공인인증서가 우리나라에 도입될 당시에는 획기적인 기술이었지만 시간이 흐르면서 오히려 국내 전자상거래 환경을 정체시켰을 뿐만 아니라 해킹에도 취약해 PC보안 환경도 떨어뜨렸다는 문젯거리가 돼버렸다. 이에 악성코드 등과 관련이 있었던 액티브X 없이도 사용할 수 있는 공인인증서 또는 국제적으로 통용될 수 있는 전자결제기술로 혁신하기 위한 움직임이 빠르게 진행되고 있다.
번거롭고 까다로웠던 인터넷결제
한옥 체험을 하고 싶은 사람들에게 북촌의 한옥을 소개하는 사이트인 코자자(kozaza.com). 코자자에서 온라인으로 예약과 결제를 하고 싶었던 외국인들은 번거롭고 까다로운 과정 때문에 아예 포기해버리는 경우가 많았다. 우리나라에서 온라인 결제를 하려면 공인인증서 사용이 의무화돼있는데 외국인들 중 공인인증서를 사용해 인터넷거래를 하는 이가 없어, 그들의 입장에서는 한국에서 인터넷결제를 하는 것은 복잡하기만 했다.
이에 박근혜 대통령은 지난 3월 ‘규제개혁 끝장토론’에서 “중국소비자들이 한국 드라마 출연자가 입었던 의상을 사려고 국내 인터넷쇼핑몰에 접속했지만 공인인증서 때문에 구매에 실패했다”고 지적했다. 이에 금융 당국은 공인인증서로 국내 인터넷쇼핑몰에서 물품 구매가 불가능한 외국인들에게만 공인인증서를 요구하지 않고 구매가 가능하도록 할 방침이었다. 그러나 공인인증서 사용에 따른 불편으로 그동안 불만이 쌓여왔던 국민들은 역차별 문제를 제기하자 공인인증서 면제를 국민에게도 적용하는 쪽으로 바뀌었다.
전자금융과 관계자는 “공인인증서 없는 온라인 쇼핑을 위해 비자·마스터카드처럼 국제적으로 통용되는 카드 번호로 구별하게 된다는 얘기는 사실과 다르다”며 “내·외국인 구별 없이 적용하게 될 것”이라고 말했다. 이와 함께 강제됐던 공인인증서 사용이 온라인 쇼핑에선 사라지지만 인터넷뱅킹에서는 아니라고 강조했다.
독점적이고 위험하고 부실했던….
사실 공인인증서는 다양한 인증방법 중 하나일 뿐인데도 다양한 인증방식이 차단돼 있었기 때문에 우리국민 중에는 공인인증서가 유일한 인증방법이라고 생각하는 이들이 많았다. 이렇게 된 데는 공인인증제가 1999년 도입된 이후 14년이 지난 현재 금융거래의 75%, 정부 민원 처리의 50%가 공인인증서를 통해 이뤄지고 있기 때문이다. 현재 공인인증 사용자는 2천800만 명을 넘어섰고 시장규모는 700억 원에 달한다.
공인인증서는 전자상거래에서 신원을 확인하거나 문서의 위조 및 변조, 거래사실 증명을 위해 사용하는 정보 중 하나인 전자서명을 안전하게 사용하기 위해 만들어진 것으로 실생활의 인감증명과 같은 역할을 한다.
이렇게 생성된 전자서명은 실제 서명과 동일한 법적 효력을 가지고 있어 전자상거래와 인터넷뱅킹, 증권, 보험, 서류 발급, 세금 납부 등 다양한 분야에서 활용되고 있다.
이런 공인인증서는 정부가 주도해 보급한 IT정책의 산물로, 도입 당시만 해도 앞선 기술이었다. 1999년 당시 인터넷 접속 프로그램 표준(40bit)보다 3배 이상 까다로운 암호화 기술(128bit)을 쓸 수 있어 보안성도 획기적으로 높일 수 있었다. 그러나 공인인증서 제도를 의무화하면서 혁신이 지속되지 못하게 됐다.
이에 김승주 고려대 교수는 “액티브X기반의 공인인증서 개발은 당시에는 보안을 위한 획기적인 대안이었으나 지금은 국제표준에서 멀어졌다”고 말했다.
김기창 고려대 교수는 지난해 본지 7월호에서 “공인인증서는 기술적으로 불편하고 위험하다”고 했다. 다시 말하면 “인증서를 한국화한 것이 공인인증서인데, 한국화됐기 때문에 웹브라우저가 인식을 못한다. 인식시키기 위해서 사용자는 자신의 컴퓨터에 이런 저런 프로그램을 설치해야한다. 사용자가 금융 거래를 위해 공인인증서 관련 플러그인을 설치할 때 보안되지 않는 서버인 ‘http’에서 내려 받아야 한다. 이런저런 프로그램을 설치하다 보면 프로그램 자체를 잘 이해하지 못하는 사용자는 설치 중에 악성코드 등이 자신의 컴퓨터에 깔리게 된다.
