공인인증서와 갈라파고스 한국

공인인증서와 갈라파고스 한국.
10월23일 구글 인터넷 개방성 포럼.

이정환 미디어오늘 기자.

이야기 순서.
액티브엑스와 공인인증서.
알라딘 간편 결제 시스템은 왜 왕따를 당했나.
애플과 마이크로소프트의 차이.
갈라파고스 한국. 우리가 꿈꾸는 인터넷은.

추가 기능을 설치하시겠습니까.

설치하지 않을 배짱 있습니까.

액티브 엑스와 공인인증서.

사례 1. 알라딘 간편결제.

“이번에는 그냥 조용히 하고 싶어요.”
알라딘은 액티브엑스 없는 결제 시스템을 만들었다가 혼쭐이 난 경험이 있다. 2009년 나름
업계 최초로 모든 운영체제와 브라우저를 지원한다고 떠들썩하게 홍보를 했는데 1년 반만
에 눈물을 머금고 접을 수밖에 없었다. 감히 액티브엑스 없는 결제 시스템을 만들다니! 카
드회사들이 이런 시스템으로는 거래를 할 수 없다고 일방적으로 제휴를 중단했기 때문이
다. 결국 어떤 신용카드로도 거래를 할 수 없는 지경에 이르자 항복 선언을 할 수밖에 없었
다.
그랬던 알라딘이 최근 액티브엑스 없는 간편 결제 시스템을 다시 구동했다. 김성동 알라딘
마케팅팀 팀장은 “이번에는 언론에 보도자료도 뿌리지 않고 조용히 오픈했다”고 말했다.
“카드회사들이 또 거래를 끊겠다고 할까봐 조심스럽다”는 설명이다. 김 팀장은 “간편 결제
시스템을 중단한 이후 결제 직전에 사이트를 벗어나는 비율이 늘어났다”면서 “상당수는 IE
이외의 브라우저를 쓰는 것으로 추정되는데 이들을 붙잡아야겠다고 판단했다”고 설명했다.

왜 이런 일이 벌어지는 것일까.
알라딘 관계자에 따르면 삼성카드는 지난 3일 미디어오늘 보도 직후 알라딘과 논-액티브엑
스 방식 거래를 중단하겠다고 통보했다. 알라딘 김성동 팀장은 “액티브엑스 없이도 거래가
가능하다는 사실을 알리는 게 부담스러울 정도”라고 말했다. 김 팀장에 따르면 알라딘 전체
매출 가운데 논-액티브엑스 방식 거래는 2% 수준으로 그리 큰 금액은 아니다. 김 팀장은 “그
런데도 카드회사들이 왜 액티브엑스 이외의 결제 방식을 허용하지 않으려는지 모르겠다”
고 덧붙였다.
이동산 페이게이트 이사는 “액티브엑스로 결제한다고 해서 카드회사들이 딱히 직접적인
이익을 얻는 것도 없을 텐데 굳이 이유를 찾자면 인증방식의 통제권을 놓치지 않으려 하는
것 같다”고 말했다. 금융감독원 인증까지 받았는 데도 카드회사들이 이를 인정하지 않는 상
황이다. 이 이사는 “삼성카드는 일단 다시 열어놓긴 했는데 완전히 협의된 상태가 아니고
현대카드가 추가로 거래를 중단했다”면서 “추가 이탈이 있을 수도 있다”고 설명했다.

“문자 메시지 안 받는 고객들 때문에.”
삼성카드 관계자는 미디어오늘과 통화에서 “알라딘의 금액인증 방식은 임의의 금액을 임
시 결제하고 두 차례 문자 메시지로 확인하는 방식인데 삼성카드 고객 가운데 문자 서비스
를 이용하지 않는 고객들은 이런 결제 방식이 불가능하기 때문에 거래를 중단하게 됐다”고
설명했다. 이 관계자는 “알라딘의 인증 방식은 아직 안정화가 안 된 단계라서 고객들이 불
편하기도 하고 혼동 가능성도 있다”고 덧붙였다.

