"독약같은 액티브X" vs "공인인증서 공격말라" 끝장 못본 토론회

입력 2013-08-23 19:56
'공인인증서 개선방향 끝장토론회' 끝장 보지 못한 끝장 토론회 현장 스케치

김대영 교수 "독약같은 액티브엑스 환경에 기생하는 거대한 이익집단 있다"
박성기 부장 "액티브엑스와 별개, 특수 목적으로 공인인증서 공격 말라"
김기창 교수 "국내 보안기술, 정부에 기대 자생력 포기"
배대헌 교수 "전자서명법 역사부터 알아야…개정안 신중해야"
이동산 이사 "공인인증서 문제 공감…근복적 해결책은 웹표준을 지키는 것"



토론은 뜨거웠지만 '끝장'은 보지못했다. 입장차도 여전했다.

23일 오후 3시부터 고려대 백주년기념관 국제회의실에서 4시간 넘게 이어진 '공인인증서 개선방향' 끝장 토론회 분위기였다. 토론 발표 뒤 한 질문자는 "토론을 보니 좀 무서운 느낌이 들었다"면서 "서로의 입장만 확인하고 당시 도입 분위기나 업계 사정 등을 포괄적으로 생각하지 못하는 듯 하다"고 꼬집기도 했다.

패널로 나선 고려대 김기창 교수, 충남대 김대영 교수, 경북대 배대헌 교수, 페이게이트 이동산 이사, 한국정보인증 박성기 부장, 한국인터넷진흥원 이정현 책임연구원 등 6명 뿐만 아니라 200명 넘는 업계 관계자 및 학생들로 토론회장은 꽉 찼다.

이날 토론 핵심은 국회에 제출된 '전자서명법 개정안'에 대한 찬성 및 반대 진영 간 논리싸움이었다. 민주당이 발의한 개정안 주요 내용은 ▲전자서명과 공인전자서명 구별 폐지(개정안 제3조) ▲공인인증기관 지정 방식을 허가제에서 등록제(신고제)로 변경(개정안 4조) ▲행정기관 공공기간 인증서 발급기관에 대해 독립적 제3자 점검 의무 등 3가지다.

현행법 상으로는 전자서명은 공인전자서명을 대체할 수 없다. 반드시 공인인증을 받아야만 금융 거래 본인임을 인증받을 수 있다. 개정안 장점은 등록제로 변경하면 누구나 인증기관 인증업무를 할 수 있고 국내 인증기관들도 해외진출이 쉬워진는 점이다. 인증기간 사이 상호연동이 어렵고 영세한 인증기관이 난립할 수 있다는건 단점으로 꼽힌다.

이날 토론회도 전자상거래의 핵심 영역인 전자서명 및 공인인증 방식 개정 합리성, 더 나아가 보안 실행프로그램인 '액티브엑스(X)' 사용환경에 대한 기술적, 문화적, 법제적 배경에 대한 서로 다른 시각이 쏟아지면서 '후끈' 달아올랐다.

◆ 개정 찬성파 "국내 보안기술, 정부만 바라보다 자생력 포기"

이날 김기창 교수와 김대영 교수, 이동산 이사는 개정안 내용에 적극 찬성한다는 입장이었다. 배대헌 교수는 신기술을 반영하려면 법개정은 어떨 수 없지만 개정안 내용은 더 심도 있게 들여다봐야한다는 입장이었다.

이번 개정안 발의를 주도하기도 한 김기창 교수는 영국 현지에서 스카이프(온라인 화상통화)로 원격 토론을 벌였다.

김 교수는 먼저 "금융거래 때 반드시 전자서명을 해야한다는 정부의 강제가 결국 국내 보안기술업계를 지난 13년간 국제 무대에서 경쟁하지 못하도록 만들어버렸다"고 안타까워했다. 국내의 액티브엑스 환경 및 공인인증 시스템은 기술적 문제가 아니라 정책의 문제라는 지적이었다.

그는 "해외 보안업체 관심사는 결제자에게 안전하고 편한 기술을 제공, 시장에서 선진적 기술로 살아남느냐 못하느냐다"라면서 "한국은 정부가 처음부터 공인인증을 강요하다보니 어떤 국내사도 상상력을 발휘해 이틀에서 벗어나려고 해보지 않았다"고 말했다. 이어 "외국계 여행사이트 결제 때 어떤 인증서 사용도 요구하지 않기 때문에 사용자도 편리하다"면서 "해외 업체는 전세계를 상대로 하고 있는데 한국 금융기관은 왜 못하느냐"고 반문했다.

