좋은 기술은 강제할 필요 없다: 공인인증서 의무화 폐지 법안 국회 소위 통과의 의미
글 | 민노씨
좋은 기술은 강제할 필요가 없습니다.
오픈넷에서 제안하고, 이종걸 의원이 대표발의한 ‘전자금융거래법’ 개정안이 오늘 오후 국회 정무위 법안심사소위를 통과했다(2014년 4월 30일). 아직 법제사법위원회와 국회 본회의(5월 2일)를 통과해야 하는 절차를 남겨뒀지만, 큰 이변이 없는 한 무난하게 통과할 것으로 예상한다. 개정안이 본회의를 통과하고 공포되면, 1년이 경과한 날부터 개정안을 시행한다.
2차(최종) 업데이트: 2014년 9월 30일, 사단법인 오픈넷에서 제안하고, 이종걸 의원이 대표발의한 ‘전자금융거래법’ 개정안이 정무위원장 대안에 반영되어 국회 본회의를 통과했다. (입력: 2014년 10월 1일 오후 2시 16분)
1차 업데이트: 현재(2014년 5월 14일) 국회는 ‘전자금융거래법’ 개정안을 법제사법위원회에 상정하지 못했다. ‘이변’이 생긴 셈이다. 따라서 국회 본회의에도 당연히 상정하지 못한 상태다. 오픈넷 한창민 국장은 “6월 국회가 열리면 그때 다시 법제사법위원회 → 본회의 통과를 기대하는 수밖에 없다”고 경과를 확인했다. (입력: 2014년 5월 14일 오전 10시 55분)
이 법이 최종 통과하면, 국가는 더 이상 공인 인증 기술을 금융거래에 강요할 근거가 사라진다. 사업자가 기존의 공인인증서를 굳이 유지하지 않는다면, 다양하고, 자유로운 인증 수단을 적용한 인터넷 기업들이 나타날 것이다. 그리고 드디어 이용자는 공인인증서를 사용하지 않고도 금융거래를 할 수 있다.
시지푸스의 돌, 공인인증 의무 없는 한국 인터넷
국가가 기업과 이용자에게 공인인증을 강요하지 않는 인터넷, 그것은 ‘시지푸스의 돌’이었다. 많은 이들이 이 거대한 돌을 산 정상까지 밀어 올리려고 노력했다. 매번 바닥으로 떨어지는 돌을 다시 올리려 한 수많은 시지푸스 가운데 김기창 교수가 있다.
가장 오랫동안, 또 가장 치열하게 돌과 씨름한 시지푸스를 한 명 뽑아야 한다면, 그건 김기창일 것이다. 그에게 이번 전자금융거래법 개정안 통과의 의미를 물었다.
보안업체의 ‘적’이 되길 마다치 않고 국가 공인인증 체제와 싸워 온 열린 인터넷의 맹장 김기창 교수
– 지난 공인인증서의 역사를 간략히 돌아보고, 평가할 필요가 있을 듯합니다.
1999년 당시로는 비교적 앞선 기술이라 할 인증서 및 고강도 암호화 기술을 국내에서 진흥해 보겠다는 심정으로 정부 주도의 공인인증제도를 만들었습니다. 이렇게 출범한 공인인증 제도가 살아남으려면 적어도 초기에는 정부 차원의 제도적 “지원”이 필요하다는 계산에서 당시 정통부가 금융위원회에 부탁해서 공인인증서 사용을 강제하였습니다.
그러나 이렇게 시작된 사용 강제를 통한 정부지원이 지난 14년간 계속되어 오면서 한국의 보안 상황은 세계에서 유례를 찾아보기 어려울 정도로 악화일로를 걷게 되었습니다. 보안 기술 발달도 정체되고, MS IE 의존 상황이 극심하게 되고, 온라인 상거래는 국내용으로만 제약되는 등 인터넷 기반 산업 전반에 크나큰 부담으로 작용했습니다.
흔히, 한국 IT기술 및 IT산업의 고립화를 이야기할 때 ‘갈라파고스 현상’이라는 말을 쓰는데, 공인인증서를 금융거래에 반드시 사용하도록 지난 14년간 강제해 온 금융위원회의 잘못된 정책이 바로 IT갈라파고스 현상을 초래하게 된 대표적 원인이라고 생각합니다.
