Weekly Korea EDIT
- 2020년 6월 25일
- 2분 분량

[조기조의 세상 속으로] 공인인증서

최종 수정일: 2020년 6월 28일

서류에는 서명 날인을 하는데 도장이 없으면 지장(指章; 指紋)을 찍었다. 그러다가 어느 사이, 서명(사인; signature)으로 인증이 가능했다. 그래도 중요한 문서는 공증을 받도록 했고 증거를 확실히 하기 위해 내용증명이라는 것을 해 둔다.

대부분의 거래가 비대면으로 이루어지는 요즈음, 서로 어떻게 믿고 거래를 할까? 쇼핑몰이 하는 중요한 역할은 진열한 상품을 찾기 쉽도록 하고 장바구니에 담아 안전하고 편리하게 결제하도록 돕는 것이다.

배송은 제 3자인 택배사에 맡기고 지불은 에스크로(escrow) 방법을 택한다. 이는, 쇼핑몰이 돈을 받고는 구매자가 상품을 받은 후, 구매를 결정하면 대금을 판매자에게 전하는 방법이다. 그런데 온라인으로 직거래를 할 경우에는 어떻게 할까? 당사자 간에 서로를 믿어야 하기에 인증이 필요하다.

뒤에 서(書)자가 붙은 공인인증서는 전자문서이고 우리가 그걸 읽고 내용을 알아낼 것이 거의 없는 기호(암호)같은 것으로 되어 있다.

지난 5월20일, 1999년에 도입되어 20년을 넘긴 이 공인인증서의 존립과 제도를 설명하는 전자서명법(digital signature act)이 개정되었다. 개정의 요지는 ‘공인’이라는 말을 빼어버리면 거의 다 맞다. 기존의 공인인증서는 그대로 유효하고 공인인증기관도 존속한다.

다만 공인이라는 말을 뺀 인증서, 인증기관으로 남을 뿐이고 이를 이용할 사람은 계속 이용하면 된다. 더하여 정보보안 기술을 갖춘 기업이 국가가 인정한 평가기관으로부터 승인을 받으면 인증기관이 되고 인증서를 발급할 수 있게 되었다.

이들 인증기관이 발급한 인증서가 법적 효력을 갖는 것이다. 인증의 방법은 여태까지 사용해 온 암호문으로 된 공개키 기반의 인증서 이외에 지문, 홍채, 목소리(성문), 안면, 손바닥 등의 생체 정보를 포함한 어떤 기술이라도 된다. 이해하기 어려운 블록체인(block chain) 기술이나 양자 암호도 인증에 쓰일 것이다.

이제까지 독점적인 지위를 차지한 공인인증기관은 정부가 최상위 인증기관(Root CA)을 정해 그 밑에 공인인증기관(CA)을 지정했고, 공인인증기관은 공인인증서를 발급하지만 공인인증서가 필요한, 개인이나 기관 또는 컴퓨터 서버의 신원을 확인하는 등록기관(RA)을 두어, 그 등록기관들이 공인인증서의 발급을 접수하고 직접 만나서 신원(개인, 기관 또는 그 서버)을 확인하는 절차를 거쳤다. 등록기관은 주로 은행이나 주민센터 등에서 맡았다.

더 편리하고 강화된 보안기술 기업이 많은데 소수의 공인인증기관에만 공인인증서를 발급하도록 독점적 권리를 부여하는 것도 특혜라는 논란을 일으켰다. 그래서 전자서명 제도를 민간 위주로 개편하여 경쟁을 시키고 국민의 선택권을 넓히자는 취지로 개정하게 된 것이다. 개정법에는 전자적 형태인 전자서명도 서명, 서명날인 또는 기명날인으로서의 효력을 갖는다고 명시하고 있다.

컴퓨터의 활용을 가르치던 나도 가끔 공인인증서 때문에 애를 먹었던 기억이 있으니 사람들이 얼마나 불편하고 힘들었을까? 공인인증서를 발급받아 컴퓨터에 설치하려면 액티브X와 다른 보조 프로그램들을 설치해야 하는데 이것들이 애를 먹인 것이다. 게다가 인증서를 불러낼 암호까지 자주 바꾸고 잘 기억해야 하는 문제로 참 거북스러웠다. 독점의 폐해다.

그간에 전자서명법을 몇 번 개정해서 시중은행의 모바일뱅킹과 전자상거래 결제 등에서는 간단하게 비밀번호를 입력하거나 생체인증 방식의 사설 전자인증으로 가능하게 되었다. 자동차에는 차량번호 외에 제조사가 자동차에 부여하는 17자리로 된 차량의 물리적 식별 번호인 차대번호가 있다. 마찬가지로 휴대폰에는 MAC이라는 기기마다

하나씩의 고유번호가 있다. 유심 칩을 바꾸면 전화번호는 바꿀 수 있지만 MAC은 바꿀 수 없다. 인터넷 연결이나 통화는 기기가 받은 IP 주소(또는 전화번호)와 MAC 주소를 보고 접속과 연결이 되는 것이다. 그러니까 인증에 MAC 주소가 용이하게 쓰인다는 점이다. 인증이 필요하면 QR 코드를 읽고 연결된 곳에서 확인을 하거나 즉각 스마트폰에 인증코드를 보내서 본인의 확인을 받는 방식이 많이 쓰이는 것이다. 과거에 쓰던 콜백(call-back)과 같은 방식이다.

대부분의 금융기관은 자체 앱으로 한 고객이 거래하는 모든 은행 정보를 자기 은행의 앱에 등록시켜두고 그 은행에서 다른 여러 은행계좌를 관리할 수 있게 한다. 아주 편리하다. 이제 공인인증서, 보안카드, 1회용 암호 발생기(OTP) 등이 다 무용지물이 되고 있다.

이동통신사들이 함께 만든 앱, ‘PASS’는 강력한 인증프로그램이다. 다른 좋은 인증 앱도 많다. 기술은 언제나 새로운 것이 나타나서 세상을 휩쓸어 버린다. 보안은 강력하고 사용하기는 쉬워야 한다. 기술이 자꾸 발달하면 인증서가 왜 필요하겠는가 싶다. 혁신가는 뼈를 깎지만 이용자는 안락하고 쾌적하다. 정치가도 그러면 얼마나 좋겠는가?

조기조, 경남대학교 명예교수로 칼럼을 쓰며 저술활동을 하고 있다.