누가 거짓말을 하고 있나.
이찬진 대표는 팔로워가 20만명이 넘는다. 관심이 집중되자 현대카드는 곧바로 장문의 답
변을 내놓았다. “가맹점 표준약관은 가맹점은 카드 유효기간을 보관할 수 없다고 규정하고
있으며 고객 카드번호와 유효기간 등을 결제대행업체(PG)가 보관하는 일부 PG사의 결제방
식은 약관 위반입니다. 현대카드가 이러한 결제방식을 수용하기 위해서는 표준약관 변경
이 선행되어야 합니다.”
그러나 페이게이트의 주장은 또 다르다. 이동산 이사는 “가맹점 표준 약관은 오프라인 가맹
점을 포함한 가맹점 일반에 대해서 적용되는 것이고, 온라인 가맹점의 경우 특약서가 우선
한다”고 지적했다. 현대카드와 페이게이트가 체결한 특약서에는 회원의 식별정보와 거래
정보, 비밀번호 등 이용자 정보를 저장할 수 있는 명문의 근거규정을 마련해 두고 있기 때문
에 페이게이트가 법령이나 계약을 어겼다고 볼 수 없다는 설명이다.

쟁점은 두 가지.
첫째, 서버에 카드 정보를 저장해서는 안 된다.
둘째, 키보드 해킹 방지 프로그램을 설치해야 한다.

서버에 저장하면 위험하다고?
간편결제는 처음 결제를 하고 나면 신용카드 번호와 유효기간 등을 서버에 저장해뒀다가
다음부터는 비밀번호만 입력하면 되도록 하는 이른바 프로파일 방식이다. 액티브엑스 기
반의 다른 전자결제 대행업체(PG)들이 사용자 PC에 결제 정보를 저장하는 것과 다르다. PC
에 저장하느냐 서버에 저장하느냐의 차이인데 금감원은 프로파일 방식을 쓰지 않도록 권
고하고 있다.
액티브엑스 방식의 안심클릭이나 안심결제 등에서는 PC에 저장된 정보가 서버에 저장된
사설 인증정보와 일치하는지 확인하는 방식으로 본인인증을 한다. AA방식에서는 카드사에
서 결제 금액을 문자 메시지를 보내면 이를 확인하는 방식으로 본인인증을 한다. 신용카드
와 휴대전화를 동시에 해킹 또는 도난 당하지 않는 이상 본인 이외에는 문자 메시지를 확인
할 방법이 없기 때문에 해킹 위험이 낮다는 게 페이게이트의 설명이다.

하란대로 다 했는데 왜?
카드사들은 페이게이트가 액티브엑스를 안 써서 문제 되는 게 아니라 금융감독원 표준 약
관을 따르지 않기 때문에 문제라는 입장이다. 금감원 관계자는 “표준약관에는 가맹점이 서
버에 유효기간을 저장해서는 안 된다고 돼 있다”고 말했다. 그러나 페이게이트 이동산 이사
는 “표준약관은 말 그대로 표준일 뿐 의무사항이 아니고 실제로 페이게이트가 체결한 약관
에는 이런 내용이 포함돼 있지도 않다”고 말했다.
현대카드는 최근 페이게이트에 두 가지 조건을 제안했다. 첫째, 카드 유효기간을 서버에 저
장하지 말 것, 둘째, 키보드 해킹에 대한 대안을 마련할 것. 페이게이트는 그동안 한번 결제
를 하고 나면 다음번에는 금액 인증과 비밀번호 입력만으로 결제를 할 수 있도록 했지만 현
대카드가 제시한 조건을 둘 다 받아들였다. 유효기간 등을 저장하지 않을 수 있는 옵션을 뒀
고 비밀번호를 입력할 때 스크린 키보드를 선택할 수 있도록 했다.

사고 나면 카드사가 책임진다고?
이동산 페이게이트 이사는 “보완 대책을 마련했기 때문에 현대카드 등과는 곧 거래가 재개
될 것으로 기대하고 있다”고 말했다. 이 이사는 “금액 인증 방식이 ISP 결제나 안심클릭 같은
액티브엑스 기반 결제 방식보다 더 보안이 취약하다는 주장에는 동의할 수 없다”면서 “오히
려 무분별한 액티브엑스 플러그인 설치 문화가 보안 위험을 늘린다는 사실을 간과해서는
안 된다”고 지적했다.
결제 사고가 나면 카드사가 책임을 져야 한다는 카드사들의 주장에 대해서도 반박했다. “보
증보험에 가입돼 있고 거래 한도도 담보금에 상응해서 부여하기 때문에 가맹점이 망하지
않는 이상 카드사가 결제 사고에 책임을 지는 일은 없다”는 설명이다. 이 이사는 “심지어 비
인증 방식으로 결제를 하는 가맹점도 많은데 더 안전한 결제 방식을 제공하는 알라딘을 문
제 삼는 이유를 모르겠다”고 말했다.

