공인인증서 의무사용 중단 및 향후 전망
전자상거래 초창기부터 지금까지 금융감독당국은 전자금융거래에 ‘공인인증서’ 사용을 강요해 왔다. 정부의 이러한 잘못된 규제로 가장 큰 피해를 보는 자는 이용자들 본인이다.
새로운 사이트에서 결제할 일이 있으면 각오를 단단히 하고 온갖 프로그램을 설치하고 웹브라우저를 껐다켜고 심지어는 컴퓨터를 재부팅하라는 지시도 군말없이 따라야 하는 코메디 같은 상황에서 이용자들이 허비하는 시간과 효율감소를 모두 고려한다면 그 피해는 막대할 것이다. 게다가 국내 이용자 대부분의 컴퓨터는 이런 저런 악성코드에 이미 감염되어 있다고 봐야 한다. 이른바 ‘컴맹’이용자들은 말할 것도 없고, 평균이상의 컴퓨터 지식을 가진 이용자들도 끝없이 “예”를 누르라, “반드시 설치하셔야 합니다”는 거듭된 요구에 세뇌된지 10년이 넘었다. 보안경고창은 그저 “OK”를 눌러 없애는 창으로 생각하도록 온 국민을 훈련시켜놓고 컴퓨터 ‘보안’에 대해서 이러쿵 저러쿵하는 국내 보안업체들의 행태는 그저 실소를 자아낼 뿐이다.
프로그램 몇 개 설치하고 전자인증서를 사용하게 만들면 보안이 달성될거라는 납득하기 어려운 발상으로 공인인증서 사용을 강요하면서, 정부가 ‘공인’하기만 하면 ‘안전’하게 될 것처럼 인증업체들에게 ‘공인’ 딱지를 붙여주는 판촉행위를 정부가 해왔다. 그러나 정작 이용자들은 막대한 금전적 피해를 입고 있다. 공인인증서 재발급이 허술하게 관리되는 점을 이용해서 벌어지는 보이스피싱 공격으로 지난 6년동안 대략 40,000여명이 4,000억원 넘게 피해를 보았다.1 최근에는 공인인증업체 직원까지 범죄에 가담하여 공인인증서를 함부로 발급하고 그것으로 본인도 모르게 대출을 받아 가로채는 사기조직이 적발되기도 했다.2 애초에 공인인증서 사용을 ‘강제’하는 쪽으로 금융감독당국이 보안기술 규제의 첫 단추를 잘못 끼우게 된데는 일부 법률가들이 전자서명에 대하여 허황된 환상을 품었기 때문이기도 하다. 이들은 전자 거래(비대면 거래)에서 당사자 신원을 확인하는 믿을만한 수단이 전자인증서 뿐인 것처럼 오해했고, 날인이나 육필서명에 준하는 ‘전자서명’이 없으면 전자문서는 법적 효력을 인정받을 수 없다면서 전자거래가 법적으로 효력을 인정받으려면 전자서명이 ‘반드시’ 필요하다고 주장해왔다. 물론, 이런 주장은 터무니없는 것들이다. 비대면 거래에서 당사자 신원을 확인하는 기술이 전자인증서 뿐이라고 전제하는 것은 자신의 무지함을 드러낼 뿐이다. 전자거래에 전자서명이 반드시 필요한 것도 아니다. 전세계 대부분 전자상거래, 온라인 뱅킹거래는 오히려 고객의 전자서명 없이 이루어진다. 전자서명이 없으면 법적 효력을 인정받을 수 없다거나, 법적 효력을 당사자가 함부로 부인할 수 있을 거라는 주장은 법도 모르고 현실도 모르는 자의 과장된 환상에 지나지 않는다.
물론 인증 업체들이야 전자서명 솔루션을 판매하기 위해서 법률을 모르는 고객을 상대로 과장된 판촉용 주장을 할 여지가 있고, 이것이 그리 놀라운 일은 아니다. 그러나, 지난 10여년간 금융규제당국이 외국의 전자상거래가 어떻게 이루어지는 전혀 모르는 대다수 국민을 상대로 인증업체의 과장되고 왜곡된 판촉주장을 앞세우며 공인인증서 사용을 강제해 왔는데, 이것은 크게 잘못된 것이다. 언젠가는 적절한 문책이 있어야 할 것이다.
