보안 기술 “선택허용 v 선택불허” 문제일 뿐,
인증서 “존폐론”이 아닙니다.
오픈넷은 인증서, 인증기술, 인증제도의 “폐지”를 주장한 적 없습니다. 제가 알기로는 누구도 인증서/인증기술/인증제도의 “폐지”를 주장하지는 않고, 그런 주장은 올바르지도 않습니다.
전자금융거래법 개정안은 다음과 같은 내용이 전부입니다:
“금융위원회는 [전자금융기술 및 전자금융업무에 관한] 기준을 정함에 있어서 보안기술과 인증기술의 공정한 경쟁을 저해하거나, 특정기술 또는 서비스의 사용을 강제하여서는 아니된다.”
금융회사에게 보안 기술 선택권을 부여하라는 내용일 뿐입니다. 사고거래의 책임은 이미 금융회사가 지고 있습니다(전자금융거래법 제9조). 자기가 책임을 지므로, 보안기술 선택도 자기가 하라는 것입니다.
전자서명법 개정안도 “인증제도 폐지론”이 결코 아닙니다.
인증제도의 정점에 있는 루트인증기관(예를들어, KISA)은 전문성과 독립성이 있는 제3자로부터 안전성 검증을 받아야 한다는 내용입니다. 인증제도를 “폐지”할거면, 뭐하러 검증을 받으라 말라 하겠습니까?
KISA도 작년부터 제3자의 검증을 받기 위하여 준비 중이고, 조만간 만족스럽게 검증을 통과할 것입니다. 따라서 개정법안에 따르더라도 KISA는(검증을 통과하기만 하면) 여전히 루트인증기관으로 인정받을 수 있습니다.
개정안은 제3자의 전문적 독립적 검증을 정기적으로 받으면 KISA 외의 인증기관도 루트인증기관으로 인정받을 수 있도록 하고 있습니다. 똑같이 검증받았는데 왜 루트인증기관이 되면 안되겠습니까? 미국에서도 여러 루트인증기관이 존재하고 그것이 무슨 불편이나 혼란을 초래하는 것도 아닙니다.
그리고 개정법안에 따르더라도, 제대로 검증 받은 루트인증기관들의 목록(list)을 ‘정부’가 관리할 수 있습니다. 말하자면, 인감도장/막도장의 구분도 여전히 유지가 됩니다.
KISA 외에 루트인증기관이 하나라도 더 존재하면 인증제도가 “폐지”됩니까? 상상해 보십시오. 만일, 미국정부가 Verisign 만이 “유일한 루트인증기관”이라고 법으로 정하고 독점을 보장해 주고 검증도 안받아도 되게 해두었다면 Verisign이 이렇게 전세계로 성장할 수 있었겠습니까? 여러 루트인증기관들 간의 공정한 경쟁을 통하여 기술력과 안전성이 증진되는 것입니다.
전자금융거래법 개정안은 한국 IT의 향방을 가르는 중요한 법안입니다. 기자 여러분, 사실을 정확히 파악하여 기사를 쓰시면 고맙겠습니다.
존재하지도 않고, 누구도 주장한 바 없는 인증서 “폐지론”을 멋대로 상상한 다음, “폐지론 v 존치론” 으로 대립하는 것처럼 보도하지 마세요. 폐지하자는게 아니고, “강제”하지 말고 선택할 수 있게 하라는 것일 뿐입니다.
0 Comments