엑티브엑스 없으면 거래도 없다?
이 이사는 “서버가 결제 정보를 보관하지 않는 대신 유저가 매번 입력하라는 식의 국내 관
행은 서버 보안을 사실상 포기하고 모든 위험을 유저에게 전가하는 불행한 관행”이라면서
도 “일부 카드사들의 문제제기를 반영해 카드 유효기간을 보관하지 않고 결제할 때마다 매
번 새로 입력하도록 할 계획”이라고 밝혔다. 페이게이트가 한 발 물러서면서 이제 현대카드
의 결단만 남은 상태가 됐다.
현대카드 관계자는 미디어오늘과 통화에서 “액티브엑스 유무와 별개로 가장 문제가 되는
건 키보드 해킹 보안 등이 현대카드가 기대하는 수준에 못 미치기 때문”이라고 설명했다.
이 관계자는 “페이게이트가 가상 키보드를 도입, 키보드 보안을 강화하기로 했고 카드 유효
기간도 저장하지 않기로 했기 때문에 조만간 알라딘을 비롯해 페이게이트의 액티브엑스
없는 결제 시스템과 제휴를 재개하는 방안을 검토할 계획”이라고 밝혔다.

고객들 반응은?
알라딘의 카드사들의 집단 „왕따‟에 정면으로 대응하고 나섰다. 알라딘은 8일 고객 345명을
대상으로 설문조사한 결과 최근 도입한 액티브엑스 없는 결제 서비스와 관련, 이용 고객의
85.8%가 „만족스럽다‟ 또는 „매우 만족스럽다‟고 응답했다고 밝혔다. 알라딘에 따르면 5점
척도 기준 평균 4.31점이었다. 간편결제 서비스를 이용한 고객의 88.1%가 „일반 카드 결제시
와 큰 차이가 없거나 더 안전하게 느껴진다‟고 답변했다.

아마존에선 되는데 왜?
김 팀장은 “미국 아마존의 경우 액티브엑스는커녕 비밀번호만 집어넣으면 원클릭 결제가
가능하지만 결제 사고가 발생했다는 뉴스를 들어본 적이 없다”면서 “아마존에게 안심클릭
이나 ISP, 공인인증서 같은 규제가 있었다면 이런 성공을 거두기는 어려웠을 것”이라고 지
적했다. 김 팀장은 “카드사들도 나름의 룰이 있을 것으로 존중하지만, 이러한 현실도 존중
해주었으면 한다”면서 “성실하게 협의에 임해주길 간절히 바란다”고 당부했다.

사례 2. 애플 코리아는 왜.

공공연한 비밀. 금융감독원만 몰랐
다?
한국 마이크로소프트 스토어(국내 법인) / 결제대행사: 디지털리버 코리아(국내 법인)
한국 어도비 스토어(국내 법인) / 결제대행사: 디지털리버 코리아(국내 법인)
한국 애플스토어 (국내 법인) / 결제대행사: 이니시스(국내 법인)
한국 코렐 소프트웨어(국내 법인) / 결제대행사: 디지털리버 코리아(국내 법인)
사단법인 유니세프 한국위원회(국내 법인) / 결제대행사: (주)케이에스넷
액티브엑스나 공인인증서 없이 30만원 이상 결제가 가능한 사이트들.

그런데 갑자기 왜?
금융감독원은 최근 “한국 애플스토어에 결제대행 서비스를 제공하는 KG이니시스 등에 30
만원 이상 결제에 공인인증서를 요구하도록 전자금융감독규정을 준수할 것을 지시하는 공
문을 보냈다”고 밝혔다. 외국 기업들도 국내에서 사업을 하려면 한국 법을 따라야 한다는
입장이다. KG이니시스는 금감원에 준수이행 계획서를 낸 것으로 알려졌다. 액티브엑스 기
반은 안 되겠지만 그에 준하는 어플리케이션을 설치하도록 한다는 계획이다.
금감원은 일단 규정이 만들어진 이상 예외는 없다는 입장이지만 사실 예외는 얼마든지 있
다. 애플은 2006년 11월부터 우리나라에서 온라인 쇼핑몰을 운영해 왔는데 그동안 한 번도
금감원의 제재를 받은 적 없다. 왜 이제 와서 문제 삼는 것일까. 최근 미디어오늘 등 일부 언
론이 형평성 문제를 제기하자 뒤늦게 거꾸로 형평성을 맞추는 차원일 가능성이 크다. 문제
는 그나마도 일관성이 없다는 데 있다.

