[커버스토리] 천송이 코트 2년… 여전한 '본인인증의 벽'

# 10분. 한 보험사 홈페이지에서 단순계약을 조회하는 데 걸린 시간이다. 액티브X는 다운받지 않았지만 공인인증서, 통합설치프로그램, 개인PC 방화벽&키보드보안&부정거래사용확인프로그램 등 또 다른 프로그램들을 억지로 설치해야 했다. 보안프로그램을 설치하지 않으면 계약조회 페이지를 이용할 수 없다. 또 ‘exe’(실행파일) 방식 보안프로그램을 다운받는 동안 다른 창들은 사라졌다.

“중국인이 국내 온라인쇼핑몰에서 ‘천송이 코트’를 사고 싶어도 못산다고 합니다.” 지난 2014년 3월 박근혜 대통령의 한마디에 관계부처는 부랴부랴 공인인증서 의무사용 조항을 폐지했다.


그로부터 2년이 지난 현재 얼마나 달라졌을까. 체감되는 변화는 아직 미미하다. 대부분의 금융사가 여전히 공인인증서를 사용한다. 공공기관 홈페이지에서도 사용자의 ‘자필서명’이 필요한 항목마다 공인인증서가 쓰인다. 민원서류 발급, 연말정산, 통합연금포털 등이 대표적이다. 일부 금융사의 경우 액티브X를 걷어냈지만 또 다른 비표준기술인 exe라는 프로그램을 다운받아야 한다. 결과적으로 액티브X가 exe 파일방식으로 바뀌었을 뿐이다.

금융업계는 공인인증서를 대체할 수단이 없다고 항변한다. ▲신용카드 ▲ARS·SMS ▲휴대폰 ▲OTP(일회용비밀번호생성기) ▲바이오인증 등 다양한 대체시스템이 도입됐지만 아직 ‘공인’된 인증서라는 인식이 부족하다.

보험업계 관계자는 “공인인증서를 쓰는 고객이 아직 많기 때문에 당장 바꾸기 어렵다”며 “다른 인증기술은 아직 안전성을 담보할 수 없어 당분간 공인인증서를 쓸 수밖에 없다”고 말했다. 그동안 써왔던 공인인증서를 비용과 시간, 인력을 투자해가며 다른 방식으로 바꿀 이유가 없다는 얘기다.

◆정부가 금융사에 준 면죄부
우리나라는 정부가 지정한 금융결제원, 한국정보인증, 코스콤, 한국전자인증, 한국무역정보통신 등 5곳의 공인인증기관이 사용자가 맞음을 인증해준다. 이 과정을 통해 발급하는 것이 바로 공인인증서다.


대부분의 국내 금융사는 이 같은 공인인증서에 보안을 기대고 있다. 익명을 요구한 보안업계 관계자는 “공인인증서가 보안이라는 원래의 목적 외에도 금융기관의 책임 회피용으로 사용되는 면이 있다”며 “보안사고가 발생했을 때 금융사로서는 정부가 인정한 보안기술(공인인증서)을 탑재해 이만큼 보안에 노력했으니 사용자에게 책임이 있다는 식으로 떠넘길 소지가 있다”고 설명했다. 금융사들이 공인인증서를 고집하는 이유기도 하다. 다시 말해 정부가 금융회사에 면죄부를 준 셈이다.

보안업계는 공인인증서의 보안시스템보다 제도의 방향성에 문제가 있다고 지적한다. 보안업체 관계자는 “외국에서는 사용자에게 공인인증서를 요구하지 않지만 사고 발생 시 사업자에게 책임을 묻고 보상하도록 하는 법 제도가 뒷받침돼 회사 스스로 부정방지시스템에 신경을 많이 쓴다”며 “반면 우리나라는 사고가 나도 해당 회사에 대한 처벌이 ‘솜방망이’에 그치다 보니 회사가 보안에 대한 투자를 소홀히 하는 경향이 크다”고 지적했다.

실제 금융권의 정보보호 관련 IT인력 채용 증가세는 크게 둔화됐다. 한국은행이 발표한 ‘2015년 금융정보화 추진현황’에 따르면 정보보호인력의 증가율이 2013년 28.4%에서 2014년 34.0%로 상승했으나 지난해에는 4.9%로 7분의1 수준으로 떨어졌다.