– 이번 전자금융거래법 개정안의 구체적인 의미는 무엇이라고 평가하십니까.
정확히 말하면 이번 개정안은 ‘인증 기술 자율 선택 법안’이라고 할 수 있습니다. 이종걸 의원이 발의한 전자금융거래법 개정법안은 앞서 말한 부조리한 보안 기술 규제 현실을 획기적으로 개선하는 것을 내용으로 합니다. 현행 전자금융거래법에는 “금융위원회는 공인인증서 사용 등에 관한 기준을 정할 수 있다”는 독소 조항이 있습니다.
전자금융거래법
현행 제 21조 3항: 금융위원회는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여 전자서명법 제2조 제8호의 공인인증서의 사용 등 인증방법에 대하여 필요한 기준을 정할 수 있다.
바로 이 조항을 핑계로 삼아 금융위원회가 공인인증서 사용을 전자금융거래에서 강제해 왔었습니다. 이번에 국회 정무위의 법안심사 소위원회를 통과한 개정법률안 제21조 제3항은 공인인증서 사용 강제의 근거 조항을 삭제하고, 아래 내용을 담고 있습니다.
- 금융위원회는 특정 기술 또는 서비스의 사용을 강제하여서는 아니되며, 보안기술과 인증기술의 공정한 경쟁이 촉진되도록 노력하여야 한다.
- 부칙: 이 법은 공포 후 1년이 경과한 날부터 시행한다.
– 이번 법안으로 공인인증서가 시장에서 ‘퇴출’당하리라 보십니까?
정부가 억지 춘향식으로 강제해주지 않았다면 당장에 퇴출당했을 기술이라면, 진작에 퇴출되었어야 옳지 않겠습니까? 애초에 정부가 특정 기술의 사용을 억지로 강요하는 행위 자체가 매우 잘못된 것입니다. 하지만 불행하게도 한국 정부는 IT분야에서 그런 잘못된 전례가 있습니다.
위피(WIPI)라는 기술은 도입 초기의 의도를 잃어버리고 해외 스마트폰과 저가폰 수입을 막아 대기업 위주의 휴대폰 제조 산업을 지키는 수단이 되기도 했다. (출처: 연합뉴스)
위피(WIPI)라는 기술을 억지로 채용하도록 강요한 적이 있지요. 정부가 위피를 억지로 강요했기 때문에 전 세계는 모두 스마트폰 시대로 접어들었는데, 한국은 여전히 피처폰 시대에 몇 년간을 미적거린 적이 있습니다. 위피가 정말 그렇게 좋은 기술이라면, 정부가 강요할 필요가 없었겠지요. 그리고 강요해야만 겨우 명맥이 유지되는 기술이라면 진작에 퇴출당하는 것이 옳고요.
공인인증서가 정말 안전하고 훌륭한 기술이라면 강제 규정이 없어지더라도, 그리고 금융위가 더 이상 공인인증서 사용을 강제하지 않더라도, 여전히 많은 은행들이 공인인증서를 사용할 것입니다. 그렇게 될지 어떨지는 두고 보면 될 것입니다. 퇴출될지 안될지를 미리 점칠 필요는 없다고 생각합니다.
그러나 한가지 꼭 지적할 점은, 공인인증서 관련 업체들과 공인인증서 옹호론을 펴시는 분들 스스로는 강제 규정이 없어지면 당장에 공인인증서를 아무도 안 쓸 것처럼 지레짐작하고 이렇게 말합니다.
“큰 혼란이 올 것이다”
“전체 시스템이 다 바뀌어야 하므로 막대한 돈이 들 것이다”
스스로 공인인증서의 ‘기술 경쟁력’을 이렇게 낮게 평가하고 있다는 것은 좀 이상합니다. 스스로 생각하기에도 그렇게 열악한 기술(정부가 강제해주지 않으면 당장 퇴출당할 기술)을 왜 이때까지 옹호해 왔는지 궁금할 따름입니다.
이종걸 의원이 발의한 개정법률안은 공인인증서 사용을 금지하는 내용이 아닙니다. 공인인증서 강요를 금지하는 것일 뿐입니다.
– 김기창 교수께서는 국가에 의한 공인인증 체제를 꾸준하게 비판해오셨습니다. 소위 반(反) 공인인증 진영의 상징적인 역할을 해오셨는데요. 지난날들의 지난한 싸움에 관해 개인적인 소회를 듣고 싶습니다.