맥 사려면 윈도우즈 컴퓨터에서?
애플코리아는 최근 금감원의 시정 명령을 받아들여 공인인증 절차를 도입했지만 아직 맥
OS에서는 기존 방식대로 공인인증서 없이 결제할 수 있다. 애플코리아는 맥 전용 공인인증
어플리케이션을 따로 개발한다는 계획인데 이런 식이라면 리눅스 전용도 개발해야 하거나
리눅스에서는 결제를 못하도록 해야 한다. 웹 기반으로 하면 간단히 해결될 일을 따로따로
작업을 해야 하고 그마저도 모든 고객들을 지원하지 못한다는 이야기다.

나의 애플은 이러지 않아.

마이크로소프트는 어떨까.
요즘 말도 많고 탈도 많은 윈도우즈8.1을 사볼까 하고 마이크로소프트 홈페이지에 들어갔
다. 윈도우즈8.1이 17만2000원, 윈도우즈8.1프로는 무려 31만원이다. 가격도 놀랍지만 더
놀라운 것은 비자카드와 마스터카드 밖에 받지 않는다는 사실이다. 둘 다 해외 신용카드다.
이 카드들과 연계된 국내 신용카드도 쓸 수 있지만 국내 전용 카드는 쓸 수가 없다. 결제를
하면 달러화로 빠져나간다.
더욱 더 놀라운 건 액티브엑스 설치도 없이 신용카드 번호와 유효기간, 그리고 카드 뒷면의
CVV 번호만 입력하면 간단히 결제가 끝난다는 사실이다. 마이크로소프트 인터넷익스플로
러가 아니라도 된다. 파이어폭스나 크롬이나 사파리에서도 되고 아이폰이나 안드로이드폰
이나 모바일에서도 된다. 당연히 맥이나 리눅스나 어떤 다른 운영체제에서도 어떤 형태든
웹브라우저만 띄울 수 있으면 된다.

애플과 마이크로소프트의 차이는?
마이크로소프트와 애플의 차이는 뭘까. 마이크로소프트는 미국 회사지만 마이크로소프트
코리아는 한국 회사다. 마이크로소프트 한국 사이트에 결제대행 시스템을 제공하는 회사
는 디지털리버코리아다. 본사는 아일랜드에 있지만 디지털리버코리아는 한국 회사다. 해
외 신용카드만 받는다는 차이가 있지만 해외 신용카드라고 해서 전자금융거래법에 해당
사항이 없다는 건 이해하기 어렵다.
금감원은 이 차이를 제대로 설명하지 못한다. 금감원은 최근 공인인증서 없이 30만원 이상
결제를 할 수 있도록 한 애플코리아에 시정명령을 내린 바 있다. 애플코리아는 한국 기업이
니 한국에서 사업을 하려면 한국 법을 따라야 한다는 논리였다. 이런 논리라면 마이크로소
프트코리아도 한국 법을 따라야 한다. 그러나 금감원 관계자는 “해외 신용카드로 결제하고
달러화로 결제되기 때문에 적용 대상이 아니라고 판단했다”는 애매한 답변을 내놓았다.

공인인증서 싫으면 해외로 가라?
금감원은 이 차이를 제대로 설명하지 못한다. 금감원은 최근 공인인증서 없이 30만원 이상
결제를 할 수 있도록 한 애플코리아에 시정명령을 내린 바 있다. 애플코리아는 한국 기업이
니 한국에서 사업을 하려면 한국 법을 따라야 한다는 논리였다. 이런 논리라면 마이크로소
프트코리아도 한국 법을 따라야 한다. 그러나 금감원 관계자는 “해외 신용카드로 결제하고
달러화로 결제되기 때문에 적용 대상이 아니라고 판단했다”는 애매한 답변을 내놓았다.
금감원의 논리에 따르면 알라딘이나 애플코리아 등도 해외 신용카드만 받고 달러화로 인
출하면 금감원 규제를 우회해 공인인증서 없이 결제하는 게 가능하다는 이야기가 된다. 김
기창 고려대 법학전문대학원 교수는 “이 정도면 규제할 방법이 마땅치 않기 때문에 방치하
고 있다고 보는 게 맞다”고 말했다. 이동산 페이게이트 이사는 “국내에서 사업을 할 수 없게
되면 본사를 해외로 옮기는 방안까지 고민하고 있다”고 말하기도 했다.

