전자금융거래법 개정법안에 대한 전문위원 검토보고서(http://bit.ly/14cD150, pdf)에 소개된 금융위원회와 사단법인 금융결제원(공인인증 업체)의 견해에 대해서 간략히 설명드리겠습니다.
첫째, 금융위원회 입장(보고서 제7면)
“개정안에 대하여 금융위원회는 공인인증서와 동등한 안전성을 가진 인증기술이 없는 상황에서 13년간 사용되어 온 공인인증제도를 당장에 철폐하는 경우 금융회사 및 이용자들의 혼란과 전자금융사고가 증가할 우려가 있고, 전자금융 인증체계 개편 관련 연구용역(6~9月)을 실시 중이므로 금년 하반기까지 충분히 검토 후 법 개정의 추진여부가 결정될 필요가 있다는 의견을 제시함.”
그러나,
- “공인인증서와 동등한 안전성을 가진 인증기술이 없는 상황”이라는 금융위 주장은 사실과 다릅니다. 미국 국립표준기술연구소(NIST)는 2011년에 발간한 “전자인증 가이드라인”에서 공인인증서와 같은 인증기술은 보안등급이 3등급에 불과하고, 잠금장치 있는 OTP생성기는 그보다 더욱 안전한 4등급에 해당한다고 이미 결론을 내리고 있습니다(등급이 높을수록 보안강도도 높습니다). http://bit.ly/130IMYm
- “공인인증제도를 당장에 철폐”하는 상황을 전제로 한 금융위 주장은, 이 법안 내용과는 무관합니다. 이 법안은 공인인증서 사용을 ‘강제’하지 말자는 것이지, 공인인증제도를 ‘철폐’하자는 것이 아닙니다.
- 이 법안은 공인인증서를 계속 사용하기를 원하는 금융회사는 계속 사용하고, 더 안전한 보안기술을 채택하고자 하는 금융회사는 그렇게 할 수 있도록 허용하자는 것이므로, 법안 도입 후에도 당장 무슨 변화가 일어나는 것은 아닙니다. 서서히, 원하는 금융회사가, 원하는 시점에, 자율적, 점진적으로 변화가 일어날 수 있도록 하자는 것입니다.
- 금융위원회 용역(인증체계 개편 관련 연구 용역)은 이러한 점진적 변화가 업계에서 서서히 진행되는 동안, 언제든지 수행되면 될 것이지, 이 법안 처리가 금융위 연구 용역 일정에 종속되어야 할 이유는 없습니다.
따라서, 금융위원회 입장은 사실과 다르거나, 이 법안과는 상관 없는 주장이거나, 이 법안의 통과와 양립 가능한 주장이므로, 이 법안에 대하여 정부측의 “의미있는 반대는 없는 상황”입니다.
전문위원 검토보고서도 이점을 지적하면서, 다음과 같이 결론짓고 있습니다(보고서, 7-8면):
“개정안의 취지는 해킹 등으로 인한 취약점이 노출된 공인인증서의 ‘존폐’여부가 아닌, 금융위가 공인인증서 사용을 강제하여서는 안된다는 것”
둘째, 공인인증 업체(사단법인 금융결제원) 의견
사실 금융위원회(정부)의 입장은 공인인증 영업을 수익사업으로 하는 민간 업체(사단법인 금융결제원)의 입장을 그대로 반복하는 것입니다. 따라서 공인인증 업체의 의견을 별도로 논할 필요는 없고, 위에 설명드린 내용이 그대로 적용됩니다.
한가지 추가된 부분은, (1)공인인증서가 창조 경제에 이바지했다, (2)인증수단을 다양화하면 더 많은 관리이슈와 해킹문제가 일어날 수 있다는 공인인증 업체의 주장입니다(보고서 각주 11).
그러나, 이 주장 역시 사실과 다릅니다.
- 공인인증서 강요 때문에 오히려 국내의 여러 기발한 스타트업 기업들이 외국 고객을 상대로 영업할 길이 막혀있습니다. 한국에서만 통용되는 “국내 공인” 인증서를 사용해야 하므로, 외국 고객은 아예 지불할 방법이 없습니다.
- 인증수단을 한가지로만 강제, 통일할 경우에는 그 수단이 뚫리면 온국민이 ‘일거에’ 당하게 되므로 더욱 심각한 위험을 안고 있습니다.
- 인증수단 선택을 금융회사의 자율에 맡겨둔 선진 각국(미국, 영국, 유럽)의 경우, 그로 인한 혼란이나 불편이 생겼다는 사례가 없습니다. 오히려 한국보다는 훨씬 안전하고 편리한 전자금융서비스가 이루어지고 있습니다.
