문재인 정부의 가장 빛나는(?) IT 정책에 시동이 걸리고 있습니다.
'공인인증서 제도' 20년 만에 전면 폐지법 입법예고 - 이데일리
기사의 내용을 간략이 정리하자면 공인인증서 제도를 폐지한다는 것입니다. 따라서 다른 인증 수단과 경쟁이 가능해지게 되었습니다.
우리가 알아둬야 할 사실은 이미 2015년에 공인인증서 의무 조항이 폐지되었다는 점입니다. 하지만 공인인증제도 자체는 존속 되었었지요. 이번에 바뀌는 점은 아예 공인인증제도 자체를 없애는 것입니다.
하지만 이게 사라진다고 공인인증서 제도가 사라지는건 아닙니다. 인증 제도 자체를 시장에 맡기도록 하는 법적 근거일 뿐이지요.
하지만 기대를 할 수 있습니다. 적어도 지금보다 나은 환경으로 말이죠.
공인인증서는 왜 불편했나
공인인증을 처리하기 위한 기술이 비표준 이었다는 점이 불편함의 시작 이었습니다. 브라우저 만으로 공인인증을 처리할 수가 없으니 결국 외부 프로그램이 필요하게 되었습니다.더구나 하필이면 이 외부 프로그램의 배포 방법을 Active-X 라 불리우는 IE에 종속된 기술로만 제공했기에 결국 2차적인 브라우저 제한이 가해지게 되었습니다.
OS와 브라우저 제한이 가해진 상황에서 외부 프로그램을 설치해야 하는 불편함이 발생하게 되었습니다. 이 때 부터 한국 PC 시장은 윈도우가 아니면 답이 없다 수준으로 변해 버렸습니다.
여기에 보안 문제가 대두되면서 사용자 측의 보안을 강화시킨다는 명목으로 온갖 보안 프로그램을 사용자의 PC에 설치하는 것을 의무화 하기 시작합니다. 즉 안티바이러스, 방화벽, 키보드보안 등등 말이죠. 이것들은 보안을 제공해주기는 커녕 사용자 PC에서 문제를 일으키거나 시스템을 느려지게 만드는 등 다양한 사고를 일으켰습니다.
심지어 공인인증서는 유효기간이 존재하기 때문에 매 년 공인인증서 발급 전쟁이 벌어 졌습니다. 만료된 공인인증서는 당연히 쓸 수가 없으니깐요.
당연히 많은 사람들이 불평불만을 제기 하였습니다. 하지만 그럼에도 공인인증서는 사라지지 않았습니다. 왜냐하면 공인인증제도만이 한국에서 유일하게 인정되는 전자서명법 이었기 때문이지요.
공인인증서의 보안 문제
초기 부터 지금까지 공인인증서를 아무 보안 없이 저장 하는 형식이었다는 점은 공인인증서의 보안 허술성을 잘 보여주는 사례 입니다. 어디에 저장했던 NPKI 폴더를 뒤져보면 개인키를 담은 인증서를 쉽게 찾을 수가 있었으니깐요. 즉 공인인증서는 쉽게 유출 될 수 있었다는 말입니다.그래서 허술한 공인인증서 자체의 문제점을 막아보고자 사용자에게 보안툴을 강제화 하게 됩니다. 백신과 방화벽 그리고 키보드 보안에 이르기까지 검증되지 않은 프로그램을 사용자에게 마구 설치하도록 강제하게 되었습니다.
또다른 문제는 Active-X 라는 배포 방식의 보안 문제입니다. Active-X 는 MS에서 개발한 기술로 사용자 컴퓨터에서 돌아가는 프로그램을 웹페이지 안에 넣을 수 있게 하는 플러그인 기술임과 동시에 배포 및 설치를 웹페이지 안에서 할 수 있도록 한 기술입니다.
잘못된 혹은 누군가가 바꿔치기한 프로그램이 Active-X 를 통해 퍼지기 시작하면 겉잡을수 없을 만큼 큰 사고가 날게 뻔합니다. 사용자는 이게 문제가 있는지 악성코드에 감염되었는지를 설치하기 전 까진 파악 할 수가 없으니깐요.
거기다 Active-X 에 인숙해진 사용자들이 설치 다이얼로그가 떴을때 자동으로 설치를 누르게 되는 문제점까지 나타나게 되었습니다. 이로 인해 무분별하게 아무 사이트의 Active-X를 설치하게 되고 결국 사용자의 컴퓨터는 스팸과 악성코드의 온상이 되었습니다.
유머로도 종종 쓰이던 무분별하게 설치된 Active-X 툴바들
심지어 Active-X 로 인해 윈도우 최신 버전을 사용자들이 멀리하게 되는 기이한 현상까지 나타나게 되었습니다. 최신 버전에서는 보안 문제로 설치를 막는 경우도 생겼기 때문이지요. 지원이 끝나서 보안 결함이 있을지도 구형 OS를 사용자들이 오래동안 사용한 이유 중 하나였지요.
