공인 인증서에 대한 마지막 단상

오늘 이변이 없는 한 공인 인증서 폐지를 주요 내용으로 한 ‘전자 서명법 전부 개정안’이 국회를 통과합니다. 개정안은 공인 인증 기관, 공인 인증서 및 공인 전자 서명 제도를 폐지하고 다양한 인증 방법에 전자 서명 효력을 부여하는 내용입니다. 1999년 제정된 이후 20년만이죠.

저는 2002년부터 Mozilla 프로젝트에 참여하면서 비 IE 브라우저 기술 차별성을 만들어온 액티브X 기반의 공인 인증 기술 개선을 지속적으로 요구했습니다. 2002년에 웹 표준 포럼을 통해 비-표준 웹 사이트를 바꾸는 일을 시작으로, 2006년에 김기창 교수님과 이를 법적으로 이의를 제기하는 오픈웹 운동을 함께 했으며, 2009년에는 법적 예외를 통해 공인 인증이 아닌 방식의 인증 기술을 제안한 오픈 뱅크 운동, 2011년에는 W3C에 웹 표준 방식의 전자 서명 표준안을 제안하였습니다.

하지만, 전자 서명법의 한국식 기술 규제와 공인 인증 기관, 그리고 이를 강제하는 전자 정부 및 금융 규정, 그리고 한국만의 갈라파고스를 만든 비표준 기술을 호위하는 기술 벤더 등의 견고한 벽을 넘지 못했습니다. 활동도 거의 포기할 수 밖에 없었습니다. 다행히 스마트폰의 보급과 모바일의 변화, IE마저도 액티브X 기술을 버리는 상황에 온 후에 사후약방문이 된 것은 정말 아쉽습니다.

이로 인한 피해는 이루 말할 수 없습니다.

  1. 무엇보다 20년간 보안/인증 플러그인을 설치하는데 많은 시간을 낭비한 국민들이 가장 큰 피해자입니다. IE이외에 우수한 웹 브라우저와 웹 표준 기술을 선택하여, 우수한 사용자 경험을 체험해 볼 수 있는 기회도 놓쳤습니다. 비-표준 기술로 인해, 악성 코드로 부터 또 다른 보안 위협에 노출되어 수백 개의 또 다른 플러그인을 설치해야 했구요. 거기에 들어간 전 국민들의 수고를 누가 보상하겠습니까?
  2. 특정 기술을 법으로 규정함에 따라 많은 국내 보안/인증 업체들이 새로운 기술을 개발할 동기를 없애 다양한 인증 기술들이 상호 경쟁하는 환경이 사라져 전체적으로 우리 나라 보안 기술의 국제적 경쟁력을 약화시켰습니다. 이번 법 개정 소식에 기존 공인 인증 업체들의 주가가 오히려 수직 상승한 것은 아이러니가 아닐 수 없습니다. 2015년 부터 공인 인증서 필수 규정을 없앤 전자 금융 규정 변경으로 인해, 여러 모바일 인증 수단이 경쟁하게 된 것은 불행 중 다행이라고 생각합니다.
  3. 우리 나라 전자 상거래 시장은 세계 상위권임에도 불구하고, K-팝 및 K-드라마 등 한류가 왔는데도 해외에서 국내 쇼핑몰을 이용하는 것인 여전히 힘듭니다. 2014년 천송이 코트 이슈가 불거졌을 때, 공인 인증 기반 국내 카드 이외에는 외국인 대상 쇼핑몰이 전무했습니다. 그 만큼 국제적 표준에 맞는 결제 환경을 갖추지 못함에 따른 이커머스 글로벌 경쟁력은 약화되었습니다. 국내 상품 판매를 해외 IT 기업에 의존하게 된 가장 큰 원인 중에 하나입니다.

기존 전자 서명법 같은 정부가 주도해서 어떤 기술을 띄우겠다는 공무원 마인드로 2012년 전자문서법을 통해 샵메일이란 비표준 이메일 기술로 공인 전자주소 제도를 만드는 해괴한 일도 벌어졌습니다. 정부 주도의 예산 투입과 진흥에도 불구하고, 다행히 시장 도입에 실패하여 2017년 다양한 기술 방식이 사용되게 법 개정이 되었습니다.