전문위원 검토보고서도 이점을 지적하면서, 다음과 같이 결론 짓고 있습니다(보고서 제8면):
“전 국민을 대상으로 하는 특정기술의 사용강제는 해킹 규모 등에 따라 국가 전체적인 문제를 야기하거나 보안산업의 발전을 저해할 수 있고, 은행·증권사 등 금융회사가 자율적으로 금융보안 수단을 결정하는 것이 바람직”
셋째, 금융위원회와 공인인증 업체 간의 유착 관계
공인인증서 사용을 강제해주는 금융위원회 고위 관리(부이사관 원중희)는 퇴직과 동시에 공인인증 영업을 하는 민간 업체인 ‘사단법인 금융결제원’ 감사로 취업하여 3년간 10억여원을 받고 있습니다.
- “금융결제원 감사에 원중희씨 선임” – 중앙일보 2012.3.14자 보도 http://bit.ly/108F5M1
경제정의실천시민연합, 참여연대 등 11개 시민단체는 사단법인 금융결제원의 이러한 의혹에 대하여 감사원에 공익감사청구를 한 상태입니다:
- “정부의 ‘공인인증서’ 집착은 ‘정경유착’과 ‘전관예우’ 때문?” 미디어뉴스 2013.6.20자 보도 http://bit.ly/13YWIPc
끝으로, 개정안은 금융위원회가 인증방법에 관한 기준을 정할 권한을 박탈하지 않음
전문위원 검토보고서 본문 마지막 페이지(제8면)에 기재된 아래 부분:
“한편, 개정안에 따르면 금융위가 정보기술부문 및 전자금융업무에 대하여만 세부 기준을 정할 수 있고, 인증방법과 관련한 세부 기준은 정할 수 없다는 문제가 있는바, 금융회사를 이용하는 금융소비자보호와 관련하여 인증방법에 대한 기준설정이 없는 경우에도 문제가 없는 지에 대한 여부도 검토가 필요할 것으로 봄.”
이 부분은 약간 오해의 소지가 있을 수도 있겠다는 생각이 듭니다.
현행 전자금융거래법 제21조 제2항은 금융위원회에게 “전자적 전송이나 처리를 위한 인력, 시설, 전기적 장치, 소요경비 등의 정보기술부문 및 전자금융업무에 관하여” 관하여 기준 제정 권한을 이미 매우 포괄적으로 부여하고 있습니다. ‘인증 방법’은 정보기술(IT)부문에 해당하며, 인증방법에 관한 기준을 정할 권한은 현행법 제21조 “제2항”에 당연히 포함된 권한입니다. 제3항 개정안이 채택되더라도 금융위원회는 ‘인증방법에 관한 기준을 설정할 권한’을 여전히 “제2항”에 근거하여 보유합니다.
개정안 제3항은 금융위원회가 제2항에 의하여 부여된 그런 권한을 행사함에 있어서 “공정한 기술 경쟁”을 저해하여서는 안된다는 것입니다. http://bit.ly/12gzrUF 참조.
안녕하세요. 오픈넷의 활동을 지지하고 있습니다. 일반적인 인터넷의 말단 사용자로서 이번 개정안이 이번 회기에 통과되지 못한 점 안타깝게 생각하고 있습니다.
요즘 몇몇 은행과 인터넷 쇼핑업체가 오픈웹 뱅킹이나 결제를 지원한다고 대대적으로 광고하고 있는데 직접 경험한 바로는 그들의 오픈웹은 오픈웹이 아니라고 생각합니다. 현재 그들이 제공하는 오픈웹이나 오픈뱅킹은 리눅스나 맥에서 가능은 하게 만들었으나 플러그인 방식으로 보안 및 공인인증서 관련 클라이언트를 설치하도록 하고 있습니다. 더구나 이러한 플러그인들이 리눅스에서는 페도라와 우분투, 데비안만을 지원하고 있는 실정입니다. 윈도우에서 그 보안업체나 쇼핑몰, 금융기관이 요구하는 방식인 시스템에서 제공하는 보안시스템을 무시하라고 하는 보안 플러그인들을 액티브엑스만 없을 뿐 동일한 방식으로 설치를 강요하고 있습니다. 이러한 보안플러그인들이 앞으로 시스템권한을 윈도우에서와 마찬가지로 요구하게 되면 윈도우에서와 동일한 문제인 보안을 위해 시스템의 보안을 무시하라는 오류에 빠지게 되고 여러 사례로 비추어 볼 때 이러한 점을 악용한 해킹의 위험이 상존하는 결과로 귀결될 것 같습니다.
앞으로 대부분의 인터넷 결제가 알라딘에서 책을 구매하는데 쓰이는 결제시스템처럼 플러그인 없이도 웹안에서도 모든 결제가 가능하도록 되었으면 합니다. 이곳만이 국내 진정한 오픈웹 결제라고 생각합니다.앞으로 어떠한 플러그인이나 클라이언트를 설치하지 않고도 웹안에서 결제를 할 수 있는 보안시스템 및 결제시스템이 만들어졌으면 합니다.
물론 오픈넷에서도 이미 아시고 있고 힘쓰고 계실지도 모르겠지만 공인인증서 문제뿐만 아니라 이러한 플러그인방식의 문제점에도 관심을 가져 주셨으면 하는 마음에서 글을 남깁니다.