공인인증서의 역사.
공인인증서의 역사는 1999년 7월로 거슬러 올라간다. 전자서명법이 발효되고 2003년부터
인터넷 뱅킹과 온라인 증권 거래 등에 공인인증서 도입이 의무화됐다. 금융결제원과 한국
증권전산, 한국정보인증, 한국전자인증, 한국무역정보통신 등이 공인인증 기관으로 등록
돼 있는데 KISA에 따르면 전체 인증 서비스 시장은 지난해 기준으로 520억원 규모, 이 가운
데 공인인증 기관들이 70% 정도를 차지하는 것으로 추산된다.

액티브엑스 떡칠.
신용카드 결제를 기준으로 윈도 환경의 인터넷 익스플로러 이외의 브라우저를 지원하는
사이트는 코레일이 유일했다. 파이어폭스와 크롬에서도 결제가 가능한 사이트들이 있었으
나 (11번가, G마켓, 예스24, 티켓몬스터, 위메이크프라이스, 아시아나) 윈도우 전용의 별도
의 애플리케이션을 필요로 하기 때문에 운영체제가 윈도인 경우로 한정이 되어있거나 제
한적인 카드만을 지원하는 것이 대부분이었다.

미래를 창조하는 분들의 머릿 속은.
오승곤 미래창조과학부 정보보호정책과 과장은 “공인인증서가 가진 기본 요건을 충족하거
나 더 안전하고 편리하고 저렴한 방식이 있다면 얼마든지 이용, 활성화할 수 있다”면서도
“현행 전자서명법 테두리 안에서도 충분히 가능한 일”이라고 지적했다. 전요섭 금융위 전자
금융과 과장은 “대체수단이 없는 상황에서 갑작스럽게 제도가 변화되면 혼란이나 또 다른
충격이 발생할 수 있어 충분한 검토와 논의 과정을 통해 제도 개선이 필요하다”고 지적했다.
안기범 한국정보인증 전략기획팀 팀장은 최근 한 토론회에서 “개정 법률안은 공인인증서
사용에 대한 조항을 모두 삭제해 사실상 공인인증서를 폐지하는 것과 다름없다”면서 “공인
인증서를 폐지할 경우 국민들이 다수의 인증서를 발급받아 사용해야 하는데 사설인증 제
도 아래서는 인증기관별 호환성이 사라져 수십 개의 보안인증서를 보유해야 하는 불편함
이 생길 수 있다”고 설명했다.

일관성도 없다.
마이크로소프트나 어도비는 해외 신용카드로만 결제가 가능하고 달러화로 결제된다. 해외
신용카드에 국내 법을 적용할 법적 근거가 없다는 게 금감원 관계자의 설명이다. 코레일의
모바일 앱 코레일톡도 공인인증서 없이 30만원 이상 결제가 가능하지만 금감원은 명확한
입장을 정하지 못하고 있다. 대한항공과 아시아나항공 등 국내 항공사의 영문 사이트에서
도 공인인증서 없이 30만원 이상 항공권을 구매할 수 있다.

보안 쇼.
강정수 연구원은 “액티브엑스 방식이 보안이 뛰어나다거나 공인인증서가 해킹 위험에서
안전하다거나 하는 근거 없는 믿음이 획일화된 보안 시스템을 강제하고 있다”고 지적했다.
강 연구원은 “이런 인증 절차는 국제 표준이 아닐뿐더러 무분별한 엑티브엑스 설치를 조장
하는 문화를 확산시켜 또 다른 보안 위험을 만들어 낸다”고 강조했다. 액티브엑스 자체가
문제가 아니라 액티브엑스만 강요하는 문화가 문제라는 지적이다.
김 교수는 “미국의 페이팔이나 아마존 같은 사이트들도 액티브엑스 없이 비밀번호만으로
결제를 받고 있다”면서 “보안 책임을 이용자들에게 떠맡기느냐 사이트가 부담하느냐의 문
제”라고 말했다. 페이게이트 이 이사는 “개인정보를 암호화해서 전송하는 것보다 개인정보
전송을 최소화하는 것이 더 안전할 수 있다”면서 “개인정보를 사이트가 보관하면 위험하다
는 발상이 새로운 보안 시스템의 시도 자체를 묵살하고 있다”고 지적했다.