금융위원회는 공인인증서 강요체제에 대한 지속적인 문제제기에 마지못해 전자금융감독규정 시행세칙을 일부 개정하여 2014년 5월 20일부터는 신용카드나 직불카드 결제거래에는 공인인증서 의무사용체제를 더이상 고집하지 않기로 하였다. 하지만 이체거래의 경우에는 여전히 공인인증서 등을 사용하도록 강제하며, 뱅킹거래의 경우에는 1원을 이체해도 공인인증서 등을 사용하도록 여전히 강요하고 있다.
금융규제당국이 전자금융거래의 ‘안전’을 중요시하는 것은 당연하지만, ‘공인인증서 등’에 이토록 집착하는 것은 몰상식하고 미개한 것이다. 제대로 된 나라의 금융규제당국은 특정 보안기술을 찍어서 ‘이것이 안전하니 반드시 이것을 사용하라’는 태도를 취하지 않는다. ‘안전’이 중요하지 않아서 그런 것이 아니라, 그런 식의 정책은 ‘안전’을 달성하기는커녕 그 나라의 보안기술을 퇴보시키고 시스템 전반을 취약하게 만들기 때문이다. 미국 연방금융감독위원회(FFIEC)가 발간한 인증기준을 보면, “이 기준은 … 특정 기술을 지지하지 않는다(This guidance … does not endorse any particular technology.)”라고 명시해 두고 있다. 왜 그런지 곰곰이 생각해 볼 필요가 있다.
전자금융거래에 대한 규제의 방향과 전략은 다음과 같이 근본적으로 전환될 필요가 있다.
첫째, 규제자가 ‘공인인증서’ 등 특정 기술을 언급하며 그것을 사용하라고 강요하거나 권장하는 부끄러운 행위(업계 유착 행위)는 이제 그만해야 한다. 공인인증서 등을 강요하는 현행 전자금융감독규정 제37조는 다음과 같이 수정되어야 한다: “금융회사는 거래의 성격과 해당 거래에 수반하는 위험의 수준을 고려하여 업계의 기술 수준을 반영한 합리적인 당사자 인증 기술을 채택하여야 한다”. 이렇게 개정하면 아무도 더 이상 금융위/금감원이 인증업체와 결탁, 유착하고 있다고 공격할 이유가 없게 될 것이다. 공인인증서를 강요해주는 금융위원회 소속 고위공무원이 퇴직하자마자 공인인증업체 임원이 되어 10억여원씩을 받아가는 ‘후진국형 부패 사슬’이 아직도 존재한다는 것은 부끄러운 일이다.
둘째, 인증방법평가위원회는 폐지하여야 한다. 애당초 금감원 산하에 인증방법평가위원회라는 것을 둔 이유가 공인인증서 강요 체제를 ‘일부’ 완화하는 시늉을 하기 위한 것이었다. 공인인증서 강요 체제가 전면 폐기될 경우에는 인증방법평가위원회라는 것도 존재할 이유가 없다. 인증기술을 금융규제자 산하의 어떤 위원회가 평가한다는 것 자체도 상식에 반한다. 우리나라가 공산주의 국가도 아닐 뿐 아니라, “OECD 암호정책 가이드라인”은 “암호 기법의 개발과 제공은 개방적이고 경쟁적인 환경에서 시장을 통하여 결정 (determined by the market) 되어야 한다. 그래야 기술변화 속도에 뒤지지 않을 수 있고, 이용자의 수요와 정보통신망 보안에 대한 공격기법의 진화에도 적시에 대응할 수 있게 된다”고 하고 있다. 금융위/금감원은 보안기술 선택에 더 이상 개입하지 않아야 한다. 보안기술의 선택은 은행/카드사 등의 경영진이 판단하게 하는 대신, 규제자는 사고에 대한 철저하고 신속한 배상이 이루어지도록 감독하는 것이 자신의 본분이라는 점을 인식할 필요가 있다.