다양한 기술 경쟁 환경을 장려하지 않고 특정 기술을 강제하는 법 제정 같은 정부 실패 사례는 앞으로는 다시는 있어서는 안될 것입니다.

  • 초고속 인터넷 B-ISDN 의무화
  • 액티브 X기반 ‘공인 인증서’ 의무화
  • 모바일 ‘WIPI’ 플랫폼 의무화
  • 주민 번호 대체 ‘I-PIN’ 제도
  • 게임 등급제 및 ‘셧다운’ 제도
  • 공인 전자 주소 ‘샵메일’ 제도

사실 이번 전자 서명법 개정으로 공인 인증서가 완전히 사라지는 것은 아닙니다. 공인 인증서와 똑같은 사생아들이 행안부 산하 전자정부, 교육부(나이스), 법원 내부 시스템에 여전히 살아있습니다. 즉, 많은 대국민 서비스들이 여전히 폐쇄적인 공인 인증 기술을 기반하고 있습니다. 적어도 공무원이 아닌 대민 서비스들은 획기적으로 사설 인증 수단을 채택해야 합니다. 정부가 후속 조치에도 앞장 서 주시길 바랍니다.

이번 일을 계기로 편리하고 사용자의 선택권을 보장하면서도 보안성을 높이는 다양한 인증 수단이 나와서 시장에서 경쟁하기를 바랍니다. 좋은 서비스가 글로벌 경쟁력을 확보하여 해외로 나갈 수 있다면 더욱 좋겠지요. 이제 의무 사용 규정과 ‘공인’이라는 딱지를 떼버리면서, 보편성 높은 더 질 높은 인증 서비스가 나올 수 있는 발판을 마련했습니다.

2000년대 중반 부터 정말 많은 시간과 노력을 해온 분들이 많은데, 시간이 흘러 우리의 생각이 틀리지 않았다는 것에 위안을 삼게 되네요. 웹표준과 액티브X 퇴치 운동, 금융 거래 규정 및 전자 서명법 개정 활동에 참여 하신 김기창 교수님을 비롯한 많은 분들께 존경과 감사의 마음을 전합니다.

그래도 역사는 전진한다’ (故 김대중 前 대통령)

2014년 웹20주년 기념 컨퍼런스에서 오픈웹 김기창 교수님과 윤석찬 웹 표준 프로젝트 리더

Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on chcking facts for your investiments and prohibit your citations as commercial content or news sources.)

- ;

여러분의 생각 (18개)

  1. 진우 댓글:

    차니님과 웹 표준 커뮤니티의 그동안 활동에 찬사를 보냅니다. 오래전 혜안이 빛을 발하는 순간이네요. 세상이 바뀌는 모습을 보게 되어 너무 기쁘네요. 선구자들의 덕입니다.

    • Channy 댓글:

      감사합니다. 많은 분들이 고생하셨고, 입법화 과정에서는 정부와 시민 단체에 계신 분들이 더 많은 활동을 하셨습니다.

  2. Melon Chu 댓글:

    남들이 다들 맞다고 하는데, No라고 이야기 하기는 진짜 어려운 일입니다. 페북 글 보다가, 이 글 내에 링크를 하나씩 클릭해 봤는데 주춧돌을 놓는데 주저함이 없으셨네요. 감사드립니다.

  3. Hyokun Yun 댓글:

    석찬님과 같은 분들이 옳다고 생각하는 일을 위해 노력해주신 덕분에 느리게라도 사회가 조금씩 좋아지는 것 같습니다. 감사합니다!

    • Channy 댓글:

      감사합니다. 저보다는 더 많은 분들이 고생하셨어요. 옛날엔 심지어 엔지니어들도 공격하는 사람들이 많았다 보니 그냥 개인적인 소회가 드네요 ㅎㅎ

  4. Namyoung 댓글:

    마지막 웃고 있는 사진 너무 보기 좋습니다. 김기창 교수님도 고생 많으셨습니다!