뭐가 더 안전한가.
알라딘의 금액인증 방식 간편결제 서비스는 지난해 9월 금감원 인증방법평가위원회에서
공인인증서와 동등한 안전성을 입증 받았다. 결제단계에서 간편결제를 선택하면 카드사에
등록된 카드 명의자의 휴대폰 번호로 문자 메시지를 보내 본인 확인을 하고, 문자메시지의
인증번호를 입력하도록 한다. 금감원에서 요구하는 본인확인과 결제부인, 두 가지 요건을
갖춰서 금감원 인증을 받았다는 게 알라딘의 주장이다.
만약 알라딘의 간편결제 서비스를 도용하려면 누군가의 신용카드와 휴대전화를 동시에 훔
쳐야 한다. 카드를 잃어버리지 않을 경우에도 알라딘이 카드 정보를 저장하기 때문에 문제
가 될 수 있다는 지적도 있었지만 이 경우 알라딘의 ID와 비밀번호, 그리고 신용카드의 유효
기간을 입력해야 한다. 만약 이 단계에서 뚫릴 경우에도 결제 직후 문자 메시지로 결제 사실
이 전달되기 때문에 신고를 하면 즉시 거래를 취소시키도록 돼 있다.

더 안전한 거 가져와보라고?
금감원은 공인인증서가 아니라도 공인인증서에 준하는 공인인증 기술을 허용한다는 입장
이지만 인증방법평가위원회를 통과한 공인인증 기술은 액티브엑스 기반의 공인인증서가
유일하다. 페이게이트의 금액인증 방식은 30만원 미만에서만 가능하도록 제한을 뒀기 때
문에 공인인증서를 대체할 수는 없다. 애초에 공인인증서 이외의 다른 대안을 열어두지 않
고 있다는 이야기다.

대안이 있나?
김기창 교수나 강정수 연구원 등은 공인인증서가 취약해서라기 보다는 모든 국민들이 하
나의 보안 시스템에 의존하는 것이 문제라고 본다. 특히 마이크로소프트 윈도우즈에서만
구동되는 액티브엑스(ActiveX) 기반의 공인인증서 시스템이 액티브엑스 설치를 남발하게
만들고 컴퓨터의 통제권을 송두리째 넘겨주는 결과를 초래한다는 지적이다. 공인인증서를
빙자한 스파이웨어가 나돌아 다니는 것도 이런 이유에서다.
김 교수는 “설령 공인인증서를 폐기한다고 해도 여전히 기존의 방식을 고집하는 금융기관
들이 있을 수 있다”면서도 “중요한 것은 다양한 기술적 가능성을 열어두는 것”이라고 강조
했다. 김 교수는 “액티브엑스 기반이 아니라 맥이나 리눅스 등 여러 운영체제를 지원하는
보안 시스템이 도입될 수도 있고 그 과정에서 경쟁이 촉진되고 좀 더 혁신적인 기술이 나올
수도 있다, 소비자들에게 선택을 하도록 하면 된다”고 덧붙였다.

공인인증서 카르텔.
강 연구원은 “공인인증서 시스템에서는 금융 사고가 나면 공인인증서를 제대로 관리하지
못한 이용자 책임이라고 떠넘길 수 있기 때문에 공인인증서를 도입하는 것만으로 금융기
관들에게 면책이 된다는 믿음이 확산돼 있다”고 설명했다. 강 연구원은 “공인인증서 시스템
이 완벽하지 않을 수 있다는 사실을 인정해야 하고 금융기관에서도 계좌 이체 상대방의 계
좌에 크레딧 검증을 하는 등 복수의 안전장치를 둘 필요가 있다”고 덧붙였다.
강 연구원은 “공청회를 할 때면 보안 업체 관계자들이 단상을 줄줄이 차지하고 있다”면서
“수백억원의 이해관계가 얽힌 사안이라 로비도 많은 것으로 알고 있다”고 말했다. 강 연구
원은 “단순히 금융 결제 뿐만 아니라 정부에서 운영하는 연말정산 사이트나 공과금 사이트
에 접속해도 온갖 액티브엑스 프로그램을 깔라고 강요하는데 이런 업체들이 거대한 공인
인증서 카르텔을 형성하고 제도 변화를 가로막고 있는 상황”이라고 지적했다.

금융위? 금감원? 금결원?
금융위원회는 국무총리 산하 중앙행정기관이고 금융감독원은 금융위원회 산하 특수법인
이다. 금융결제원은 이름에서 느껴지는 분위기와 달리 그냥 비영리 사단법인이다. 1986년
어음교환관리소와 은행지로관리소가 통합돼 발족됐는데 금융기관들이 사원은행으로 참
여하고 있고 사원은행들로 구성된 총회가 최고 의사결정 기구다. 금융전산망 구축 및 운영,
공인인증과 결제 대행업, 은행 지로 업무 등을 맡고 있다.
망중립성 포럼은 지난 20일 금결원의 비정상적인 영업행위를 묵인해 왔다는 이유로 감사
원에 기획재정부에 대한 공익 감사를 청구했다. 연간 600억원 규모의 순이익을 거두고 있
으면서도 상법상의 주식회사 등이 내고 있는 법인세를 납부하지 않고 있다는 이유에서다.
망중립성 포럼은 특히 “금결원이 국내 공인인증 서비스 시장의 75%를 단독으로 점유하고
있으면서도 비영리 사단법인이라는 이유로 회계감사를 회피하고 있다”고 지적했다.