사실 사용자의 컴퓨터에 이것저것 까는 것이 가장 위험하고 3·20 보안대란도 다 컴퓨터에 사용자가 모르는 사이에 이상한 프로그램이 깔려서 발생한 거였다. 제도적으로 보자면, 공인인증서비스 75%를 금융결제원이 독점하고 있어 독점적인 시장 하에서 새로운 보안 관련 기술이 참여하는 것이 사실상 어렵다.
현재 공인인증업체가 5개가 있고 그 중에서 금융결제원이 가장 큰 업체다. 금융결제원은 이름이 공공기관 같지만 사실 민간업체다. 금융결제원은 매년 600억 정도의 순 이익을 얻고 있는데 이를 관리하는 기관이 금융위원회다. 그러다보니 도덕적해이가 심각한 상황이 됐는데 금융위원회 공무원이 해당 공인인증 업체 감사로 취업해 3년에 걸쳐 10억여 원의 연봉을 받았던 사실을 인정하기도 했다.
사실상 공인인증서비스를 제공하는 업체들이 국가의 보호 아래 독과점 이윤을 얻었고 이로 인해 인증기술, 보안기술이 퇴보하고 결과적으로 사용자만 계속해서 손해를 보고 있다”고 자세하게 설명했다.
이처럼 우리나라의 인터넷 공인인증시스템제도가 번거로울 뿐만 아니라 보안상 더 위험하다는 주장이 계속되면서 전자금융거래법 개정안도 발의됐었다.
미국, 기업이 결제방식 자유롭게 선택
김기창 교수는 또한 “그동안 국내에서는 온라인 결제나 인터넷뱅킹 등에 부정거래가 발생하면 사용자에게 책임을 돌리지만 미국에서는 사업자가 책임을 진다”고 했다. 즉 우리나라는 개인 사용자들이 보안 프로그램을 다운받아야 하는 구조다. 국내 은행은 액티브X와 공인인증서를 이용해야 금융거래를 할 수 있다. 인터넷뱅킹을 하려면 반드시 공인인증서가 필요하고 은행 웹사이트를 방문할 때도 키보드 보안, 방화벽 등과 같은 각종 보안 플러그인을 설치해야 한다.
그런데 해외의 경우 Https라는 서버 암호화 방식을 채택하고 아이디와 비밀번호만 입력하면 인터넷 결제가 이뤄진다. 인터넷뱅킹이나 인터넷쇼핑을 영위하는 사업자들은 거래의 패턴을 뒤에서 분석해, 거래내용 자체에 이상 징후가 포착되면 그것을 사전에 차단되게 하는 기술이 발달돼 있다. 사용자는 자기 컴퓨터에 어떤 프로그램도 추가로 설치하지 않는다.
보안은 백그라운드에서 체크하는 거다. 그래서 아마존닷컴의 경우는 사용자가 신용카드번호와 유효기간만 입력하면 전자거래가 가능하다.
또 비밀번호 유출 등 사고가 발생하면 사업자가 사용자에게 배상해야 한다는 내용의 법제도가 돼 있기 때문에 사업자 입장에서는 보안기술을 최대한 개발해서 적용하고 있다. 이 때문에 보안기술이 우리나라보다 월등히 앞설 수밖에 없다.
액티브X 없는 공인인증서 기술 개발 추진
특히 우리나라의 공인인증제도는 액티브X가 문제로 지목된다. 마이크로소프트(MS)가 개발, 인터넷 익스플로러에 종속된 액티브X가 본인 인증수단인 공인인증서는 물론, ISP결제나 안심클릭 등 본 결제 서비스 이용 시 필요하다. 웹 결제 때마다 팝업창으로 ‘보안 프로그램을 설치하라’고 나오는 플러그인 방식이 이용자들의 불안과 불편을 키운다는 것이다.
이와 관련해 전국경제인연합회가 700명을 대상으로 액티브X관련 설문조사를 한 결과 응답자의 78.6%가 폐지를 찬성한다고 응답했다고 밝혔다.
응답자 10명 중 8명은 액티브X 폐지를 매우 찬성하거나 찬성하는 것으로 나타났다. 반대하는 경우는 6.7%(반대5.0%, 매우반대1.7%)에 불과했다. 84.1%의 응답자는 액티브X를 다운받지 않아도 안전하게 접속 또는 결제하는 시스템이 필요하다고 답했다.
또한 응답자의 88%는 인터넷 사용 시 반드시 다운받아야 하는 각종 액티브X로 불편이나 애로를 겪은 경험이 있다고 밝혔다. 경험한 불편이나 애로사항으로는 온라인쇼핑몰가입 및 물품구매 79.1%, 은행거래 71.7%, 포탈 등 인터넷사이트 가입 38.3%, 연말정산 등 정부서비스 27.3%, 해외사이트 6.3%순이었다.
사실 앞에서 김기창 교수가 언급한 것처럼 액티브X가 불편하기도 하지만 액티브X 실행 환경 자체가 악성코드 침투 경로로 활용될 뿐만 아니라 사용자가 이를 내려 받도록 유도하는 방식 자체가 국가적인 보안 위협을 키워온 것으로 분석되고 있다.
