공인인증서 = 이론(O) + 방법(X) + 규제(△)
공인인증서=이론(O)+방법(X)+규제(△)
공인인증서 논란이 뜨겁다.
단순하게 비유하자면 공인인증서는 인감증명서라 말할 수 있다. 도장에 익숙한 우리나라에서는 그렇게 설명해야 서로 편하기 때문에 도입 초기부터 지금껏 줄곧 그렇게 홍보한다. “공인인증서는 사이버 인감증명서입니다.” 인감 문화에서는 도장의 안전한 보관이 가장 큰 문제. 도장 하나 파서 장롱 속에 고이 모셔 둔다. 보관만 잘하면 문제가 없다는 전제 하에 벌어지는 일이므로 분쟁 발생시 “당신이 도장 찍지 않았냐!” 윽박지르는 상황으로 이어진다. 전통에 따른 방식이니 누가 절차의 적절함을 따지고 들면 ‘이건 원래 이렇게 하는 것이야’ 라고 우기기도 편하다. 공인인증서 또한 10년이 넘는 세월 동안 단 한 가지 방식을 고수했다.
안전하게 보관해야 한다는 말인즉 늘 도난을 염려해야 한다는 뜻. 그러니 유출 막겠다고 오만가지 방법이 총동원되어 웹 브라우저를 더럽힌다. 거래 한 번 하려면 뭔지 모를 창이 수십 개 타다다다 열리는데, 그 유난한 짓을 벌이고도 공인인증서 유출사고는 1년 만에 무려 954배나 폭증했다. 도장 하나만 훔치면 세상천지 너른 줄 모르고 막 돌아다닐 수 있는 자유이용권이니 해커 입장에서는 딱 하나만 노리면 되는 거라, “감사히 먹겠습니다!” 절이라도 해야 할 판. 도대체 이렇게나 위험한 물건을 왜 개인이 각자 알아서 잘 보관해야 하는가? 의문이 쏟아지지만 대답하는 사람은 없다.
그게 어떤 기술이든 기술은 핵심 이론과 그 이론을 실제로 사용할 수 있게 돕는 방법, 그리고 법적 규제 등 여러 요소가 결합되어 이루어진다. 이건 이론! 저건 방법! 그건 규제! 딱 잘라 나눌 수는 없다더라도 도식적 구분은 가능하고, 그러한 개념 분류와 정의 노력에 따라 비로소 기술은 자연스럽게 사회에 녹아들어 안착된다. 개념을 막 섞으면 대화가 지저분해진다. 그리고 원래 복잡한 건 복잡하게 말해야 한다. 복잡한 걸 억지로 단순하게 말하려 들면 결국 일을 망치게 되니.
공인인증서에 있어 이론은 인증 자체, PKI 공개키기반구조 본인확인 그리고 전자서명, 즉 암호화 이론이다. 이건 별 문제 없다. 현재 암호화 이론은 믿을 만하고, 애초에 국제 표준화 기술이니 우리나라만의 문제일 수도 없다. 이마저 부정한다면 지식정보사회고 뭐고 아예 못하는 거고. 한국형 공인인증서의 가장 심각한 문제로 거론되는 ‘보관’은 이론이 아니라 방법의 영역에 속한다. 유출 문제 심각한 것도 어쩌면 당연한 건, 개인키 저장소 NPKI 폴더라니, 아찔하다. 방법론적으로 해결 못할 일도 아닌데 어찌된 노릇인지 해결 노력은 한참 부족한 듯싶고. 공인인증서의 핵심인 PKI를 국가가 독점하는 게 잘못이니 모두 시장 자율에 맡겨야 한다고 주장하는 사람들도 있다. 독점적 지위를 누리는 건 사실이지만, 말뜻 쩨쩨하게 따지자면 독점은 아니고, 이 또한 이론 문제가 아니라 규제의 강제성 문제.
