1999년 도입된 공인인증서 제도가 21년 만인 올해 폐지된다. 국회가 지난달 20일 이러한 내용을 포함한 전자서명법 전부개정을 이뤄내면서 올해 12월부터 공인인증서 사용이 중단된다.

최기영 과기정통부 장관은 “이번에 통과한 법안들은 대다수 국내산업과 경제에 활력을 불어넣는 법안들로 관련 연구계와 산업계가 통과하기를 고대하던 오랜 숙원 법안”이라며 “법 집행 과정에서 현장의 의견을 충분히 반영하면서도, 속도감 있게 추진할 것”이라고 밝히기도 했다. 인터넷을 통해 금전거래를 할 때 필요한 전자서명인 ‘공인인증서’가 역사의 뒤안길로 사라짐에 따라 인증 시장을 차지하기 위한 각축전이 예고되고 있다.

말도 많고 탈도 많았던 공인인증서의 역사는 1999년 전자서명법 발효로부터 시작됐다. 행정부와 금융업계 전문가 집단이 참여한 연구 끝에 금융결제원이 발급주체가 되고 은행, 보험 회사들이 보증주체가 되는 시스템으로 구성됐다. 문제는 당시 전자서명법을 뒷받침할 전자정부법이 시행되지 않은 상태라 2년간의 공백이 발생했다. 그 사이 범용 인증서, 개인 인증서 등이 난무하며 초기 혼란을 가중시켰다. 2001년 전자정부법 시행으로 정리가 됐지만 전자상거래, 전자금융 등 광범위하게 공인인증서가 이용되며 사용자 불편을 가중시켰다는 비판에 직면했다. 현재 공인인증서는 개인용으로는 범용 공인인증서와 금융거래용 공인인증서 등 2종이 존재한다. 일반적인 온라인 쇼핑몰 구매 등에 쓸 뿐만 아니라 금융거래, 주식투자 등 다양한 금융기관에서도 이러한 공인인증서가 쓰인다.

물론 공인인증서가 국가정보화 강화 및 경제 활동 증가라는 소기의 목적을 달성했다는 반론도 있다. 하지만 사이트마다 공인인증서 프로그램을 설치하고 관련 절차를 밟는 데 많은 시간이 걸릴 뿐더러 그 프로그램도 사이트별로 상이해 사용자 측면에서 장점보단 단점이 훨씬 많다는 지적이 끊이지 않았다. 특히 글로벌 금융·결제 시장이 급속도로 팽창하고 전자상거래가 폭발적으로 늘어나면서 공인인증서 제도가 발목을 잡고 있다는 우려의 목소리가 커지기도 했다. 공인인증서가 전자서명 시장의 독점을 초래하고 산업 발전과 서비스 혁신을 저해했다는 것이다.

공인인증서 발급은 법이 규정한 공인인증기관에서 가능하고, 은행이나 증권사 등 등록대행기관에서 실제 발급을 한다. 발급 절차도 복잡한 데다 모바일과 PC를 이용해 직접 등록하는 과정 역시 쉽지 않아 IT 기기 작동에 익숙하지 않은 50대 이상 연령층에게 진입장벽이 높다는 지적도 끊이지 않았다.