이민화 창조경제연구회 이사장은 “우리나라는 스마트폰이나 LTE 등 기술선진국이지만 인터넷 보안은 공인인증서 사용을 강제하는 후진국으로 전세계 악성코드의 70%가 우리나라를 경유했다”고 말했다.
이에 액티브X 같은 플러그인 설치 없이 HTML5 표준으로 가능한 공인인증서를 이용할 수 있는 기술 개발을 추진하고 있다.
신준호 시큐에프엔 대표는 “PC, 모바일기기 구분 없이 어떤 웹브라우저에서도 액티브X 같은 플러그인 설치 없이 공인인증서 이용이 가능하게 됐다”며 “공인인증서를 다루는 웹서비스 제공 기관이나 기업에서 중복투자 없이 쓸 수 있어 공인인증서 신뢰성과 편의성에 일조할 것”이라며 강조했다.
LG CNS 등 한국기업, 페이팔 구글월렛과 경쟁
그렇다면 액티브X가 있든 없든 공인인증서를 강제하지 않는 제도 하에서 결제시스템 관련 시장은 어떻게 재편성될까.
전세계 전자결제(PG) 시장 1위를 차지하고 있는 이베이의 ‘페이팔’이 곧 국내에 상륙할 계획이다. 아마존이 국내 시장에 진출하게 되면서 아마존 웹사이트의 온라인 결제 대행사인 페이팔이 함께 들어올 예정인 것.
또 이베이가 인수한 옥션과 G마켓에도 페이팔이 적용될 예정이어서 우리나라 PG시장이 재편될 것으로 보인다. 페이팔은 안전하면서 쉬운 금융거래를 보장한다는 평을 받고 있다.
개인의 금융정보를 등록하면 아이디와 비밀번호를 부여한다. 이에 소비자는 이것만 있으면 언제 어디서든 금액에 관계없이 전자결제를 할 수 있다.
고객정보는 암호화해 한꺼번에 보관하고 있어 페이팔의 데이터베이스 자체가 해킹당하지 않는 이상 개인의 금융정보는 유출되지 않는다.
국내 오픈마켓 업체들도 온라인 결제시스템을 바꾸려는 시도를 계속하고 있다. 결제 정보를 한 번만 등록하면 이후 한 번의 클릭으로 결제가 가능한 ‘간편결제’를 선보이고 있다.
지난달 7일 업계에 따르면 옥션과 G마켓은 모바일 쇼핑 시 스마일페이라는 간편결제 서비스를 시작했다. 30만 원 이상 결제 시에는 공인인증서가 필요하지만 관련 정보를 사전에 입력해두면 비밀번호 입력만으로 결제가 된다.
간편 결제 서비스가 액티브X와 공인인증서 이후 새로운 인터넷 쇼핑 결제의 대안이 될 것이라는 의견 가운데 업계 관계자는 “기술적으로는 간편결제만으로도 액티브X와 공인인증서의 대체가 가능하다”고 말했다.
이와 함께 LG CNS의 결제시스템이 국내에서 가장 앞서가고 있다고 평가를 받고 있다. 이 회사의 ‘엠페이’는 이용자 정보를 단말기와 중앙 데이터센터에 절반씩 저장해 어느 한쪽이 설사 유출돼도 문제가 없도록 보완성을 높인 것이다.
또한 페이게이트의 기술력도 주목을 받고 있다. 이 업체는 결제 시 카드번호를 입력하면 결제금액과 다른 무작위 금액을 생성해 본인 인증 후 가짜 결재금액이 곧바로 취소되는 원리다.
한국인터넷진흥원(KISA)도 웹표준 HTML5를 기반으로 액티브X를 걷어낸 차세대 공인인증 시스템을 개발하고 있다. 한편 구글월렛은 클라우드 기반으로 보안성을 높여 스마트폰을 신용카드와 연결해 선불 충전하는 방식이다.
이런 국내 상황 가운데 이민화 창조경제연구회 이사장은 “공인인증서 외에도 사용할 수 있도록 전자금융거래법을 일부 개정하고 인증방법 평가위를 혁신하는 것이 대안이다.
공인인증서의 브라우저 내장이 보완책이 될 수 있다”며 “인증방법 평가위는 금감원이 운영하고 있으나 규제부처가 직접하면 안 되고 미래부나 안행부, 민간단체로 이관할 필요가 있다”고 조언했다.
진화하는 전자금융거래 환경
이제 한국에서도 원클릭 간편 결제의 등장을 기대해도 될 수 있을지에 대한 소비자들의 관심은 아주 높게 나타나고 있다.
그러나 보안성이 검증된 공인인증서 대체기술이 개발되지 않아서 글로벌 기업에게 보안결제 시장을 선점당할 수도 있다는 우려의 시각도 있다.
선택권이 소비자에게 돌아가고 보안 결제 시장의 기술력이 높아지게 되면 전자금융거래 환경이 한 단계 업그레이드 될 것만은 확실해 보인다.
MeCONOMY May 2014
