스마트폰에서의 '공인인증서 의무 사용' 폐지 공방이 갈수록 격화되고 있다.
행정안전부가 19일 브리핑을 통해 "스마트폰의 공인인증서 전자결제에 아무 문제가 없다"고 밝히자, 오픈웹 진영과 전자결제업체 등에서는 애초 공인인증서 사용을 강제하는 것 자체가 근본 문제라고 반박하고 있다.
행안부와 한국인터넷진흥원(KISA), 금융결제원 등은 스마트폰으로 전자결제를 할 수 있는 공인인증서 이용표준을 마련해 4월부터 인터넷뱅킹 서비스 등을 제공할 계획이다. 공인인증서를 모든 웹브라우저에서 사용 가능하도록 점진적으로 개선하겠다는 계획도 함께 밝혔다.
그러나 반대론자들은 공인인증서 사용 강제 규정이 없었다면, 공인인증 업체들은 진작에 다른 인증기술과 경쟁하기 위해 스마트폰에서도 공인인증서 사용에 불편이 없도록 노력했을 것이라고 비판하고 있다.
스마트폰에서도 공인인증서를 사용할 수 있으니 공인인증서 강제 사용을 계속하라는 논리는 납득할 수 없다는 얘기다.
고려대 법대 김기창 교수는 "공인인증제도 시행 초기 인증서 보급·확산을 위해 사용을 강제했는지 몰라도 현재는 그런 정책이 신기술 진입과 경쟁에 장애로 작용할 뿐"이라며 "그간 공인인증 업체들이 액티브X기술 하나에만 의존해 10년을 버텨온 이유는 강제 규정에 기댈 수 있었기 때문"이라고 말했다.
그는 또 인터넷뱅킹 등 은행거래 외 전자상거래에 대한 언급도 빠져있다고 지적했다.
김 교수는 "인터넷 쇼핑 등 은행 거래 외 많은 부분을 차지하고 있는 전자상거래에 대한 언급은 빠져 있다"며 "예스24 등 공인인증서를 사용하지 않고 모든 운영체제에서 금융거래 서비스를 제공하려던 업체들이 윈도 익스플로러에서 발급되고 있는 공인인증서 사용을 강제하는 현행 규제 때문에 서비스 제공을 중단했던 사례도 있었다"고 말했다.
아울러 공인인증서의 부인방지 효과도 재고돼야 한다고 지적했다.
행안부는 브리핑을 통해 SSL과 OTP는 부인방지 기능이 없어 전자금융 사고 분쟁발생 시 사용자의 책임을 입증할 수 없다고 강조한 바 있다.
김 교수는 "공인전자서명은 누군가 거래를 했다는 것을 확인할 뿐 그가 고객인지 확인할 근거가 없다"며 "전자서명이 부인방지 효과가 있다면 공인인증서 뿐 아니라 사설인증서로 한 전자서명도 그런 효과가 있을 것"이라고 반박했다.
◆"스마트폰 공인인증서 표준안, 미봉책" 논란
이와함께 행안부, KISA, 금융결제원 등이 마련키로 한 스마트폰 공인인증서 표준안도 미봉책에 불과하다는 지적도 제기됐다.
공인인증서를 이용하려면 공인인증서 신규발급, 분실시 재발급, 기간 만료 시 갱신 등의 기능도 필요한데, KISA가 발표한 '무선단말기에서의 공인인증서 저장 및 이용 기술규격'은 공인인증서 사용에 관한 내용만 언급돼 있기 때문이다.
신규발급, 재발급, 갱신 등은 여전히 PC에서 익스플로러 웹브라우저를 실행해 액티브X로 전달되는 별도의 공인인증 프로그램으로 수행하라는 뜻으로 비쳐진다는 이야기다.
행안부 정보보호정책과 관계자는 이에대해 "공인인증서와 관련된 모든 기능을 스마트폰에서 구현하기엔 너무 복잡하고 만들어 놓는다고 해서 사용할 것이란 보장이 없다"고 해명했다.
또한 공인인증 앱이 피싱에 취약할 수 있다는 우려도 제기됐다.
페이게이트 이동산 이사는 "KISA가 정한 규격대로 설계된 앱이 사용자 아이폰에 설치되면 사용자가 은행 거래시 공인인증서를 이용하려고 호출 메뉴를 선택했을 때 공인인증 앱이 아니라 제3자가 만든 다른 앱이 실행될 기술적 가능성이 존재한다"고 지적했다.
호출된 제3자의 앱이 악의적 개발자가 만든 것이라면, 사용자는 자신의 공인인증서를 공격자에게 노출시키게 된다는 뜻이다.
이 이사는 "피싱 문제 해결을 위해서는 공인인인증서를 중개하는 서버도 필요한데 이러한 서버에 대한 기술규격은 빠져있다"며 "아이폰 앱 등록 절차는 전적으로 애플사에 달려있는데 전자금융 거래 인프라를 해외 업체의 통제 하에 두는 것도 우려된다"고 덧붙였다.
인증서 관리의 전체 과정이 투명하게 공개되고 그 안전성 여부에 대한 공개적 검증이 되어야 바람직하나, 인증서를 전달받고 전해주는 서버에 대한 보안 요구 사항이 규격에서 제외돼 있다는 말이다.
KISA 공공정보보호단 전자인증팀 관계자는 이에대해 "현재 고시한 스마트폰 표준안은 저장위치나 방식만 지정하고 있다"며 "전송과 중개서버 보안 문제 등은 전송기술 규격에 준하는 방법으로 설계 중"이라고 해명했다.
임혜정기자 heather@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기