김대영 교수는 국내 액티브엑스 환경과 공생 혹은 기생하는 거대한 이익집단 있다고 주장했다. 전자서명법 개정에 찬성하는 김 교수는 "독약같은 액티브엑스 환경에 붙은 거대 이익집단이 발전을 막고 있다"면서 "이런 먹이사슬을 깨지 않으면 한국 인터넷환경은 최악 후진국이 될 것"이라고 말했다.

그는 이어 "특정 기술 선택은 금융사업자의 몫이기 때문에 금융위원회(금융위) 같은 당국이 '윈도-액티브X' 특정 기술을 강제하는 것은 월권"이라면서 "국내 금융 보안환경 구축은 금융위가 아니라 인터넷 보안전문가가 할 일"이라고 말했다.

김 교수는 한국인터넷진흥원(KISA) 등 공인기관으로부터 본인 인증을 받아야하는 '인증 주체'에도 문제를 제기했다. 그는 "KISA 등 공공기관만이 공적 인증을 할 수 있다는 생각은 인터넷 시대에 맞지 않는 '빅브라더'적 발상"이라면서 "공공부분은 KISA인증을 따르더라고 사업성격에 따라 민간인증도 쓸 수 있도록 허용해야 한다"고 말했다. 개정안에 대해서는 "금융위의 특정 기술 강제를 막고 최상위 인증도 KISA 외 다른 기관이 할 수 있기 때문에 개정안 방향이 맞다고 생각한다"고 말했다.

페이게이트 이 이사는 액티브X 문제를 다들 공감할 것으로 본다고 운을 뗀 뒤 "근본적 해결방안은 웹표준 기반"이라고 강조했다.



◆ 새기술은 법개정 필요, 내용은 문제 "전자서명 역사를 돌아봐야"

경북대 배 교수는 이번 공인인증서 개선 이슈를 전자서명법 제정 및 법적 관점에서 설명했다. 그는 이날 전자서명법 개정 자체에 크게 반대하지는 않았지만 과거 법적 논의 전개을 이해할 필요가 있다고 했다.

특히 최근 전자서명법 자체가 첫 초기부터 잘못됐다는 식의 인식은 왜곡됐다고 비판했다. 공인인증서와 전자서명이 함께 성장할 수 밖에 없었던 국내 관련법 제정 과정을 이해하지 못한데서 나온 '무지'라는 주장이었다.

배 교수는 "전자사명은 당사자의 의사표시를 드러내는 것인데, 인증서는 행의자를 밝히는 신원확인"이라면서 " 현재 공개키기반구조(PKI)는 전자서명과 인증방식을 분리할 수 없는 기술이기 때문에 전자서명법에도 공인인증서 규정을 둘 수 밖에 없었다"고 설명했다. 이어 "지금 2013년에 기술을 바꿔야한다면 법개정부터 필요하기 때문에 개정은 불가파하다"면서 "개정안으로 공인인증제도의 안정성 확보하려면 인증 수단 다양화 및 장기 발전방향을 새롭게 모색해야 한다"고 진단했다.

특히 배 교수는 해외 공인인증 및 전자사명 사례를 국내와 비교해 '국내 방식은 후진적'이라고 표현해서는 안된다고 재차 강조했다. 그는 "미국이나 해외보다 우리나라는 인터넷보급 및 이동통신 이용 속도가 빨랐다"면서 "이런 상황에서 국가 개입 없이 민간에서 알아서 인증하고 서명하라고 할 수는 없었던 상황이었다"고 설명했다.

마지막으로 배 교수는 "에펠탑도 처음 지어졌을 당시 흉물이라는 비난을 받았지만 125년이 지난 지금은 프랑스 파리의 상징물이 됐다"면서 "공인인증 및 전자서명의 역사 역시 더 많은 시간이 흐른 뒤에야 평가받을 수 있을 것"이라고 말했다.

◆ 개정안은 '유신헌법' "공인인증서 공격 멈춰라"

한국정보인증 박 부장은 이날 6명 패널 가운데 개정안 반대 입장을 가장 분명히했다. 개정안이 유신헌법처럼 갑자기 튀어나와 국민 희생을 강요한다는 이유에서였다.


