이다. 그저 IE와 액티브X가 “안전한 공인인증서”로 인정하지 않을 뿐이다.
공인인증서 폐지가 필요한 이유
그렇다면 우리나라의 공인인증서는 왜 폐지되어야 할까? 단지 불편해서? 우리나라만 개인이 공인인증서를 사용하니까? 핀테크 등 새로운 기술과 비즈니스를 공인인증서가 막고 있어서?
모두 맞다. 하지만 내가 생각하는 공인인증서가 폐지되어야 하는 가장 큰 이유는 개인에게 공인인증서 사용을 강요하는 것은 법의 폭력이라고 생각하기 때문이다. 개인을 식별하고 신원을 확인할 수 있는 다양한 방법이 있었고 새로운 기술이 등장함에도 “전자서명법”이라는 강력한 법으로 기관과 개인을 구분하지 않고 정보통신망을 통한 거래에는 모두 (한국만의)공인인증서를 사용해야 하도록 강요하는 것이 법의 폭력이 아니고 무엇인가?
많은 금융기관과 공공기관을 다니다 보면… 법률 및 법령과 상급기관과 감독기관에서 내려오는 지침 등을 준수하기 위해서는 공인인증서를 사용할 수 밖에 없는 사정을 이야기한다. 만약 내가 그 담당자들의 입장이라도 어쩔 수 없을 것 같다.
그리고 오랜시간 공인인증서 폐지를 위해 많은 분들이 노력한 결과 공인인증서 폐지관련 법안이 국회에 상정되었다. 하지만 여당과 야당의 싸움에 해당 법안의 처리는 차일피일 미뤄지고 있다. 후진적인 정치세력들로 인해 후진적인 공인인증시스템의 생명이 연장되고 있는 것이다.
하루 빨리 개인의 공인인증서 사용의 의무가 폐지되고 다양한 방법으로 본인확인을 할 수 있도록 해야한다. 그리고 궂이 본인확인을 하지 않더라도 다양한 거래가 가능하도록 법을 개정할 필요가 있다고 본다.