'산으로 가는' 공인인증 제도 개선


産·學·政 제도 개선안 제각각

지난 3월 정부의 공인인증서 의무 사용 해제 이후 공인인증서 제도 개선방향에 대한 논의가 2차전으로 접어들고 있다.

대체 보안 방법과 사용 범위 등 구체안에 대한 논의가 본격화되기 시작한 것이다.

4일 서울대학교 기술과법센터와 연세대학교 의료·과학기술과법센터 주관으로 열린 '공인인증제도의 문제점과 해결방안에 관한 세미나'에서 정부·업계·학계 전문가들은 공인인증서 제도 개선안에 대한 다양한 의견을 내놨다.

성균관대 김승주 교수는 공인인증서의 기술 규격 자체는 기술중립적이란 점을 강조했다. 다만 시장 선택에 의해 액티브엑스를 적용해 왔다는 것이다.

김승주 교수는 "사용자에게 다양한 기술 선택권을 줘야 하지만, 아직 전자서명의 보안 수준이 높다"며 "큰 규모의 거래는 공인인증서 방식을, 작은 규모의 거래는 공인인증서 방식 또는 OTP(일회용 비밀번호) 방식을 병행하도록 하는 게 타당하다"고 말했다.

그는 이를 위해 평가기관 및 관련 심사기준을 객관적·독립적으로 구성할 필요성도 주장했다.

반면 고려대학교 김기창 교수는 "현행 공인인증서가 기술중립적이라고 하지만, 현행 규격은 인증서 이용에 반드시 플러그인을 사용하도록 강요하고 있다"며 "웹브라우저 자체가 공인인증서를 인식할 수 있도록 표준을 정한다면 플러그인이 불필요한데 이를 강제하는 것은 공정거래를 저해하는 게 아닌가"라고 지적했다.

특히 이날 세미나에는 공인인증서 논란의 핵심이 된 액티브엑스 기술과 관련, 마이크로소프트 NTO(National Technology Officer) 김명호 박사가 참여해 눈길을 끌었다.

김명호 박사는 공인인증서의 논점을 ▲수단(공인인증서)의 유일성 ▲목적(전자서명)의 강제성 ▲클라이언트 구현의 제한적 가용성이라고 설명했다.

김 박사는 "해결책은 수단으로서 공인인증을 유일하게 명시하는 대신, 주 목적인 전자서명의 요구사항을 명시하는 것"이라며 "강제성을 완화할 경우 자율과 책임은 더 분명히 하면 되고, 제한적 가용성은 플러그인에 무관한 클라이언트 구현 가능성이 입증되면서 최근 여러 해결책이 제시되고 있다"고 설명했다.

그러나 이날 정부측 발표자는 민·관 협의체에서 안전성 수준에 관한 법적·기술적 가이드라인을 마련하고 있다는 이유로 진전된 대안을 내놓지 못했다.

국무총리실, 방송통신위원회, 행정안전부 등 관계부처는 공인인증서와 동등한 수준의 안전성이 인정되는 보안방법을 허용키로 하고, 금융기관·소비자가 자율적으로 인증방식을 선택할 수 있도록 민·관협의체를 구성해 이달 말까지 가이드라인을 내놓기로 한 바 있다.

방송통신위원회 홍진배 인터넷정책과장은 "이용자들의 보안 및 책임의식이 높아진만큼 최대한 선택의 자유를 부여하겠다는 게 대의"라면서도 "현재 자세한 사항은 민·관협의체에서 논의 중이라 밝힐 수 없고, 필요하면 공청회 등도 추진할 방침"이라고 말했다.

이에 NHN 김광준 경영지원그룹장은 정부가 발표한 공인인증서와 동등한 수준의 안전성 평가시 객관성이 담보돼야 한다고 강조했다.

김광준 경영지원그룹장은 "공인인증서와 동등한 수준의 안전성이 현 상태에서 가능한 것인지 의문이 들고, 그 판단에서도 객관성이 반드시 담보돼야 한다"며 "차라리 금융기관에 선택권을 주되 책임을 일정부분 나누는 방식이 어떨까 한다"고 덧붙였다.

임혜정기자 heather@inews24.com







포토뉴스