그 외에 보안 프로그램끼리 서로를 악성코드로 의심하거나 충돌해서 윈도우를 다운 시키는 등의 문제도 부지기수 였습니다.
오히려 이를 한국이 아닌 브라우저 제조사에서 Active-X 나 NPAPI 등과 같은 설치 기술과 플러그인 시스템의 보안 문제를 거론하며 단계적으로 폐지시켜 나가기 시작 했습니다. 한국은 당연히 이에 놀라서 펄떡거리며 오히려 폐지하지 말라는 등 어이없는 행동을 하였지요.
뭐 하여간 이로 인해 503 정부에서는 Active-X 유일 배포 방식을 폐지하고 대신 .exe 로 배포하자라는 어이없는 병크를 저질렀고 덕분에 최소한 503 정부는 병신 소리를 들어 왔지요.
이 외에 누군가 사용자의 공인인증서 및 기타 비밀번호 등을 탈취해서 금융 사고를 일으킬 경우 이를 금융사가 미연에 방지하기 위한 책임이 금융사에는 없었습니다. 그야말로 대부분의 보안 책임을 사용자에게 돌린 셈이었지요.
무엇이 변할까
결론 부터 이야기 하자면, 공인인증서 제도가 폐지된다 하더라도 한동안은 기존의 공인인증시스템 및 현 보안체계는 그대로 갈 것이 제 예상입니다.우선 각 은행들은 바로 새로운 인증 시스템을 구축하지는 않을 것입니다. 이 과정은 분명 비용이 발생하기 때문입니다. 심지어 검증되지 않은 인증 시스템을 도입할 곳은 없을 것입니다.
새로운 서비스 등을 통해 새로운 인증시스템 혹은 외국에서 쓰이던 표준 인증 방법이 국내에도 활성화 되기 시작하게 되면 슬슬 금융사 등에서 벤치마킹이 시작될 것입니다. 그리고 새로운 서비스에 대한 만족도가 높아지면서 검증 까지 된다면 금융사 등에서는 당연하게 새로운 인증 시스템 구축 논의가 시작되게 되겠죠.
하지만 경쟁 과정에서 우세한 인증방식이 빨리 나오지 않는다면 여러 인증 시스템이 경쟁하게 되고 따라서 금융사가 직접 인증시스템을 개발할 만한 추이가 나오기가 힘들 것이 뻔합니다. 역시 여러 시스템을 한번에 만드는 것은 그야말로 비용 낭비일 수도 있으니깐요.
그렇다면 그 다음으로 새로운 인증 대행사가 등장하게 될 것입니다. 여러 인증 수단을 대신 제공해 주는 형식의 사업모델을 만들고 이를 금융권이 도입하기 시작 하겠지요. 물론 이 경우 인증비용 문제가 걸림돌이 될 것 같지만 국가가 어느 정도 통제해 주면 큰 문제는 안될수도 있겠지요.
결론적으로 새로운 인증 시스템의 도입은 여러 과정이 필요하기에 제법 오래 걸릴 것입니다.
공인인증제도 만으로 끝은 아니다
사용자에게 보안 프로그램 설치 의무를 둬서 보안 사고 발생 책임을 사용자에게 전가하는 방식이 관행 이었다면 이런 관행이 새 인증 시스템에서 그대로 이어질지가 새로운 화두가 될 거라 생각됩니다.외국 처럼 서비스 제공 주체자가 강화된 보안 시스템을 만드는 것은 기존의 것을 도입하든 새로 만들든 비용과 시간 문제가 발생하게 됩니다.
대표적인 예로, 사용자의 결제 습관을 파악해 뒀다가 부정 결제로 의심되는 결제를 판단해 이를 차단하고 사용자에게 통지하는 시스템은 외국에서 이미 오래 전부터 연구가 되고 실전에 사용되던 보안 시스템 입니다.
어찌되었건 이 문제로 시간이 더 걸리게 될 것은 확실합니다.
사용자에게 특정한 보안도구의 설치를 요구하는 것은 사용자에게 불편함 뿐만 아니라 선택의 자유 까지 침해하는 셈 이기에 이 부분도 논란이 될 것은 분명합니다.
결론
어떤 금융회사가 재빨리 변화를 선도해서 성공했으면 하는 기대가 있습니다. 이렇게 되면 정말 빠르게 한국 전자서명 제도가 바뀌게 될 가능성이 크니깐요.하지만 이럴 가능성은 적다고 생각됩니다.
결국 공인인증서가 한국에서 퇴출 되기에는 많은 시간이 걸린다고 생각합니다. 안타까운 일이지만 가장 현실적인 것 같습니다.