KB금융지주경영연구소의 ‘국내외 금융권의 정보보안 최근 동향과 전망’ 보고서에 따르면 18개 국내 은행의 IT 투자 예산 대비 보안예산 비율은 2014년 기준 10~15%로 조사됐다. 미국은행권(40%)과 영국은행권(50%)에 비해 상당히 낮은 수준이다.

이 관계자는 “공인인증서 의무사용규정 폐지도 다시 풀어보면 정부가 책임지지 않겠다는 뜻으로 해석된다”며 “금융권은 금융권대로 공인인증서를 유지하며 책임을 회피하고 정부 역시 발을 빼면서 의무사용규정 폐지라는 단어로 생색만 낼 뿐 모두 사용자의 불편에 외면한다”고 비판했다.

◆해외, 로그인만으로 결제… 강력한 보안

외국의 상황은 어떨까. 외국사이트는 인터넷뱅킹과 전자상거래를 진행할 때 별도의 실행파일을 설치할 필요가 없다. 웹사이트를 만들 때 HTML5 기반의 웹 표준을 적용하기 때문이다. HTML5 방식은 액티브X와 같은 플러그인 없이 다양한 웹 환경을 구현하는 기술이다.

따라서 인터넷익스플로러(IE)·크롬·파이어폭스·사파리·오페라 등 어떤 웹 브라우저에서도 보안프로그램을 설치할 필요 없이 사이트를 이용할 수 있다. 대신 국가가 아닌 공신력 있는 제3자가 인증해주는 방식을 취한다. 베리사인, 코모도그룹 등이 대표적인 제3자 인증기관이다.

해외 금융사이트의 경우 은행 ID·비밀번호와 OTP 등 이중보안을 기본으로 한다. 국내 금융사 사이트는 은행 ID·비밀번호, 공인인증서, OTP의 삼중보안을 취한다. 따라서 국내가 훨씬 안전할 것 같지만 실상은 그렇지 않다. 해외 금융사들은 자사 사이트에 이중보안 외에도 공인인증서가 아닌 자체적인 강력한 보안시스템을 도입·적용한다.

예컨대 뱅크오브아메리카(BOA) 홈페이지에서 인터넷뱅킹을 하려면 은행 ID·비밀번호, OTP 외에 이미지 패스워드라는 과정을 한번 더 거쳐야 한다. 이미지 패스워드는 사용자만 알 수 있는 암호화된 그림으로 해당 그림을 찾지 못하면 거래를 진행할 수 없다. 제3자인 해커는 해당 이미지 패스워드 과정을 뚫기 힘들다. 자체 개발한 보안방식을 적용해 삼중·사중 보안을 취하는 셈이다.

전세계 2억명이 사용하는 미국 결제서비스 페이팔도 공인인증 없이 자사만의 보안시스템을 통해 본인인증을 진행·검증한다. 대신 결제사고 시 회사가 전부 책임진다. 알리바바(중국)의 알리페이도 마찬가지다. 계정 하나로 단번에 결제되는 간편성을 보장하되 해킹 등으로 인한 사고가 최소화되도록 서버보안에 철저하다. 아마존·이베이 등은 거래 중 이상징후를 미리 발견하고 경고하는 이상거래탐지시스템(FDS)을 적용한다.

우리나라 일부 금융사도 이 같은 시스템을 도입했지만 아직 대중화되지 않았다. 전문가들은 최소 5년의 시간이 필요하다고 본다.

이현승 소프트웨어정책연구소 법·제도 연구팀장은 “공인인증서를 대신할 대체수단을 마련하라고 법적으로 강제하기 어려운 측면이 있다”며 “안전성과 편의성 측면에서 어떤 본인인증방식이 유용한지는 시간이 지나야 드러날 것”이라고 말했다. 이어 “다만 정부정책의 초점을 스마트폰과 태블릿 등 모바일기기 중심으로 맞출 필요가 있다”며 “사용자의 편의성을 고려하고 보안기술에 대한 감독강화가 필요한 시점”이라고 강조했다.