▶공인인증서 의무사용 조항 삭제

이러한 논란이 끊이지 않자 2014년 10월에는 전자금융거래법 개정을 통해 공인인증서 의무사용 조항이 삭제됐다. 당시 국내뿐 아니라 중국에서도 인기를 모은 드라마 <별에서 온 그대>에 나온 전지현 배우의 코트가 발단이었다. 한 해외 쇼핑객이 해당 코트를 국내 온라인 쇼핑몰에서 구입하려 했는데 공인인증서와 복잡한 인증 절차 때문에 구입을 포기했다는 것이 그 내용이다. 이로 인해 국내에서 이러한 복잡한 공인인증 절차를 간소화해 진입 장벽을 낮춰야 한다는 지적이 촉발됐다. 하지만 시중 은행 등이 자체 전자 서명 개발 비용, 보안 문제 등을 우려해 공인인증서를 계속 사용하며 실사용 측면에서의 체감은 크게 달라지지 않았다는 평가다. 대부분 정부기관과 공공기관 역시 여전히 공인인증서 제도를 유지하고 있었다. 결국 정부는 2018년 8월부터 폐지수순을 밝혔고 금융기관 등도 공인인증서를 대체할 지문인식, 얼굴인식 등 생체 보안 기능 도입에 적극적으로 나선 상황이다. 정부의 관점에서 볼 때 전자서명법 전부개정의 취지는 궁극적으로 정부 주도가 아닌 민간 주도의 인증시스템 구축으로 정리된다. 관련 분야의 산업 경쟁력을 제고하고 민간의 다양한 전자서명과 활용 수단들이 서로 차별 없이 경쟁할 수 있는 여건을 조성하는 것이 필요하단 의미다. 공인인증서와 함께 사용자 불편을 촉발시켰던 ‘액티브X’ 문제도 함께 해결될 것으로 보인다. 액티브X는 공인인증서를 웹 브라우저에서 사용할 수 있게 만드는 프로그램으로 마이크로소프트의 인터넷 익스플로러에서만 사용할 수 있어 문제가 됐다. 다양한 인터넷 브라우저가 출시됐음에도 불구하고 공인인증서 사용을 위해서는 액티브X를 적용한 익스플로러만 써야 하다 보니 소비자의 선택권을 제약한다는 지적이 나올 수밖에 없었다. 뿐만 아니라 보안문제를 해결하기 위해 키보드, 마우스 보안, 부정 접속차단 프로그램 등 수많은 보안 프로그램도 함께 설치해야 해 사용자들의 조롱이 끊이지 않았다. 공인인증서 제도가 폐지되면서 이러한 불편함 역시 해소될 것으로 기대를 모으고 있는 만큼 관련 업계의 기술경쟁에도 속도가 붙을 전망이다.

▶공인인증서 대체할 시장에

민간업체 대거 등장 예상

‘넥스트 공인인증서’ 시대에 대한 청사진은 아직 뚜렷하게 펼쳐지지 않았다. 일단 공인인증서를 대체할 시장에 다양한 민간업체들이 들어올 것으로 예상된다. 사설인증서 기관들이 들어와 사용자 편의성을 향상시키고 보안 문제를 원천 차단한다면 가장 이상적인 결과가 될 것이다. 이 시장을 선점하기 위한 대기업과 중소기업들의 관심도 뜨거운 상태다. 2017년 6월 출시한 카카오페이 인증은 1000만 명 이상이, 지난해 4월 출시한 패스 인증은 2800만 명이 사용하는 것으로 알려졌다. 이밖에도 은행연합회가 2018년 출시한 뱅크사인(이용자수 약 30만 명)이 있으며 네이버와 토스 등이 새로운 서비스 출범을 예고하면서 경쟁이 더욱 치열해질 것으로 예상된다.

이동통신3사는 합심해 만든 본인인증 프로그램 ‘패스’를 앞세워 사설인증서 활성화에 앞장서겠다고 출사표를 던진 상태다. 휴대폰 애플리케이션을 활용한 본인 인증 서비스로 휴대전화의 명의 인증과 기기 인증을 이중으로 진행해 더욱 안전한 인증 시스템을 구축한다는 계획이다. 패스 서비스 가입자가 2800만 명(2020년 2월 기준)에 달한다는 것도 호재다.

네이버나 카카오와 같은 굴지의 IT기업도 인증 시장에 관심을 보이고 있다. 두 기업 역시 네이버페이와 카카오페이 등 결제 서비스를 앞세워 금융 및 보안시스템에 대한 노하우가 쌓인 만큼 사설 인증 시장에서의 경쟁력을 갖추고 있다고 판단하고 있다. 네이버는 네이버 고지서 서비스를 전면에 내세운다. 네이버는 지난해 6월 출시한 네이버 고지서 서비스를 지방자치단체, 공공기관에 이어 올해 보험사와 제휴해 이용자에게 편리하게 제공하겠다고 밝힌 상태다. 우선 올해 서울시에서 발급하는 민방위 소집 통지서, 국민연금공단의 연금 납부 고지서 등을 네이버 고지서 서비스로 받을 수 있다. 또 네이버는 고지서 서비스를 자동차, 화재, 퇴직보험 등 보험사의 다양한 상품과 연계해 나갈 예정이다. 네이버는 보안이 중요한 전자고지 서비스의 특성을 고려해 PKI 방식의 전자서명이 적용된 네이버 인증서를 통해 고지서 수령자 신원을 확인하도록 할 예정이다. PKI 방식은 위조나 변경을 할 수 없는 전자서명 방식으로 안전성이 높다는 것이 네이버의 설명이다. 네이버 이용자는 인증서를 하나씩 비대면으로 발급받을 수 있다. 네이버 인증서가 바탕이 된 네이버 고지서는 애플리케이션으로 금융기관 등의 전자문서와 등기성 고지서를 수령할 수 있는 모바일 전자고지 서비스로, 네이버페이로 납부할 수 있도록 편의성을 높였다. 지난해 11월 과학기술정보통신부로부터 공공기관, 행정기관에서 발급하는 전자고지에 대한 ‘모바일 전자고지’ 서비스를 정보통신기술(ICT) 규제 샌드박스 승인을 받은 바 있다. 지난 13일에는 보험사, 공제회 등 민간기관에서 발송하는 고지서에 대한 ICT 규제 샌드박스 승인까지 받아 활용성이 높아졌다.