셋째, 금융위/금감원이 “보안성 심의”를 하도록 규정하는 현행 전자금융감독규정 제36조는 삭제되어야 한다. 금감위/금감원이 실제로 ‘보안성 심의’를 수행할 전문성이 있을리 만무하다. 실질적 보안점검 능력도 없는 규제자가 일회성 서류 심사로 ‘보안성 심의필’ 도장을 찍어주는 것은 싸구려 면죄부를 남발하는 행위가 될 뿐이다. 규제 기득권만을 부풀리기 위한 위선적인 보안성 심의 제도는 즉각 폐지하고, 그대신 실효성 있는 실질적 보안점검이 지속적, 상시적으로 이루어지도록 다음과 같은 조항을 도입하여야 한다: “금융회사 등은 국제적으로 통용되는 금융보안 점검기준에 따른 보안감사를 수행할 전문성과 독립성이 있는 보안감사 업체와 계약을 체결하고 보안감사를 연1회 이상 받아야 한다.”
넷째, 현행 전자금융거래법 제9조는 전자금융사고거래 피해자가 배상을 받을 수 있는 경우를 기술적으로 제한하여 규정해두고 있기 때문에 피해자는 자신이 당한 사고가 이 중 하나의 유형에 해당한다는 점을 입증해야 하도록 되어 있다. 사고의 ‘기술적 경위’를 이렇게 피해자가 밝혀내도록 부담을 지우는 현행 전자금융거래법 제9조는 금융회사 등에게만 편파적으로 유리한 규정이다. 거래 솔루션은 은행/카드사 등이 관리하는 것이고, 사고거래를 예방하는데 필요한 기술적 조치를 마련할 책임도 은행/카드사가 지는 것이므로 이들이 사고의 기술적 경위를 이해할 수 있는 지위에 있다. 뜬금없이 고객에게 사고의 기술적 경위를 밝혀내라고 요구하는 현행 규정은 터무니 없다. 미국이나 영국처럼 우리도 “고객의 승인 없는 지급(unauthorized payment)으로 인하여 발생한 손해”를 금융회사가 배상하도록 법규정을 개정함으로써, 피해 고객이 사고거래의 기술적 경위를 일일이 밝혀내지 않아도 되도록 해야 한다.
과연 금융위/금감원이 이런 방향으로 전자금융거래법 개정을 이루어낼 수 있는지를 관심있게 지켜볼 필요가 있다. 금융규제당국은 그동안 공인인증서 등을 강요하면서 공인인증업체와의 달콤한 유착관계에 안주해 왔다. 전자금융거래법 제9조에 따른 배상을 받기가 실제로 매우 까다롭게 되어 있고, 대부분의 피해자가 패소하고 있음을 알면서도 법을 개정하기는커녕 “공인인증서는 안전하다”고 우기거나, “사고 당하지 않도록 조심하라”는 무책임한 태도를 취해왔다. 심지어는 1억건이 넘는 고객정보가 유출되었는데도 금융위원장은 “2차 피해는 없을 것으로 확신한다”는 터무니없는 주장을 내세우며 금융회사를 감싸고 돌기에 급급하는 태도를 보여왔다.
공인인증서 안쓰는 여러 선진국의 금융규제당국은 개인고객이 사고거래로 피해를 입으면 은행/카드사가 즉각 배상하도록 감독하고 있다. 따라서 사고를 줄이기 위해 은행/카드사들이 보안에 투자를 하는 구조이다. 한국은 사고를 줄이기 위해 금융회사가 보안에 투자하는 것이 아니라, 개인들에게 공인인증서를 반드시 쓰라면서 “보안경고창을 무시하고 ‘예’를 누르라”는 위험천만한 안내를 거듭해 놓고, 매년 수천건씩의 사고거래가 발생하면 어째서 그것이 사고거래인지를 피해자가 일일이 기술적으로 밝혀내보라고 요구하는 괴상망칙한 상황이다. 앞으로 얼마나 더 이런 모순투성이 상황에서 금융소비자들이 고통을 겪어야 할지 암울하기 그지없다. 온 국민이 고통을 겪는 동안 공인인증업체로부터 10억여원을 받아챙기는 금융위원회 부이사관 출신 인사는 대체 어떤 심정인지 궁금할 따름이다.