저의 주장은 “공인인증서 사용을 정부가 강요하지 말라”는 것이었습니다. 공인인증서를 사용하지 말라는 것이 아니라, 사용할지 말지는 은행과 보안전문가들이 자율적으로 판단하여 결정하는 것이 옳다는 것입니다.
그러나 관치 보안에 길들어 온 많은 분들께서는 ‘자율’이 무엇인지를 도무지 이해하지 못하시는 것 같았습니다. 강제를 그만하라는 제 주장을 전혀 이해하지 못한 채, “공인인증서를 안 쓰면 대안이 뭐냐”고 반문하는 분들이 대부분이었고, 지금도 그렇습니다. 그분들 생각은 ‘대안을 강제해줘야 할 것 아니냐’는 식의 딱한 수준이었지요.
자신이 보안전문가도 아니니까, 대안이 뭔지를 모르고 있을 뿐인데, 마치 자신이 모르면 대안이 아예 존재하지 않는 것처럼 착각하는 공무원들이 너무나 많고, 어떤 ‘대안’을 또다시 강제하면 공인인증서 강제와 똑같은 상황이 재현될 뿐이라는 점을 이해하지 못하는 분들도 너무 많아서 그것이 힘들었습니다.
지난 14년간 정부가 고집해온 ‘공인인증서 사용 강제’는 모두에게 고통스러운 쓰라린 경험이었습니다. 작년에 큰 반향을 얻었던 노액티브엑스(NoActiveX) 운동은 그동안 누적된 고통과 불편이 이제는 더 이상 계속될 수는 없는 임계점에 도달했음을 여실히 보여주었습니다.
인터넷을 사용하는 모든 국민에게 고통과 위험을 강요하는 공인인증서, 인터넷 기반의 기업들에 엄청한 제약으로 작용하는 공인인증서에 대한 불만과 반감이 폭발적으로 표출된 것이었습니다.
“그동안 누적된 고통과 불편이 이제는 더 이상 계속될 수는 없는 임계점에 도달했다.”
– 법제사법위원회에서 법안이 변질할 가능성은 없을까요?
개정 문구 자체가 법사위에서 변질할 가능성은 높지 않다고 생각합니다. 그러나 금융위원회가 이 개정법안을 완전히 무시하고, 지금까지의 관치보안 관행을 계속하면서 사실상 개정안을 유명무실하게 만들 위험은 있습니다.
금융위원회가 관치보안의 잘못을 이해하고 인정했다면, 진작에 (법 개정을 기다리지 않고서도) 전자금융감독규정을 스스로 전면 개정하여 공인인증서 사용을 강제하는그릇된 행위를 즉각 중단할 수도 있습니다.
그러나 금융위원회는 끝까지 관치보안의 관행을 유지하면서 공인인증서 사용을 강제해 주면서, 금융위 부이사관이 퇴임 직후에 공인인증업체로부터 10억 원씩 감사연봉을 받는 불미스러운 사태를 연출해왔습니다.
앞으로 금융위/금감원이 과연 자신의 과오를 반성하고, 관치 보안의 악습을 스스로 중단하는 결단을 내릴 역량이 있을 것인지를 모두가 주의 깊게 관찰하고 감시해야 할 것으로 생각합니다.
금융위, 금감원, 금결원으로 이어지는 공인인증서 삼각 커넥션
– 개정안의 최종 통과 가능성은 어떻게 보시나요? 특히, 기성 보안 업체의 저항은 어떻게 예상하십니까?
사실 이 법안은 지난여름에 통과되었어야 할 법안입니다. 보안 기득권 세력의 저항으로 이 법안 통과가 늦춰진 셈이고, 시행 시점도 1년 후로 유예 기간이 추가된 것입니다. 그러나 영원히 공인인증서에 갇혀있을 수는 없을 것입니다. 기득권 세력의 저항도 한계가 있습니다. 대세를 거스를 수는 없는 것입니다. 물론 몇 달 더 장난칠 수는 있을 것입니다.
하지만 공인인증서를 못 쓰게 하자는 것이 아니라, 쓰고 싶은 은행은 쓰고, 쓰기 싫은 은행은 안 써도 되도록 하자는 합리적인 제안을 끝까지 거부하기는 어려울 것입니다.