네이버 인증서 서비스만을 활용한 제휴 서비스도 확장되고 있다. 네이버가 아닌 웹사이트에서 ‘네이버 아이디로 로그인’할 때 보안이 강화된 2중 보안 장치로 인증 서비스를 활용할 수 있도록 할 예정이다. 현재 웹사이트에서 네이버 계정으로 간편 로그인할 수 있는 서비스 적용처는 약 2만5000곳에 달하는 만큼 그 인프라스트럭처를 최대한 활용한다는 방침이다. 여기에 네이버 인증서가 적용되면 이용자는 온라인 생활 전반에서 한층 향상된 보안성을 경험할 수 있을 것으로 기대된다. 네이버 관계자는 “네이버 고지서와 인증서 서비스는 모바일 전자고지 서비스 저변을 확대하고 사용자 생활 속 다양한 영역에서 보안성과 편리함을 제공하는 생활밀착형 서비스로 나아갈 것”이라며 “사설인증서, 전자고지 서비스 활용도가 업계 상황에 빠르게 발 맞춰 많은 이용자가 편의성을 체감할 수 있도록 최선을 다할 것”이라고 밝혔다.

▶카카오, 토스, 뱅크사인 등 주목

카카오톡 기반의 ‘카카오페이 인증’은 2017년 6월 출시돼 현재 1000만 명의 가입자를 확보했다. 별도의 프로그램 설치 없이 카카오톡을 통해 간편한 인증, 제휴 기관 서비스 로그인 등에 활용할 수 있다. 또 전자서명이 요구되는 중요 문서를 확인하는 데 쓸 수 있다는 점이 특징이다. 현재 공공·금융기관 등 100곳 이상의 기관에서 사용할 수 있다.

핀테크 앱 ‘토스’를 개발한 비바리퍼블리카도 토스를 기반으로 본인인증 시장 공략에 나선다. 금융권도 기존 사용자층을 그대로 유지하기 위해 다양한 방식의 인증 수단을 도입하고 있다. 기존 공인인증서 개선을 비롯해 은행·카드사마다 자체적인 인증서 개발에 나서고 있다. 은행연합회가 2018년 선보인 은행권 공동 인증 서비스인 ‘뱅크사인’도 주목받고 있다.

사설 보안 시대를 앞두고 선결과제는 ‘보안 문제’다. 비대면 거래가 폭증하면서 공인인증서 보안이 쉽게 뚫리는 사건이 속속 나오면서 문제가 더욱 커진 상태다. 지난 4월 위조신분증을 이용한 1억원 규모 사기 대출 사건이 대표적인 공인인증서의 허점을 이용한 범죄다. 위조범은 범용 인증서를 불법 발급받아 이를 온라인 신분증으로 활용했다. 대부분 온라인 활동을 하는데 신분증 역할을 하는 공인인증서를 알뜰폰과 위조신분증 등을 이용해 간단하게 만들어냈다. 특히 온라인 보안을 철저히 강화한 데 비해 인증 절차나 오프라인 검증상의 구멍으로 인해 손쉽게 사기행각을 벌일 수 있었던 것으로 확인됐다. 특히 워낙 광범위하게 사용되는 공인인증서 특성상 한번 위조에 성공하면 인터넷 쇼핑, 전자계약, 전자영수증, 서류 발급 등 모든 분야에서 사용할 수 있다는 문제가 발생한다.