그는 "특수 목적으로 공인인증서를 공격말라"는 요지로 약 30분 동안 개정안 찬성 입장론자들의 의견을 조목조목 반박했다. 특히 "공인기관 제3자 검증 발상은 무정부주의적이다", "갈라파고스 주장론자들은 자신 외에 타인까지 갈라파고스로 만든다", "공인인증서는 유출돼도 문제없다" 등 거친 발언을 쏟아내 사회자로부터 제지받기도 했다.

박 부장은 "공인인증서와 액티브엑스는 별개의 문제"라고 못박았다. 공인인증서는 '무죄'라는 설명이었다. 그는 "은행 및 카드 금융결제 시 액티브엑스를 7번이나 깔아야한다고 주장하지만 공인인증서 관련 설치는 단 한차례뿐"이라면서 "나머지는 보안 및 악성코드 침투 방지 등을 위한 설치라 공인인증서와는 아무런 관련이 없다"고 말했다.

박 부장은 전자서명법 개정안을 '텅빈 껍데기' '유신헌법'에 비유하기도 했다. 그는 "은행과 금융 관련 문제라면 금융관련법으로 해결해야지 왜 전자서명법에서 공인인증서를 폐지하는 논리로 바꿔 금융 외 산업까지 영향을 미치냐"고 지적한 뒤 "개정안은 다른 국민의 희생을 강요하고 전자문서 관련 90개 산업을 무력화시키는 '유신헌법'"이라고 맹비난했다.

이어 외부 해킹으로 공인인증서가 유출돼도 별 문제 없다고 주장했다. 공인인증서는 본인확인을 위해 로그인을 지원하는 소프트웨어이기 때문에 공인인증암호나 계좌 비밀번호, 보안카드 등을 담고 있지 않기 유출돼도 악용하기 힘들다는 이유를 내세웠다.

박 부장은 MS윈도 환경에 갇혀 웹표준을 지원하지 않는다는 지적에는 "현재 공인인증서도 리눅스, 맥 PC 등에서 사용할 수 있지만 해당 기업들이 공인인증서를 호환하는 특정 소프트웨어를 구매하지 않아 생긴 문제일 뿐"이라고 일축했다. 또 "한국 인터넷 환경이 갈라파고스라고 주장하는 이들은 자신들의 외에 다른 사람들까지 갈라파고스로 몰아넣는 경향이 있다"고 비난했다.

그는 최근 액티브엑스 없이도 카드결제를 지원하는 '간편 결제'를 옹호한 드림위즈 이찬진 대표 및 무소속 안철수 의원에 대해서도 공격을 멈추지 않았다.

박 부장은 이 대표가 운영하는 인터넷 서비스 드림위즈 화면을 보여주면서 "드림위즈에도 액티브엑스를 쓰는 곳이 많다"면서 "왜 자신이 운영하는 곳에는 쓰면서 외부 인터넷에는 쓰지 말라고 하냐"고 반문했다. 이어 국민은행 등 특정 은행사 인증 화면을 통해서는 안 의원 역시 안철수 연구소를 통해 액티브엑스 기반의 다양한 보안프로그램을 만들고 있다고 지적했다. 그는 "안 의원은 지난해 대선후보 시절 액티브엑스 폐지를 공약으로 내걸었다"면서 "이처럼 전문가들도 액티브엑스 문제를 공인인증서와 연계해 혼동해 공격하는 사례가 많다"고 설명했다.

김민성 기자 mean@hankyung.com, 트위터 @mean_Ray
기사제보 및 보도자료 open@hankyung.com




▶[화제] 급등주 자동 검색기 '정식 버전' 드디어 배포 시작
▶[은행이자보다 3배 수익으로 알려진 호텔식 별장]


女직원, 퇴근 후에…은밀한 이중생활 깜짝

'성상납 의혹' 맹승지, 황당하다더니 끝내…

강용석, 이혼 소송 중인 '유부녀' 만나더니

성폭행 당한 女, 횡설수설한 이유가…충격

밤마다 같이 자고 스킨십 즐기던 남매 결국

[한국경제 구독신청] [온라인 기사구매] [한국경제 모바일 서비스]

ⓒ <성공을 부르는 습관> 한경닷컴, 무단 전재 및 재배포 금지

<한국온라인신문협회의 디지털뉴스이용규칙에 따른 저작권을 행사합니다>