  5. Jaewoo Ahn 댓글:

    그런데 어딘가 본 기사에서 이 문구가 마음에 걸리던데요?
    “공인인증서의 독점적 지위를 없애자는 의미”

    이게 마치 “비공인” 인증서의 범람을 예고하는 것처럼 느껴지더군요. 결과적으로 보면 사고 책임을 최종 사용자에게 지우기 위한 부인 방지가 핵심인데, 과연 이게 해결 가능할런지..

    • Channy 댓글:

      그놈의 부인 방지는 몇몇 판례에 의해 이미 부정되었습니다.

      – “권한없는 타인이 공인인증서 발급받아 예금 불법 인출시 금융기관이 예금주에 배상해야” https://m.lawtimes.co.kr/Content/Article?serial=64547
      – “전자금융거래 사고의 책임 : 접근매체 위조, 변조의 의미” 김기창 교수님 논문-
      https://academic.naver.com/article.naver?doc_id=74823297

      • Woongbin Kang 댓글:

        > 그놈의 부인 방지는 몇몇 판례에 의해 이미 부정되었습니다.

        다행이네요.. 북미에서 살면서 엄청 불공평하다고 생각했거든요. 컴퓨터 보안이 간단한것도 아닌데 사용자들한테 너무 많은 책임을 지운다고 생각했거든요.

      • Kim Yoonsik 댓글:

        미국의 경우에는 ‘Zero-Liability Protection’이라는 정책을 두어 소비자들을 보호하고 있다. 이 제도에 따르면 신용카드나 직불카드가 분실되거나 온라인 또는 오프라인 상에서 도용된 경우 이것이 고의로 한 행동만 아니라면 이용자는 피해를 보상받게 된다. 좀 더 자세히 설명하면 카드가 분실됐거나 도용된 사실을 안지 2일 이내에 신고하면 소비자는 최대 $50까지만 책임을 지며, 2일을 넘겨 신고했다 하더라도 60일 이내에만 하면 최대 $500까지만 책임을 지게 된다. 소비자가 보안프로그램을 설치했는지 또는 칠칠맞게 보이스 피싱(Voice Phishing) 또는 파밍(Pharming) 사기에 당해 보안카드 번호를 몽땅 입력하지 않았는지 등은 따지지 않는다. 피해 사실에 대한 과실 증명을 소비자에게 요구하는 경우 또한 없다.

        http://www.dt.co.kr/contents.html?article_no=2016080202102251607002

  6. 정재훈 댓글:

    윤석찬님, 김기창 교수님, 감사합니다.

    한국의 인터넷 환경, 나아가서는 국가 경쟁력 향상에 큰 공이 있다고 생각합니다. ^^
    이런 분들이 있었기에 지금과 같은 결과가 나올수 있었다고 봅니다.

    앞으로도 좋은 통찰 부탁드립니다.

    • Channy 댓글:

      감사합니다. 대부분의 일이 그렇듯이 한 두 사람의 노력으로만 이뤄지지 않지요. 옛날에 많은 분들이 지지하고, 공유하고, 서명하고…. 저는 최근 몇 년간 팔로우업을 못하고 있는데, 정부/국회에서 수많은 공청회나 입법 로비 활동을 하신 분들도 엄청 많으시고, 사실상 그 분들 공이 더 크죠.

  7. dohyun 댓글:

    정통부 삽질 중 기억나는 게 와이브로, 동기식 IMT-2000 도 있습니다. 통신사들이야 정부하자는 대로 해야 하니

  8. YS Kim 댓글:

    한국 사회의 구성원 중 한명으로서 진심으로 감사드립니다. 더군다나 동종 업계 사람들의 이익을 해친다는 비난에도 굴하지 않고 한국사회 전체에 도움되는 길을 꿋꿋하게 나아가는건 너무나도 어려운 일인데 김기창 교수님과 윤석찬님은 그걸 해내셨다고 생각합니다. 한 인간으로서 존경스럽습니다. 앞으로도 한국 사회의 발전을 위해 힘써주시길 부탁드립니다.

    진정한 웹표준이 오는 그날까지 화이팅!

댓글 남기기

이름* 이메일* 홈페이지(선택)

알림: 스팸이 너무 많아 블로그 운영자의 승인하에 댓글 노출이 바로 보여지지 않을 수 있음을 양해 부탁드립니다.