회전문 현상, 뇌물이 아니라 연봉.
김기창 교수는 “기획재정부 출신 전직 관료들이 번갈아 가며 금결원 감사로 취임해 수억여
원의 연봉을 받고 있는 것으로 나타났다”면서 “감독 당국이나 유관 기관과 유착을 통해 사
실상 영리행위를 유지하며 비정상적으로 법인격을 유지해 온 배경을 철저히 감사해야 한
다”고 비판했다. 재정경제부 출신 소일섭 전 감사와 기획재정부 출신 진석규 전 감사, 금융
위 출신 원중희 감사 등이 있다.
김 교수는 “기획재정부 재직 중에 이런 액수의 돈을 자기 부서의 감독을 받는 사단법인으로
부터 받으면 „뇌물죄‟에 걸리지만, 퇴임 직후에 받으면 뇌물이 아니고 „연봉‟이라고 부른다”
고 지적했다. 김 교수는 “금융위가 공인인증서 사용을 강제하는 규정을 만들고 금감원은 은
행들이 공인인증서를 쓰는지 감시하고 금결원은 인증장사로 돈을 버는데 금융위 부이사관
은 퇴임과 동시에 금결원에 취업하는 믿을 수 없는 유착이 벌어지고 있다”고 지적했다.

국회 논의는 어디까지.
전자서명법 개정안에는 한국인터넷진흥원(KISA) 이외의 최상위 검증기관을 두는 방안이 포
함돼 있다. 지금은 KISA가 공인인증을 검증하는 역할을 맡고 있지만 개정안이 통과되면 베
리사인이나 코모도 같은 해외 사설 인증업체들이 그 역할을 대신하게 될 수도 있다. 정부 기
관을 어떻게 믿느냐는 주장과 그렇다고 어떻게 해외 업체들에게 보안을 맡길 수 있느냐는
주장이 엇갈린다.
전자금융거래법 개정안은 “금융위가 공인인증서의 사용 등 인증방법에 대하여 필요한 기
준을 정할 수 있다”는 내용을 삭제하고 다양한 보안 및 인증기술을 적용할 수 있도록 허용
하는 방안이 포함돼 있다. 개정안이 통과되면 공인인증서를 의무적으로 쓰지 않아도 된다.
공인인증서를 계속 써도 되고 필요하다면 사설인증서를 써도 된다는 이야기다. 이 경우 은
행마다 다른 인증서를 설치해야 하는 불편함이 있을 수 있다.

착각하지 말 것.
“오해하지 마세요. 공인인증서를 무작정 없애라는 게 아닙니다. 공인이라는 말만 떼자는 겁
니다. 정부가 국민들에게 획일적인 보안 시스템을 강요해서는 안 된다는 겁니다.”

이제 무엇을 할 수 있나.
김 교수는 “이제는 국회 차원에서 해법을 기대하기는 어렵게 됐다”면서 “일부 스타트업 벤
처들을 중심으로 공인인증서에 반발하는 움직임이 있는데 만약 금융위 등에서 문제를 삼
으면 행정소송을 내서 사법적 판단을 받을 계획”이라고 밝혔다. 실제로 다국적 서비스를 하
려는 국내 인터넷 기업들이 폐쇄적인 결제 시스템 때문에 해외 이용자들을 확보하지 못하
는 경우가 많다는 지적이다.

우리가 꿈꾸는 인터넷은.

