공인인증서 문제 해법 초간단 정리

by | Mar 25, 2014 | 오픈블로그, 혁신과 규제 | 1 comment

사방에서 온갖 이야기가 쏟아져 나오고 있습니다. 심지어 정부가 외국인 전용 온라인 쇼핑몰을 마련해 주고, 거기에는 공인인증서 사용 예외를 인정해 주면 외국인들(만)은 편리하게 천송이 코트를 온라인 주문할 수 있을거라는 이야기까지 나도는 판입니다. 이런 괴담 수준의 이야기를 “대책”이라고 내놓는 공무원들에 대해서 많은 분들이 그저 허허한 쓴웃음을 짓고 있습니다.

공인인증서 문제 해법을 정말 간단히 말씀드리겠습니다.

1. 인증 기술 선택권 부여

금융위원회는 전자금융감독규정 중 “공인인증서”와 “인증방법평가위원회”에 관한 내용을 삭제하고, 그 대신 다음과 같은 조항을 두면됩니다:

금융회사는 거래의 성격과 해당 거래에 수반하는 위험의 수준을 고려하여 업계의 기술 수준을 반영한 합리적인 당사자 인증 기술을 채택하여야 한다.

이렇게 하면, 은행 카드사 결제대행사 등이 보안기술/인증기술을 자율적으로 선택하고 채택할 수 있게 됩니다.

2. 전문적, 상시적 보안점검 제도 도입

전자금융감독규정 중, 금감원이 “보안성 심의”를 한다는 내용을 삭제하고, 그 대신 다음과 같은 조항을 두면됩니다:

금융회사는 PCI DSS 등 국제적으로 인정받는 보안 기준(또는 금융위가 인정하는 보안 기준)에 따른 보안감사를 수행할 전문성과 독립성이 있는 보안감사 업체와 계약을 체결하고 보안감사를 년1회 이상 받아야 한다.

금감원이 일회성, 형식적으로 수행하는 “보안성 심의” 보다 훨씬 강화된 실효성 있는 실질 보안점검을 매년 하자는 것입니다. 해당 금융회사가 “합리적 인증 기술”을 채택하고 있는지가 매년 점검될 것입니다.

3. 철저한 피해 배상

금융위/금감원이 기술에 개입해서 이래라 저래라 하지 말고, 사고거래에 대하여 금융회사가 법에 따라 철저히, 신속히 피해배상을 하도록 감독함으로써 금융소비자 보호에 전념해 주시면 좋겠습니다. “공인인증서를 사용하면 고객에게 책임을 지울 수 있으니(거래를 부인 못하게 할 수 있으니) 공인인증서를 쓰라”는 식으로 은행과 공인인증업체를 편파적으로 옹호해 온 결과(인증업체 금결원과 은행은 한몸), 국내의 보안은 전반적으로 낙후되고 심지어 대통령 본인의 신상정보, 계좌정보까지 유출되는 총체적 보안 부실 상황이 된 것 아닙니까?

금융위가 반복하는 “변명”

첫째, 공인인증서를 대체할 마땅한 수단이 없다? 이런 말씀 이제는 좀 그만하시기 바랍니다. 당신들만 모르고 있을 뿐이지, 전세계에서 안정적으로 사용되는 여러 기술들이 있습니다. 국내 금융사, 결제대행사도 규제가 풀리기만을 기다리고 있습니다.

둘째, 일거에 공인인증제도를 폐기하면 혼란이 우려된다? 누가 일거에 공인인증제도를 폐기하라고 요구하나요? 공인인증서를 “강요하지 말라”는 것이지, “금지”하라는 것이 아니잖아요. 공인인증서 계속 쓸 은행이 있을 것이니(예를 들어, 농협은행?), 일거에 폐기된다는 예측은 근거가 없습니다. 강제 안하면 당장 그날로 아무도 사용 안할 만큼, 그렇게 끔찍하게 나쁜 기술이었다는 점을 자인하시는 건가요?

셋째, 큰 비용이 들것이다? 공인인증서를 사용하느라고 오히려 엄청난 비용이 들고, 매우 힘들고 혼란스러운 것입니다. 그것 걷어내면 비용이 절약되고, 더 간편해지고, 깔끔하게 될 것입니다. 그리고, 공인인증서 못쓰게 하라는 것이 아니잖아요? 공인인증서 걷어내는 비용이 부담스러운 은행은 지금처럼 공인인증서 계속 쓰면서 공인인증 플러그인 유지, 보수를 계속하시면 됩니다. 그만 쓰는게 더 낫겠다고 판단하는 은행 카드사는 자발적으로 걷어내는 것입니다.

이제는 자율을 부여하고, 그에 상응하는 책임(사고거래에 대해서 철저배상)을 묻자는 것입니다. 자율을 박탈하는 대신, 아무리 사고를 내도 책임을 면하는(소비자가 모두 뒤집어쓰는) 사악한 제도는 이제 그만하자는 것입니다.

더 자세한 내용이 궁금하세요? 그렇다면…

https://opennet.or.kr/1789 (공인인증서 FAQ)
https://opennet.or.kr/2864 (공인인증서 진실게임)
http://slownews.kr/11532 (공인인증서 커넥션: 재직 중 받으면 뇌물, 퇴임 후 받으면 ‘감사 연봉’)
http://www.bloter.net/archives/183014 (“공인인증 15년이 보이스피싱 천국 만들었다”)

오픈넷

1 Comment

  1. 공인인증서

    공인인증서는 금융기관에서 보안 비용을 줄이기 위해서 선호하는 측면도 있다고 봅니다. 공인인증서와 같은 획일적인 틀이 있으면 보안 부문에서 경쟁하는데 드는 비용을 아무래도 줄일 수 있겠죠. 또, 특정 금융기업의 공인인증서를 ‘범용인증서’로 전환하여 사용하려면 사용자는 1년마다 수수료 비슷한 걸 내야 합니다. 매년 이 수수료를 왜 내야 하는지 도대체 납득이 안가더군요.

    Reply

Submit a Comment

Your email address will not be published. Required fields are marked *

최신 글