공인인증서 ‘대안’이 뭐냐고요?

공인인증서 사용을 정부가 ‘강제’하는 것은 좀 그만하라는 오픈넷의 주장에 대해서, 가장 자주 나오는 말은 이것입니다.

“마땅한 대안이 없기 때문에 당장 제도를 바꾸기는 어렵다”

고상하게 들리지만, 실제로는 괴상한 말입니다. 왜냐고요?

첫째, 정부가 공인인증서 사용을 강요/우대하는 행위는 국내법에 위반되고, OECD회원국으로서 우리 정부가 준수해야 하는 국제법적 의무에도 반하는 행위입니다. 어떤 인증방법을 사용할지는 “거래당사자들이 상호합의로 결정”해야 한다는 것이 우리 국내법이고, 민간의 “암호기술 선택에 정부가 개입해서는 안된다”는 것이 OECD가 채택한 원칙입니다.

위법한 행위를 중단하라는데, “대안이 뭔가?”라고 반문하는 행위는 괴상한 것입니다. 비유하자면, 이때까지 업체로부터 뇌물을 받으면서, 그 업체를 노골적으로 밀어주던 공무원에게 “범법 행위를 중단하라”고 요구하는데, 그 공무원이 “대안이 뭐냐?”라고 반문하는 것이나 마찬가지입니다. “대안은 너가 감옥에 가는 것이다”라고 말해주고 싶군요…

둘째, “대안이 마땅찮다”고 말하는 자 스스로가 진정으로 기술을 전혀 몰라서 그런 헛소리를 (헛소리인 줄도 모르며) 내뱉는 경우도 있을 수 있습니다. 그런 사람은 계속 공인인증서를 사용하면 됩니다. 정부가 공인인증서 사용을 더 이상 “강요”하지 않더라도, 공인인증서를 여전히 사용하는 은행은 분명 있습니다. 예를 들어, 농협은행은 정부가 공인인증서 사용을 강요 안해도 지금처럼 계속 공인인증서를 쓸 것입니다. “대안이 마땅찮다”라고 굳게 믿는 분은 농협은행 같이 계속 공인인증서를 사용하는 은행을 이용하면 됩니다. 평생 공인인증서를 사용할 수도 있을 것이니 염려마시기 바랍니다.

셋째, 많은 경우, “대안이 마땅찮다”는 말을 하는 사람 자신은 그것이 거짓말인 줄 알지만, 기술을 모르는 상대방을 속여넘기기 위해서 그런말을 합니다(이 수법 얕보지 마시기 바랍니다. 지금 이글을 읽는 여러분도, 보안전문가가 아니면 대안이 뭔지 잘 모를 것입니다). “공인인증서 문제 어떻게 풀거냐”를 놓고 여러 정부부처가 모여서 회의를 할때(특히 요즈음 그런 회의가 많습니다), 금융위 사람이 단골로 써먹는 방법이 바로 이것입니다. 금융위/금감원/금결원/KISA에서 참석한 “인증 보안 기술 전문가”라면서 회의석상에서 표정을 잔뜩 심각하게 잡고서는 “근본 방향은 옳으나, 마땅한 기술적 대안이 지금으로는 존재하지 않고, … 부인방지, 무결성, … 어쩌구 저쩌구…” 이렇게 이야기를 한참 하고나면, 그 자리에 있는 다른 부처 공무원들은 아무도 보안기술 전문가가 아니기 때문에 모두 고개를 주억거리게 되며, 이때쯤 미래부에서 나온 어떤 분이 “HTML5로 공인인증서를 사용하는 대안을 정부가 개발중”이라고 맞장구를 치면, 회의는 그것으로 대충 마무리되는 것입니다.

(금융위/금감원/금결원/KISA는 모두 공인인증서에 올인하고 있는 곳들인데, 이 분들을 불러다 놓고 무슨 대책회의를 한다는 것 자체가 슬픈 코메디)

보안 기술을 조금이라도 이해하는 자가 “공인인증서를 대체할 대안이 마땅찮다”고 컴맹들을 상대로 이야기 한다는 것은 한마디로 파렴치한 것입니다.

세계 각국에서 공인인증서 없이 한국보다 막대하게 큰 규모의 뱅킹 쇼핑 거래가 이루어지고 있습니다. 대안은 무수히 많습니다. 서버측 대안, 클라이언트측 대안을 모두 감안하면, 일일이 다 나열할 수도 없을 지경입니다.

“대안이 뭔가요?” 라고 남에게 묻기 전에, 자신이 과연 보안 기술을 얼마나 잘 알고 있는지를 스스로에게 물어보기 바랍니다.

opennet-keechang-kim150x123

Print Friendly, PDF & Email