갈라파고스 증후군.
갈라파고스 증후군(Galápagos syndrome) 또는 잘라파고스(Jalápagos = Japan + Galápagos)는
1990년대 이후 일본의 제조업(주로 IT 산업)이 일본 시장에만 주력하기를 고집한 결과 세계
시장으로부터 고립되고 있는 현상을 일컫는 것으로, 마치 남태평양의 갈라파고스 제도가
육지로부터 고립돼 고유한 생태계가 만들어진 것과 같아 붙여진 이름이다. 이러한 용어는
원래는 일본의 상황만을 일컫는 말이었으나 최근에는 대한민국의 인터넷 산업이나 미국의
자동차 산업 등 다른 나라의 비슷한 상황에도 사용되고 있다.
인터넷 실명제는 일일 방문자 10만명 이상의 인터넷 사이트에 글을 쓰려면 실명확인을 하
도록 의무화한 제도다. 악성댓글을 줄이려는 취지에서 2007년 시행됐으나, 지난해 8월 헌
법재판소가 위헌 결정을 내렸다. 게임 셧다운제는 자정부터 오전 6시까지 만 16세 미만 청
소년의 인터넷 게임 접속을 차단하는 제도로 2011년 11월 시행됐다. 인터넷 게임의 경우 가
입시 본인확인을 해야 하기 때문에, 사실상 인터넷 실명제가 이루어지고 있다고 볼 수 있다.

유튜브 코리아의 경우.
인터넷 실명제는 세계적으로도 유례가 없는 부끄러운 제도였다. 하루 방문자 10만명 이상
의 인터넷 사이트에 글을 쓰려면 실명 확인을 하도록 의무화한 이 제도는 세계적으로도 웃
음거리가 됐다. 인터넷 실명제를 적용하는 나라는 세계적으로 우리나라가 유일하고 중국
이 도입을 검토한 적 있는 정도다.2007년 7월 도입된 인터넷 실명제는 당초 하루 방문자 30
만명 이상 사이트를 대상으로 적용됐으나 2009년 4월 하루 방문자 10만명 이상 사이트로
확대됐다.
2009년 4월 구글은 유튜브 사이트에 인터넷실명제를 적용하라는 방송통신위원회에 저항
해 한국 계정의 동영상 업로드와 댓글 기능을 차단해 논란을 촉발시켰다. 인터넷 실명제에
정면으로 대항한 해외 서비스는 유튜브가 처음이었다. 유튜브는 "국적을 미국이나 일본 등
다른 나라로 바꾸면 본인 확인 없이도 모든 기능을 이용할 수 있다"고 버젓이 우회 경로를
공지해 방통위의 심기를 건드렸다.

왜 규제할 수 없는 걸 규제하려 하나.
이후 2009년 12월 애플 아이폰이 출시되면서 본인 확인 없이 동영상을 업로드할 수 있게 돼
유튜브에 인터넷실명제를 적용하는 게 사실상 불가능하게 됐다. 방통위는 결국 유튜브는
인터넷실명제 대상이 아니라는 굴욕적인 결론을 내놓았다. 방통위는 지난해 "국내에서 유
튜브에 접속할 때 주소가 kr.youtube.com이었는데 현재는 www.youtube.com으로 바뀌어서
실명제를 적용할 수 없다"는 군색한 해명을 내놓았다.
인터넷실명제는 소셜 네트워크 서비스가 확산되면서 또 한 차례 위기를 맞았다. 2010년 4
월 블로터닷넷을 시작으로 댓글을 폐쇄하고 트위터나 페이스북 등 이른바 소셜 댓글을 도
입하는 사이트가 늘어나면서 사실상 유명무실하게 됐다는 평가도 나왔다. 트위터에서는
얼마든지 익명으로 계정을 만들 수 있다. 트위터로 로그인하면 익명으로 댓글을 달 수 있는
데 여전히 일반 계정은 실명 인증을 해야 하는 어색하고도 우스꽝스러운 상황이 계속돼 왔
다.

우리가 꿈꾸는 인터넷은.
누구나 동등하게 웹에 접근할 수 있어야 한다.
마이크로소프트를 비롯해 특정 운영체제나 특정 웹 브라우저에 종속된 환경은 문제가 많
다.

웹은 무료다.
국가 주도의 보안은 오히려 또 다른 문제를 만든다.
“흔히 인터넷을 텔레커뮤니케이션의 범주에 놓고 이야기하지만 통신은 인프라가 관련되기
때문에 정부의 관여가 불가피한 측면이 있다. 그러나 인터넷은 그 베이스가 되는 물리적 망
이 어떤 것이든 그게 동축망이든 광 케이블이든 무선이든 유선이든 심지어 망이 없어도 접
속할 수 있기 때문에 굳이 정부가 관여할 이유가 없다.” (전응휘 오픈넷 대표)
공유와 개방이 혁신을 만든다.

공인인증서와 갈라파고스 한국

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (19)

Similaire à 공인인증서와 갈라파고스 한국

Similaire à 공인인증서와 갈라파고스 한국 (20)

Plus de Jeonghwan Lee

Plus de Jeonghwan Lee (8)

공인인증서와 갈라파고스 한국