공인인증서 실시간 검증, 탁상행정 논란

인터넷 세상에서 쓰이는 본인확인용 공인인증서는 모두 실시간으로 검증 돼야 할 까.

행정안전부가 공인인증서의 신뢰성을 높이기 위해 이를 이용하는 인터넷 기업에 공인인증서의 정지 또는 폐지 여부 상태를 '실시간으로 검증'하라고 의무화하려 하자, 탁상행정 논란이 일고 있다.

행안부는 그간 의무조항이 없어 정지 또는 폐지된 공인인증서가 정상으로 사용되는 등 범죄 악용의 우려와 법적 분쟁소지가 컸다는 입장이다.

그러나, 인터넷 기업은 물론 공인인증 업계까지 이같은 조치는 자칫 현재로서는 가장 보안성이 우수한 공인인증서비스의 이용률을 되려 떨어뜨릴 수 있다고 보고 있다.

전자결제나 오프라인 인감증명 대체 같은 보안성이 큰 인증서의 경우 실시간 검증이 반드시 필요하나, 인터넷 사이트 로그인 등 단순 본인확인용으로 쓸 때까지 실시간 검증 의무를 부과할 필요는 없지 않느냐는 얘기다.

한마디로 현실과 조응하지 못하는 과도한 규제라는 지적이다.

◆OCSP 유료화 논란 속 인터넷 기업도 유료로 이용해야

금결원·한국정보인증·한국전자인증 등 공인인증 기관들은 공인인증서의 유효성에 대한 상태정보를 실시간으로 확인해주는 'OCSP(Online Certificate Status Protocol) 서비스'를 카드사나 은행 등에 건당 5원~10원 정도씩 받고 서비스하고 있다.

반면 일반 인터넷 기업들에게는 'CRL(Certificate Revocation List)'이라는 인증서 효력정지 및 폐지목록을 무료로 서비스중이다. 이는 'OCSP'에 비해 1시간 정도 차이가 나는 것으로 알려지고 있다.

그런데 국회에서 전자서명법 개정안이 통과되면, 카드사나 은행뿐 아니라 인터넷기업들까지도 'OCSP'를 유료로 서비스 받아야 한다.

공인인증기관 관계자는 "한마디로 벅스뮤직이나 네이버 등이 OCSP를 유료로 이용해야 한다는 이야기인데, 억 단위의 비용이 추가로 들 수 있다"고 말했다.

인터넷 업체 관계자는 "2003년 공인인증기관들이 OCSP를 유료화할 때 OCSP는 공인인증서 상호연동을 위한 전제인 만큼 무료화돼야 한다는 이슈가 있었지만, 당시 정보통신부는 해결하지 않고 넘어갔다"면서 "OCSP 유료화 논란이 끝나지 않은 가운데 이를 전체로 확대하려는 건 말이 안된다"고 비판했다.

◆보안 수준별 검증의무 달리 부과해야...차분한 논의 필요

행안부 법 개정안(제25조의2)은 "인터넷 홈페이지를 구축·운영하는 이용자는 공인인증서의 정지 또는 폐지 여부 상태를 공인인증기관으로 부터 실시간으로 확인해야 한다. 다만 인터넷 홈페이지 이용자수가 대통령령으로 정하는 기준에 해당하는 자인 경우에는 예외로 한다"고 돼 있다.

비록 시행령에서는 '예외 조항'이 있지만, 법문을 그대로 해석하면 모든 인터넷 서비스 기업에 공인인증서 실시간 검증 의무(OCSP 유료 서비스 이용)를 준 것이다.

한국인터넷기업협회 최성진 사무국장은 "총리실에서 의견 조회를 요청했을 때 그 쪽에서도 법의 취지가 모든 인터넷 기업을 대상으로 하는 건 아니라는 입장을 밝혔지만, 법리 해석으로 들어가면 '인터넷 홈페이지를 구축·운영하는 곳'으로 돼 있어 입법 취지와 다른 과도한 규제가 될 수 있다"고 말했다.

만약 행안부의 취지가 전자상거래 쇼핑몰 등 전자결제시 공인인증서를 쓰는 곳 정도에 의무화하는 것이었다면, 이를 법문에서 보다 명확히 해야 한다는 얘기다.

최 국장은 또 "사실 인터넷쇼핑몰도 카드사나 PG사를 통해 결제하는 만큼, 추가적인 공인인증서 실시간 검증 의무를 줬을 때 이중규제 논란이 생길 수도 있다"고 지적했다.

공인인증기관 관계자 역시 행안부의 공인인증서비스 이용자에 대한 실시간 검증 의무화에 대해 반대입장을 밝히고 있다.

공인인증기관 관계자는 "단순하게 생각하면 행안부 법으로 OCSP 매출이 늘 것으로 볼 수도 있겠지만, 그렇지 않다"면서 "사이트 로그인 같은 단순본인확인용으로 쓰이는 인터넷 기업들의 공인인증서 사용이 주민번호 인증 등으로 바뀌면 오히려 매출이 줄어들 수 있다"고 말했다.

또 "공인인증서보다 보안이 취약한 주민번호 인증방식이 인터넷 로그인 등에 대세가 되면, 오히려 행안부의 보안 강화 방침과 역행할 수 있다"고 지적했다.

김현아 기자의 다른 기사 보기

• 탁상행정 논란이후 인증서 검증 현실화