우리나라에서 공인인증서를 사용하기 위한 주된 방법은 ActiveX. 한때 꽃시절도 있었으나 지금은 가타부타 따질 것도 없이 그냥 해롭다. 안전성과 지속성 등 기술적 문제 심각하고 애초에 특정 웹 브라우저만을 위한 한정된 기술이라는 태생적 한계가 크다. 게다가 불편하고 조잡한 사용성까지 가세하니 이건 뭐, 그야말로 공공의 적. 도대체 답이 없으니 당장 잘라내고 대체할 수단을 찾아야 한다. 심지어 ActiveX를 만든 MS마저도 사용 자제를 권한다. “제발 좀 쓰지 말라고!” “싫다고! 쓸 거라고!” 이에 정부는 2009년에 웹 표준에 따르는 ‘전자정부 웹호환성 준수지침’을 제정 고시하는 등 개선 노력을 벌이고는 있으나, MS 인터넷 익스플로러에서만 작동되는 비표준 기술은 지금도 오남용되고 있다.
규제는 공인인증서 사용을 강제하는 전자금융감독규정. 한국은 공인인증 의무사용 국가다. 30만원 이상 결제시 반드시 공인인증서를 사용해야 한다. 감독자인 금융위원회는 규정을 준수하지 않는 금융회사나 업자에 대해 최대 6개월 업무정지 명령을 내릴 수 있다. 이게 좀, 아니 많이 지나치다. 시시한 물건 하나 살 때도 인감도장 찍고 인감증명서 제출해야 할 판이니. 막 찍는 막도장과 진짜 중요하고 큰 거래 순간에만 찍는 인감도장의 차이와 비교해 보라. 규제 적용대상 조건과 기준 완화하고 조절해야 한다. 요즘 이 건 하도 뜨겁다 보니 30만원에서 50만원으로 높이겠다 등 방안이 속속 발표되고 있긴 하나 아쉽게도 고민의 깊이는 다소 부족해 보이고.
이론과 방법과 규제, 서로 다른 세 가지 개념들이 한데 막 섞이니 논쟁이 지저분해진다.
“공인인증서 철폐해야 한다!” 아니, 이론을 철폐할 수 있나? 어떻게? “ActiveX가 문제지만 공인인증서도 문제다!” 글쎄, 이건 간단히 답할 수 없겠네. 공인인증서 자체는 믿을 만하니 문제가 아니라고 할 수도 있고, 한국형 공인인증서는 저장위치에서부터 심각한 문제을 내포하고 있으니 문제라고 할 수도 있다. 그러니 공인인증서 이론은 괜찮다, 정도로 말해 두자. “ActiveX뿐 아니라 공인인증서까지, 모두 다 악이다!” 외치는 사람들도 있다. 물론 나쁜 사람들은 아니다. 선의로 행동하는 거니. 하지만 상황 종료 후 복기해 보면 일을 망친 결정적 요인은 대개 악당의 악의가 아니라 착한 사람들의 선의 아니던가. 그러니 그 반짝반짝 빛나는 눈빛도 그리 아름답지만은 않다.
적절한 토론 문화가 아쉽다. 공인인증서 논란 관련해 가장 심각한 문제는, 어떤 문제가 제기되고 공론화되어 이를 검토하고 숙고하여 최종적으로 대안을 결정하는 방식일 것이다. 왜냐면 해당 문제에 대한 단독 해법 도출만으로 그치지 않고 이후 모든 문제들이 마찬가지 방식에 따라 결정될 가능성이 높기 때문. 그간 얼마나 많은 사람들이 ActiveX 방식의 병폐를 호소했었나. 그런데도 아무 조치 없이 ‘법이 그러하니 어쩔 수 없다’고 우기다가 높은 분들 주거니 받거니 대화 몇 마디에 갑자기 온 나라가 벌집 쑤신 듯 떠들썩해지는 기현상이야말로 진짜 심각한 문제 아닌가. 국가정책 결정변수의 무게중심이 상당히 뒤틀렸다고 볼 수밖에 없다.