[기고] 공인인증서와 스마트폰 ‘보안’ / 김기창

김기창 고려대 법학전문대학원 교수

최근 보도를 보면 일부 공인인증기관들은 스마트폰에서 공인인증서를 발급할 계획으로 한국인터넷진흥원에 규격 승인을 신청해 두었다고 한다. 피시에서 지난 10년간 벌어진 정책 오류가 스마트폰에서까지 재현될까 우려된다. 2000년에 도입된 공인인증제도는 전자거래의 안전을 보장해왔다는 평가도 있지만, 한국 인터넷 환경을 왜곡하고, 국내의 인터넷 거래 및 보안 기술을 고립과 정체 상태로 몰아넣은 숨은 원인이라는 견해도 있다. 문제의 발단은 ‘독특한’ 위치에 공인인증서를 저장하도록 해둔 기술 규격에 있다.

지금처럼 공인인증서를 저장할 경우 어떤 웹브라우저도 그것을 인식할 수 없으므로 공인인증서를 이용하려면 별도의 부가 프로그램을 컴퓨터에 설치해야 한다. 국내에서 끊임없이 제기되어 왔던 액티브엑스(부가 프로그램) 관련 논란은 공인인증서를 웹브라우저가 인식할 수 없는 괴상한 위치에 저장하도록 하는 순간 피할 수 없었던 것이다. 부가 프로그램을 사용해야만 하도록 기술 규격을 정해 두면, 보안업체들은 부가 프로그램을 판매하고 그것과 맞물려 돌아가는 서버 쪽 솔루션 영업을 손쉽게 할 수 있겠지만 은행·카드사·쇼핑몰 등은 부가 프로그램을 소비자에게 일일이 배포하고 유지·관리해야 하는 엄청난 비용과 부담을 떠안게 되고, 온 국민은 보안경고창이 나타나면 무조건 “예”를 누르면서 영문도 모르는 프로그램을 자기 컴퓨터에 지겹도록 설치해야 하는 사태가 발생한다.

그뿐 아니다. 지금처럼 공인인증서를 저장할 경우, 공인인증서의 무단복제를 막을 방법도 없다. 기술을 모르는 이용자들이 자신의 인증서를 복사하려면 인증서 암호를 입력하라고 요구하지만, 이것은 자기 컴퓨터의 폴더를 어떻게 찾아가는지도 모르는 이용자들을 상대로 벌이는 기만적 시늉에 불과하다. 인증서가 저장된 폴더를 그냥 “복사+붙여넣기”만 하면 공인인증서가 당장 복사된다는 사실을 모르는 컴맹 이용자는 많겠지만, 컴맹 수준의 공격자는 없다.

그동안 강행한 ‘독특한’ 공인인증서 저장 규격은 국내 보안업체들에 부가 프로그램 판매 시장을 확보해 주고, 범용적 솔루션을 구사하는 외국 경쟁 업체가 국내에 진입하는 것을 막아왔다. 이런 식으로 손쉽게 장사할 수 있는 인위적 환경을 만들어 놓고 국내 업체들끼리 적당히 나눠먹는 구도를 보장해 준다고 해서 한국의 정보통신(IT) 산업이 성장할 수 있는 것은 아니다. 고립과 퇴행이 보장될 뿐이다.

스마트폰에 관해서도 국내 보안업계에서는 가입자 식별(USIM)칩에 공인인증서를 심어야 한다는 등 ‘독특한’ 제안이 이미 난무하고 있다. 외국의 전문가들이 무지해서 그런 시도를 안 하는 것이라고 섣불리 단정짓기 전에, 그런 시도가 초래할 엄청난 비용과 보안 위험을 생각해 보아야 한다. 그런 해법을 구사하려면 결국 별도의 프로그램을 온 국민의 스마트폰에 설치해야 한다. 별도 프로그램을 이용자에게 배포하고 설치하도록 하는 일이 우선은 손쉽게 보일지 모르지만, 끝없는 골칫거리를 야기하는 헤어날 수 없는 “늪”으로 될 것이다. 피시에서 이미 경험한 일이다.

부가 프로그램을 필요로 하는 보안 해법은 그것으로 사업을 펼칠 기회만을 노리는 업체의 이해관계와 맞물려 있다. 그 업체에 중요한 것은 돈을 버는 것이지, 국민의 피시/스마트폰이 안전하게 유지되는 것이 아니다. 아이폰, 윈도모바일, 안드로이드 계열의 스마트폰은 별도 프로그램 없이도 개인 인증서를 단말기에 안전하게 저장하는 기능을 이미 제공하고 있다. 이런 사실을 덮어둔 채 국내의 보안업계는 어째서 ‘독특한’ 해법만을 집요하게 내세우는지 알다가도 모를 일이다.

김기창 고려대 법학전문대학원 교수