국내 한 공인인증기관의 등록대행기관이 대면확인 없이 개인용 공인인증서를 발급해 온 것으로 드러나, 충격을 주고 있다.
공인 전자서명 인증서(이하 공인인증서)는 전자서명법에 근거해서 국가가 법으로 전자서명의 법적효력을 보증해주는 인증서. 온라인 인감도장이라고 할 수 있다.
공인인증서는 정통부의 인증서 활성화 정책인 '연내 공인 전자서명 1천만명 시대'에 힘입어, 금융감독원이 내년 1월부터 개별 금융기관이 발행하던 사설인증서를 모두 공인인증서로 전환하기로 하는 등 그 쓰임이 확대되고 있다.
또한 행자부도 10월부터 본인 확인이 필요한 주민등록등·초본, 호적부 등 200여종의 민원을 포함해 400여종에 대해 인터넷 민원서비스를 본격 시행키로 하는 등 그 중요성이 커지고 있다.
하지만 중요성 만큼 발급 절차 및 정책에 대한 관리는 제대로 이뤄지지 않는 것으로 드러났다.
공인인증기관인 한국정보인증(대표 강영철 www.signgate.com)의 등록기관인 신원정보기술(대표 김갑수)은 자사 사이트(www.bankorea.com)을 통해 대면확인없이 개인들에게 공인인증서를 발급해 온 것으로 밝혀졌다.
원래 공인인증서를 발급하려면, 정통부의 '공인인증서발급을 위한 신원확인지침'에 의거, 신청인 본인이 직접 나와 신원확인증표(주민등록증, 운전면허증, 노인복지카드, 장애인수첩, 공무원증 등)를 통해 받아야 한다.
하지만 신원정보기술은 온라인 사이트에서 신청을 받은후 주민등록증 사본을 팩스를 보내면 인증서를 발급해 줬다.
만약 누군가 지갑을 훔쳐 주민등록증을 훔쳐갔다면, 내 이름으로 공인인증서를 발급받을 수 있는 것.
어떻게 이러한 일이 가능했을까. 그리고 인증서 발급절차와 관련된 현황과 문제점은 무엇일까.
◆사건의 경위
부산에 위치한 신원정보기술은 공인인증기관인 한국정보인증과 등록기관 계약을 체결하고, 이 회사의 공인인증서 발급을 대행해 왔다.
신원정보기술 관계자는 "공인인증서중 여러사이트에서 사용할 수 있는 1등급은 대면확인을, 그리고 특별등급(부산시청 지방세납부에만 사용하는 경우)은 대면확인없이 발급해 왔다"며 "6개월 이전부터 발급돼 2천여장정도가 이런 방식으로 발급됐을 것"이라고 말했다.
그는 또 "원래는 대면확인을 거쳐야 하지만, 지방세의 경우 공인인증서를 쓰더라도 내 계좌에서 돈이 빠져나가는 것이기 때문에 타인도용의 문제는 적을 것으로 봤다"며 "특별등급 인증서가 공인인증서간 상호연동으로 다른 사이트에서도 사용될 줄 미처 몰랐다"고 설명했다.
이와관련 신원정보기술은 이 문제에 대해 한국정보인증과 협의를 거친 것으로 나타났다.
한국정보인증은 실무자와 사장결제를 거쳐, 온라인으로 접수받고 시중 은행 등에서 대면확인을 거친다는 내용의 공문을 신원정보기술측에 보냈다는 것이다.
하지만 이런 내용은 제대로 지켜지지 않았다. 등록기관에 대한 관리감독을 소홀히한 책임은 한국정보인증에게 남는 것이다.
◆미치는 영향은 얼마나 될까
대면확인없이 발급된 인증서가 지방세 납부에만 사용될 경우, 부산시청의 지방세DB와 연동되기 때문에 큰 문제는 없을 수 있다.
하지만 이 인증서가 제보자의 설명대로 전자정부 민원사이트(www.egov.go.kr) 등 다른 사이트에 사용됐다면 막대한 피해가 우려된다.
이번 사건을 각 언론사에 제보한 관계자는 "대법원 부동산 등기 사이트에 접속해서 임의의 주소지에 대한 등기부등본을 열람하면 소유자 주민등록번호를 쉽게 알수 있는 등 주민번호는 보안이 극히 취약하다"며 "공인인증서 발급이 제대로된 절차 없이 이뤄진다면 공인인증서 기반 서비스가 다양해질 수록 실로 심각한 보안 문제가 발생할 것"이라고 밝혔다.
특히 주민등록증이 담긴 지갑을 분실할 경우, 팩스로 보내는 주민등록증 사본도 위조할 수 있기 때문에, 더욱 심각하다는 것이다.
한국정보인증측은 "이 사실을 알게된 9일 오전 9시30분부터 신원정보기술에서 발급되는 인증서에 대한 발급을 중지했다"며 "앞으로 등록기관에 대한 관리업무를 보다 강화하겠다"고 밝혔다.
신원정보기술측도 "9일 오전 문제가 제기되면서, 비대면 인증서 발급을 중지했다"며 "한국정보인증과 협의를 거쳐 대책을 마련할 것"이라고 말했다.
◆인증서 발급과 관련된 명확한 처벌 및 발급 규정 마련돼야
정부는 지난 해 8월 '공인인증서 발급을 위한 신원확인지침'을 보도자료로 만들어 배포했다. 하지만 여기엔 대면확인을 원칙으로 한다는 조항만 담겨있을 뿐, 이를 어겼을 경우 처벌조항이 불명확하다.
(법 제23조제3항의 규정에 위반하여) 공인인증서가 아닌 인증서 등을 공인인증서로 혼동하게 하거나, 혼동할 우려가 있는 유사한 표시를 사용하거나, 허위로 공인인증서의 사용을 표시하는 경우에 한해 500만원 미만의 과태료를 물을 수 있다고 규정한 것이다.
정통부 정보보호기획과 최성준 사무관은 "정확한 조사를 근거로 해서 위반여부를 검토한 후 제재할 계획"이라고 말했다. 하지만 정통부의 관리는 공인인증기관에 한할 뿐이고, 실제로 발급과 관련된 일이 일어나는 발급기관들은 각 공인인증기관과 계약으로 묶여져 있는 만큼 정부의 관리감독이 얼만큼 실효성을 거둘 수 있을 지는 의문이다.
또한 일각에서는 인증서 발급과 관련된 신원확인지침이 보다 상세해져야 한다는 주장도 일고 있다.
업계 한 관계자는 "개인들 보고 공인인증서를 쓰려면 무조건 등록기관을 찾아와야 한다고 말하는 것은 인증서 활성화에 장애가 된다"며 "정부는 인증서 용도와 기능(다른 사이트 사용가능여부 등)을 나눠서 어떤 분야는 보다 수월하게 비대면으로 발급받을 수 있도록 조처해주었으면 한다"고 건의했다.
김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기