실제 최근 토스에서 고객 몰래 900여 만원이 결제되는 사건이 발생하며 사설공인인증에 대한 불신이 커진 상황이다. 1700만 명 넘는 가입자를 보유하고 있는 토스는 온라인 간편결제 시장에선 ‘빅3’로 꼽히며 최근 급성장한 업체다. 서울 노원경찰서는 지난 4일 제3자가 토스 가입자 8명의 결제 비밀번호 등을 도용해 몰래 938만원을 결제한 사실을 파악하고 내사에 착수했다. 토스 측은 “피해 사실 접수 후 즉시 전액 환급했다”고 밝혔지만 일반 기업의 보안에 구멍이 뚫린 게 아니냐는 지적이 나올 수밖에 없는 상황이다. 실제 공인인증서에 대한 불신이 큰 2030세대는 믿었던 도끼에 발등을 찍힌 꼴이라며 줄줄이 토스 탈퇴에 나선 상태다. 한 20대 이용자는 “모든 은행 계좌를 연동해서 써왔는데 보안에 문제가 있다니 충격이 크다”며 “서비스 편의성도 중요하지만 가장 기본이 되는 보안문제가 담보되지 않으면 아무래도 신뢰를 얻기 힘들다”고 말했다.

금융권에서도 국내 간편결제 시장이 급성장하면서 간편성에 비해 보안문제가 주목받지 못했다는 데 공감하는 분위기다. 공인인증서 등 별도의 인증절차 없이 간단한 개인정보 입력만으로 결제가 가능한 간편결제 서비스는 2014년 9월 카카오가 카카오페이를 출시하면서 본격화됐다. 이후 공인인증서 의무사용이 폐지된 후 간편결제 서비스 업체들이 우후죽순 생겨났다. 최근엔 금융회사를 비롯해 유통·통신 등 다양한 업체가 ‘페이’라는 이름의 간편결제 서비스를 제공한다. 한국은행에 따르면 국내 간편결제 일평균 이용금액은 2016년 255억원에서 2019년 1656억원으로 급증했지만 이에 따른 부작용도 표면에 드러나기 시작했다는 평가다.

특히 휴대폰으로 QR코드를 인식하거나 단말기에 입력된 카드정보를 바코드처럼 쓰는 오프라인 간편결제와 달리, 토스·카카오페이·네이버페이 등의 온라인 간편결제 서비스는 처음부터 끝까지 비대면 방식인 만큼 한번 보안에 구멍이 생기면 막을 수 없이 커질 수 있다는 지적도 나온다. 보안사고 우려가 커지면서 온라인 간편결제업계의 긴장도 커지고 있다. 업계 관계자는 “로그인부터 결제까지 모든 상황을 면밀히 모니터링하고, 내부 보안전문 인력을 배치해 24시간 문제가 발생하지 않도록 감시를 하고 있다”고 강조했다.

보안뿐만 아니라 사설인증서가 난립하면서 사용처마다 제각각의 인증서를 써야 될 것이란 지적도 나온다. 이전에는 공인인증서 하나로 해결됐지만, 사설인증서의 경우 사업자 제휴 상황에 따라 사용 범위가 한정되기 때문에 주객이 전도되는 결과를 낳을 수 있다는 의미다. 또 사설인증서 시대가 되면서 인증서의 공적인 목적보다 상업적 성격이 짙어질 것이라는 우려도 나올 수밖에 없다. 금융위원회는 공인인증서 폐지에 대비해 전자금융거래 인증·신원확인에 대한 새로운 규율체계 마련을 위한 태스크포스(TF)를 구성하며 대책 마련에 속도를 내고 있다. 금융위는 지난 8일 오후 정부서울청사에서 ‘금융분야 인증·신원확인 제도혁신 TF’ 1차 회의를 개최하고 대안마련에 나섰다. TF에는 금융위 금융혁신기획단장과 전자금융과장을 비롯해 외부전문가와 업계 전문가, 금감원, 금융보안원, 금융결제원 등 유관기관이 참석했으며 보다 나은 인증 시스템 구축을 위해 추진되고 있다.

금융위는 7월까지 TF를 운영해 금융 분야 인증·신원확인 관련 주요 검토사항에 대해 정책 대안을 마련할 계획이다.

[추동훈 매일경제 프리미엄부 기자]

[본 기사는 매경LUXMEN 제118호 (2020년 7월) 기사입니다]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]