▲ 사진 | 전소강 기자 sostrong@

  문재인 대통령은 후보 시절 정보통신기술 분야 정책으로 ‘액티브 엑스(active X) 퇴출’을 공약으로 내세웠다. 문재인 캠프에서 공약을 만드는 과정에 참여했던 김기창(본교 법학전문대학원) 교수를 만나 액티브 엑스와 공인인증서는 어쩌다 청산해야 될 ‘적폐’가 됐는지 들어봤다.

- 공인인증서와 액티브 엑스는 무엇인가
  “공인인증서는 전자상거래 시 신원확인을 위한 장치로 공인인증기관으로부터 허가받은 업체만 공인인증서로 영업할 수 있다. 정부가 ‘공인’한 공인인증서가 실행되려면 액티브 엑스(active X) 플러그인 프로그램이 필요하다. 액티브 엑스란 동영상이나 문서 등의 여러 응용프로그램을 웹브라우저와 연동시켜 즉각 사용하는 마이크로소프트사의 플러그인 프로그램이다. 서비스의 성격에 따라 서비스 제공자가 사용자 컴퓨터에 파일을 생성하거나 삭제하는 등의 기능을 활용해야 하는데, 웹브라우저 환경 자체만으로는 실현할 수 없다. 웹브라우저 이외의 프로그램인 액티브 엑스를 통해 실현해야 하는 것이다.

  ‘공인’받은 인증서는 서명으로서 법적 효과가 있고 문서의 진정성을 인정받는 등의 법적·제도적 혜택을 받는다. 1990년대 후반 정부에서 인증서 기술에 애착을 가지고 지원을 위해 제도를 왜곡되게 운영해 한국의 IT를 골병 들인 것이다.”

- 액티브 엑스와 공인인증서가 문제가 되는 이유는
  “보안과 안전을 요구하는 컴퓨터 보안 관련 기술일수록 정부가 관여하면 안전성이 떨어진다. 그런데 정부는 이 기술들을 국민들이 반드시 사용하도록 강제하는 행위를 10년 넘게 해왔다. 지금은 공인인증서 사용 의무화를 해제했지만, 지난 10년 간의 강제 행위 덕분에 한국의 인증서 기술, 컴퓨터 보안 기술은 발전할 수 없었다. 기술은 활발한 경쟁을 통해서 발전하는데 정부가 공인제도를 고집해서 시장경쟁을 해친 것이다.

  그래놓고서 정부는 공인인증서의 취약한 보안을 보완하기 위해서 키보드 보안, 방화벽 설치, 메모리 스캔 등 추가프로그램을 설치하게 유도한다. 화면에 추가프로그램을 설치하겠냐는 경고창이 뜨는데 한국인들은 습관적으로 ‘OK’를 눌러 경고창을 없애고 다음으로 진행한다. 이러한 이용습관을 들이는 것은 악성코드 전파가 더 쉽게 만드는 지름길이다.”

- 전자금융거래법이 개정돼야 한다고 주장하는데
  “전자금융거래법은 금융회사의 배상책임을 규정하는 중요한 법이다. 지금까지 이 법에 근거해 피해자가 제대로 배상받은 적이 한 번도 없다. 해킹 등의 외부 공격도 피해자의 중대한 과실로 인정해서, 피해자가 공인인증서를 이용했다면 금융회사는 면책된다는 단서규정 때문이다. 피해자의 입증 책임이 막대한 것도 이유 중 하나다. 이는 노골적으로 금융회사에 유리한 법 규정이다. 보이스피싱과 같은 악의적인 공격자가 선량한 피해자를 속여 재산상 손해를 입혔을 때, 법원은 속은 피해자에게 중대한 과실이 있다고 판결한다.

  이 규정 때문에 금융기관은 사고 예방노력보다는 중대과실이냐 아니냐를 가리기 위해 많은 재원을 투입한다. 미국의 경우 피해자의 중과실을 따지지 않고 금융기관이 배상하게 한다.사고가 나면 해결책을 찾고 거래기술 자체를 업그레이드하는데 재원을 쓰게 하는 것이다. 따라서 한국 전자금융거래법의 단서규정에 있는 중대한 과실이라는 면책요건은 삭제하는 것이 맞다.”

- 액티브 엑스와 공인인증서 폐지를 위해서 어떤 과정을 거쳐야 하나
  “정부기관 차원에서 먼저 액티브 엑스와 같은 플러그인 프로그램을 쓰지 않으면 된다. 즉, ‘공인’된 인증서를 없애면 된다. 인증서 기술에 정부가 더 개입하면 안 된다. ‘공인’을 때버리고 여러 인증서 기술들이 자연스럽게 경쟁하게 하면 된다. 전자서명법을 개정해 공인인증기관이라는 제도 자체를 폐지하고, 서명 또는 날인을 전자적으로도 할 수 있다는 규정을 두면 전자서명기술 시장이 활발하게 경쟁할 수 있을 것이다.”

- 액티브 엑스와 공인인증서 폐지가 실현되기까지 필요한 것은
  “전자금융거래법을 개정하면 금융기관의 반대가 클 것이다. 그래서 이 사안을 국민들에 제대로 알리는 것이 중요하다. 기술적으로 복잡해서 국회의원과 정부 관료도 이해하기 어려워 입법과정에서 좌절될 가능성도 있다. 그러므로 정부가 이 사안을 제대로 이해하고 올바른 정책적 선택을 위한 확고한 입지가 필요하다. 다양한 보안 기술이 시장에서 경쟁하고 사고가 나면 철저히 배상하도록 법적 제도적 장치가 마련되면 액티브 엑스와 공인인증서는 자연스럽게 사라질 것이다.”

저작권자 © 고대신문 무단전재 및 재배포 금지