어제 미래부는 전자서명법 개정 방향을 공개했고, 일부 언론은 “공인인증서 시장 13년 독점구조 깨지나“라는 희망에 찬 제목으로 그 내용을 소개하였습니다.
일단, 기사 내용은 다음과 같습니다.
- 공인인증기관은 현재는 정부가 ‘지정’하도록 되어 있어 사실상 허가제로 운영되는데, 개정안은 이것을 ‘신고제’로 바꾸겠다. 누구든지 법정 요건을 충족하고 신고하면 공인인증기관이 될 수 있다.
- PKI(공개키)기반 인증서가 굳이 아니더라도 본인을 확인할 수 있고 서명기능만 갖추면 공인인증서로 받아들이겠다. 따라서 기존 PKI 기반 공인인증서 외에도 다양한 인증방식 및 서비스, 시장간 경쟁을 유도하겠다.
- 그러나, 여전히 국내 법인에 한해서만 공인인증기관이 될 수 있도록 하겠다.
이 문제를 속속들이 이해하고, 그 간의 진행 사항을 면밀히 팔로업 하지 않으신 언론사 기자나 데스크가 어제 미래부 발표를 ‘희망에 찬’ 논조로 소개하는 것 자체를 나무랄 수는 없습니다. 아니, 미래부는 바로 이런식으로 ‘뭔가 개선될 것’이라는 식의 보도가 되기를 원하면서 이런 이야기를 한 것입니다.
하지만, 미래부의 발표는 다음과 같은 문제가 있습니다.
첫째. 현행과 같은 공인인증기관 ‘지정’제도를 ‘신고’제도로 바꾸겠다는 발상은 이미 2011년10월에 발표된 내용입니다. ‘공인인증기관 지정’도 원칙적 허용! 그때도 언론은 희망에 차서 느낌표까지 찍어가면서 무슨 큰 변화가 있을 것처럼 보도했지요. 그러나 ‘지정’제도와 ‘신고’제도는 전적으로 감독관청이 그것을 어떻게 실제로 운용하는지에 달려있습니다. ‘신고’의 경우에도 신고 요건이 충족되는지를 ‘심사’할 권한을 여전히 관청이 쥐고 있습니다. 결제대행업도 현행법상 ‘등록’만 하면 되도록 되어 있습니다. 그러나 그 실상은 허가제도나 마찬가지 입니다. ‘신고’제도가 도입되더라도, 신고를 ‘반려’할 권한은 여전히 관청이 쥐고 있습니다. 지금도 요건을 모두 충족하여 ‘지정 신청’을 하면 감독관청이 함부로 이유없이 지정 거부를 할 수도 없습니다. 지정제도나 신고제도는 이론적으로는 이런저런 차이가 있다고는 하지만 실제로는 별 차이가 없는 것입니다.
둘째, “PKI(공개키)기반 인증서가 굳이 아니더라도 본인을 확인할 수 있고 서명기능만 갖추면 공인인증서로 받아들이겠다”는 부분은 12년전인 2001년12월31일에 이미 개정된 내용입니다. 1999년의 전자서명법은 “전자서명키”, “전자서명생성키” 등 공개 ‘키'(Public Key Infrastructure)기술을 전제로 한 용어를 사용했었습니다. 이것이 특정 인증기술에 편향되어 있다는 지적이 있어서, 2001년에 “키”를 “정보”라는 표현으로 바꾸어(전자서명생성키 –> 전자서명생성정보) PKI기반 기술이 아니더라도, 본인확인이 되고 전자서명이 가능하면 공인인증으로 인정하겠다고 이미 개정된 것입니다. 당시의 개정취지문을 인용하겠습니다:
현행법은 전자서명을 위한 기술을 “전자서명키” 등 특정기술로 한정하고 있으므로, 앞으로의 전자서명 및 인증기술의 발전추세에 대비하여, 보다 다양한 기술을 수용할 수 있도록 전자서명의 개념을 새로이 정의하고, 국제화 시대를 맞이하여 날로 확대되는 국제거래 상의 전자서명 인증문제를 명확하게 규정하며, 현행 제도의 운영상 나타난 일부 미비점을 개선·보완하려는 것임.(2001.12.31)
그래서, 지난 10년간 PKI 외의 다양한 인증기술이 한국 시장에 들어왔던가요?
이미 2001년에 개정되었고, 지난 12년간 현실적으로 아무 소용도 없었음이 이미 판명된 내용을 마치 새로운 것처럼 포장해서, 그런 사정을 전혀 모르는 언론과 일반 국민을 상대로 사기를 쳐보겠다는 것이 아니라면 어째서 이런 주장을 펴는지 정말 이해하기 어렵군요. ‘키’를 ‘정보’로 바꾸니, 다양한 인증방식 간의 경쟁이 활발하게 되던가요? 꿈 깨세요.
셋째. 개정방향은 여전히 ‘국내용’으로 고립된 인증체제를 지속하겠다는 것입니다. 인증기관도 ‘국내법인’에 한해서만 허용되고, 루트인증기관에 대한 전문적, 독립적 검증(independent security audit) 제도에 대한 아무런 규정도 없으므로, 여전히 공인인증기관은 ‘국내’ 인증기관일 뿐이고 국제적으로는 ‘듣보잡’ 셀프 인증 업체로 고립되어 있는 현재의 상태가 앞으로도 계속됩니다. 아무에게도 검증받지 않는 KISA만이 ‘국내 유일의 루트 인증기관’이라는 현행 규정은 절대로 건드릴 수 없다는 것이지요.
넷째, ‘공인’ 인증와 ‘공인 외의’ 인증을 여전히 구분하고 차별하겠다는 발상이 자리하고 있으며, 인증기관의 안전성을 검증할 어떠한 전문성도 없는 미래부 공무원이 안전성 검사를 하는 시늉을 계속해 보겠다는 발상은 끝끝내 버리지 못하고 있습니다. 절대로 권력/밥그릇은 놓지 못하겠다는 집요한 집념을 사방에 분출할 뿐입니다.
아마도, 어제의 발표는 국장 정도의 결재는 받고 발표되었을 것으로 짐작합니다. 아무것도 모르는 국장에게 그래도 뭔가 새로운 것이 있다는 식으로 밑의 직원들이 속임수를 쓴 것이라고 저는 생각합니다. 그렇지 않고서야 이미 2011년에 한번 써먹었던 “지정제에서 신고제”라는 낡은 레파토리를 또 다시 반복할 뿐 아니라, 2001년(12년 전)에 이미 개정이 완료된 PKI외의 인증/서명 기술도 허용하겠다는 내용을 마치 새로운 것처럼 사기를 치면서 내놓을 수는 없는 것입니다.
어제 발표는 지난 6월 임시 국회에 상정되어 현재 상임위원회에 계류 중인 전자서명법 전부개정법률안의 동력을 한풀 꺽어보겠다는 기만적인 ‘꼼수’라고 생각합니다.
뭔가 개혁이 될거라는 분위기를 만들어서, 첫술에 배부를 수는 없으니, “이 정도면 만족하라”는 여론이 강력하게 형성되게 해 보려는 치졸한 전법입니다. 멀쩡하게 행시도 붙고 했던 똑똑한 인재들이 기껏 하는 짓이 이따위라는 것은 참으로 우리 사회가 얼마나 썩어 문드러졌는지를 적나라하게 보여주는 것입니다.
미래부 오승곤 과장, 실망입니다.
0 Comments