성역과 신화와 무지로 유지된 공인인증제도 13년

첫째. 무지(無知)

“외국은 전자금융 사고거래의 책임을 고객이 부담하지만, 한국은 금융회사가 부담한다”는 잘못된 주장이 나도는 이유는 좀 흥미롭습니다. 요컨대, 이런 겁니다: “외국은 은행이 책임을 안지기 때문에 ‘허술한’ 여러 인증 보안 기술을 자유롭게 선택할 수 있고, 한국은 은행이 책임을 지기때문에 ‘강력한’ 공인인증서를 사용해야 한다”.

물론 이것은 전혀 근거가 없는 주장입니다. 사고거래 책임을 은행이 안져도 된다면, 그런 나라의 전자금융거래는 그날로 끝장이 날 것입니다. 어떤 은행도 보안에 투자할 이유가 없고, 가장 저렴한 싸구려 보안 솔루션만 사용할 것이고, 그런 상황에서 온라인 금융거래를 “자기 책임으로” 하겠다고 나서는 미친 고객이 있을리는 없습니다.

한국을 포함한 세계 각국은 전자금융 사고거래의 책임을 은행에게 지우고 있습니다. 그렇기 때문에, 외국 정부(금융감독기구)는 “은행들은 각자가 알아서 보안 기술을 선택해라, 단 사고가 나면 철저히 물어줘야 한다”는 기술 중립적 입장을 취합니다. 외국 정부가 보안 기술 선택에 전혀 개입하지 않는 이유는 금융회사들이 더 안전한 보안 기술을 스스로 선택할 인센티브가 제도적으로 이미 확보되어 있기 때문입니다. 안전한 기술을 선택하는 것이 은행 자신의 배상책임을 줄이는데 도움이 되기 때문입니다.

한국 정부는 외국제도를 전혀 모를 뿐 아니라, 말이 안되는 헛소리를 ‘공인인증서 옹호 논리’라 믿으면서 토론회 등에서 거듭 되풀이하고 있습니다. 철저하게 무지(無知)한 것입니다.

둘째, 신화(神話)

“미국은 실시간 계좌이체가 안되지만, 한국은 실시간 계좌이체가 가능하므로 공인인증서와 같이 ‘강력한’ 보안 수단이 필요하다”는 주장도 무수히 되풀이 되고 있습니다. 이런 주장을 내세우는 금융위/금감원/KISA 사람들은 페이팔(Paypal)이 뭔지를 모르는 분들입니다. 이름이야 들어봤겠지만, 직접 사용해 본 적도 없고 그것이 실제로 어떤 서비스인지를 모르는 것입니다.

인터넷으로 돈을 ‘즉시로’ 간편하게 주고받는 기술로 등장한 것이 페이팔입니다. “Paypal”이란 말 자체가 친구(pal)에게 돈을 지급(pay)하는데 사용하는 서비스란 뜻입니다. 이 서비스가 워낙 인기가 있으므로 미국 은행들은 굳이 위험하고 무모한 실시간 계좌이체 서비스를 내놓을 이유가 없는 것입니다.

그뿐입니까? 이제 구글은 페이팔(Paypal)보다 더 간편하게 친구, 지인, 가족들에게 돈을 즉시로 송금할 수 있는 구글월렛 서비스를 시작했습니다. 이메일 첨부파일 보내듯, “돈”을 보내는 시절이 시작된 것입니다.

HolyGrail 외국이 이렇게 기술과 서비스의 진보를 거듭하는 동안, 한국에서는 13년이나 낡은 ‘공인인증서’를 마치 신성하고 신비로운 성배(聖盃; Holy Grail)처럼 떠받들면서 “세상에 공인인증서만큼 안전한 기술은 없다”는 신화를 온 국민들에게 주입해왔습니다. ‘신화’가 유지되려면 ‘사실(fact)’은 숨겨야 합니다. “복사하여 붙여넣기”만 하면 아무데나 마구 복사된다는 사실을 숨겨덮기 위해서 “암호입력 세레모니“를 하도록 하고, 2006년 한해 동안 전자금융 사고거래가 단2건 밖에 없었다고 금감원이 주장하는 것도 공인인증서 ‘신화’를 유지하기 위하여 ‘사실’을 숨기려는 것입니다.

셋째, 성역(聖域)

holy-grail-painting-be001404-sw 무지하고 온순한 사람들에게 신화를 주입하고, 그 신화에 기대어 권위를 유지하는 제사장(priests)들이 기거하는 성역(聖域)이 있습니다. 바로 국내 최상위인증기관 KISA 입니다. 전세계에는 여러 루트인증기관들이 있습니다. 이들은 모두 독립적인 제3자로부터 보안감사(실사)를 받습니다. 자신의 업무수행이 과연 안전하게 이루어지는지를 전문적인 보안감사 업체로부터 점검받는 것입니다. Verisign도 그렇게 하고, 타이완의 중화텔레콤 인증기관도 그렇게 합니다. 그러나 KISA는 누구도 그 내막을 감히 들여다 볼 수 없는 절대적 ‘보안 성역’임을 자처하고 있습니다. “무조건 믿으라”는 것입니다.

절대 권력은 절대 부패하게 마련입니다. KISA는 서버인증서 하나 제대로 만들줄 모를 뿐 아니라, 모질라 재단(Mozilla Foundation)이 KISA에게 “귀하가 제3자로부터 보안감사를 받았다면, 그 보안감사 보고서를 보여달라”고 요청하자, 보안감사 보고서 내용은 ‘비밀’이므로 공개할 수 없다고 대답하는 기상천외한 행동을 함으로써 외국 보안전문가들로부터 비웃음을 사기도 했습니다. 루트인증기관에 대한 제3자의 보안감사 보고서(audit report)는 원래가 공개하도록 되어 있다는 초보적 사실조차 모르고 있을 뿐 아니라(예를 들어, 중화텔레콤에 대한 보안감사 보고서는 여기에 있습니다), 실은 제3자의 보안감사를 받은 적도 없고 보안감사 보고서가 어떻게 생긴건지도 몰라서 그런식으로 둘러댄 것이었습니다.

‘성역’과 ‘신화’와 ‘무지’에 기대어 13년간 유지된 공인인증제도, 이제 폐기할 때가 되었습니다.
오픈넷

Print Friendly, PDF & Email