– 법안이 통과했을 때 불안해할 수 있는 이용자, 기업들에 해주실 말씀이 있다면요.
공인인증서 사용 강제 체제에 빌붙어 쉽게 영업해 왔던 관련 업체들은, 사용 강제 체제가 사라지면 마치 큰일이 날 것처럼 호들갑을 떨며 공포를 조성해 왔습니다.
“큰 혼란과 불편이 따를 것이다”
“막대한 비용이 들 것이다”
그 비용이 모두 국민들에게 전가될 것이다” 등등…
한 가지만 말씀드리겠습니다.
저는 2006년에 “인터넷익스플로러(IE) 외의 웹브라우저에서도 공인인증 서비스를 제공하고, 전자금융거래를 할 수 있게 하라”는 소송을 제기했습니다(이른바 “오픈웹 소송”). 그때 상대방은 언제나 “IE 외의 웹브라우저도 지원하려면 천문학적인 비용이 들고, 사이트를 다 뜯어고쳐야 하며, 그러다 보면 시스템이 불안정해진다”고 항변했습니다.
하지만 이제는 대부분의 은행, 대부분의 공인인증기관들이 서너 개의 웹브라우저는 기본으로 지원합니다. 천문학적인 비용이 든 것도 아니고, 그 비용이 소비자에게 전가된 것도 아니고, 사이트를 다 뜯어고쳐야 하는 것도 아니며, 다양한 브라우저를 지원한다고 해서 시스템이 불안정해지는 것도 아닙니다.
하지만 2006년 당시만 해도 국내에서는 HTML표준이 뭔지조차 모르던 미개한 시절이었고, 이런 상황에서 청중의 무지를 악용하여 이런 근거 없는 헛소리를 얼굴색 하나 변함없이 내뱉고 다니던 분들이 수두룩했지요.
그분들 요즘 다 어디 가셨나 모르겠네요.
왜 국내 항공사 홈페이지는 한국인에게는 액티브엑스 요구, 외국인은 없어도 결제가 될까요?
보안 기술 규제도 마찬가지입니다. 보안 기술 ‘자율 경쟁’이 무슨 말인지 전혀 모르는 사람들을 상대로, 그런 것 허용하면 ‘막대한 비용과 혼란이 초래되고, 위험해진다’고 겁을 주고 뻥 치는 분들이 수두룩하지요.
외국에서는 당연한 것들(HTML 표준 준수, 보안 기술 경쟁 체제 등)을 마치 큰일 날 것처럼, 외국 사정을 모르는 한국인들을 상대로 선전을 해대는 분들이 전문가 행세를 하고 다니지요. 이런 분들 때문에 한국이 이 수준에서 맴도는 것이라고 저는 생각합니다.
– 장기적으로 보안과 관련한 IT 정책의 방향에 관해 한 말씀 부탁드립니다.
정부는 보안 기술에 개입해서는 안 됩니다. 보안 기술은 활발한 시장 경쟁을 통하여 발전하도록 해둬야 합니다. 이것이 바로 OECD 암호기술 가이드라인의 핵심 내용이기도 하고, 은행 감독에 관한 바젤위원회가 채택한 전자금융위험관리 원칙의 중심적 내용이기도 합니다.
“암호 기법의 개발과 제공은 개방되고 경쟁적인 환경에서 시장을 통하여 결정되어야 한다.”
“The development and provision of cryptographic methods should be determined by the market in an open and competitive environment.”
출처: OECD Guidelines for Cryptography Policy
정부가 보안 기술에 개입해서 ‘이것이 안전하니, 이것을 반드시 쓰라’고 하는 순간, 그 나라의 보안 기술은 거기서 멈춰 서고, 한때 안전했던 그 기술은 그 사이에 누더기가 되었는데도 아직도 그것을 신주 모시듯 떠받들며 칭송하게 됩니다. 기술이 아니라 맹목적 믿음과 신화, 그리고 관료적 권위가 지배하는 딱한 상황이 되는 것이지요.
지난 14년간 고집해온 ‘공인인증서 사용 강제’는 모두에게 고통스러운 쓰라린 경험이었습니다. 다시는 이런 관치보안의 우매함이 반복되지 않았으면 좋겠습니다.
좋은 기술은 강제할 필요가 없습니다.
* 위 글은 슬로우뉴스에도 게재하고 있습니다.
0 Comments