1999년 전자서명법 발효와 함께 등장해 20년 이상 누려온 공인인증서의 독점적 지위가 폐지된다. 사진 연합뉴스
1999년 전자서명법 발효와 함께 등장해 20년 이상 누려온 공인인증서의 독점적 지위가 폐지된다. 사진 연합뉴스

“공인인증서 재발급받다가 혈압 제대로 올랐네요. USB에 받으면 스마트폰으로 보내는 게 안 되고, 스마트폰에 받으면 컴퓨터로 보내는 게 안 되고.”

“아들 영유아검진 문진표 작성을 위해 ‘건강인(in)’에 접속하는데 너무 짜증 나네요. 분명 공인인증서로 로그인했는데 번번이 (로그인) 실패라고 뜹니다. 저만 이런가요?”

“이거 깔아라 저거 깔아라 공인인증서 하나 때문에 설치해야 하는 게 너무 많네요. 꾹 참고 시키는 대로 다 하면 홈페이지가 반응을 안 해요. 새로고침(F5) 백번 누르다가 결국 PC 재부팅했습니다.”

포털사이트 검색창에 ‘공인인증서’를 입력했을 때 쏟아지는 게시물의 내용은 대개 이런 식이다. 많은 이에게 공인인증서는 답답함, 분노, 낡은 기술의 상징이었다. 공인인증서를 쓰다가 속 뒤집힌 경험이 한 번도 없는 사람이 과연 존재할까. 최근 국회가 공인인증서의 장기 독재 체제를 무너뜨리는 전자서명법 개정안을 통과시키자 환영 여론이 주를 이룬 것만 봐도 그간 분위기를 알 수 있다.

이제 공인인증서는 ‘공인’ 타이틀을 떼고 다른 민간 인증서들과 경쟁해야 하는 처지에 놓였다. 공인인증서를 욕하면서도 그 시스템에 20년 이상 길들여진 우리가 만나게 될 변화는 구체적으로 어떤 모습일까. ‘이코노미조선’은 많은 독자가 궁금해하는 내용을 중심으로 ‘공인인증서 이후 시대’를 정리했다.


1│국회를 통과한 전자서명법 개정안은 어떤 내용?

공인인증서의 ‘독점적 지위’ 폐지가 핵심이다. 공인인증서 제도 자체를 없애는 건 아니라는 의미다. 5개 기관(금융결제원·코스콤·한국무역정보통신·한국전자인증·한국정보인증)이 발급하는 기존 인증서는 앞으로도 유효하다. 여야는 다양한 형태의 민간 전자서명 수단이 기존 공인인증서와 경쟁할 수 있는 환경을 열어주는 데 초점을 맞췄다. ‘모든 전자서명에 동등한 효력을 부여하고 다양한 전자서명 수단을 활성화하는 데 정부가 노력한다’는 문구가 개정 의도를 잘 보여준다. ‘공인전자서명’이라는 표현은 ‘전자서명’으로 변경된다.


2│공인인증서는 왜 외면받게 됐을까?

공인인증서는 21년 전인 1999년 전자서명법 발효와 함께 등장했다. 당시 전자상거래 시장이 빠르게 성장했는데, 비대면 거래자의 신원을 확인하는 수단으로 공인인증서가 활용됐다. ‘온라인판 인감증명’인 셈이다. 금융 거래, 세금, 민원서류 발급 등 다양한 업무에 공인인증서가 쓰였다. 전자서명법이 공인인증서에 독점적인 지위를 부여한 까닭에 대부분 공공기관이 사설 인증서는 인정하지 않았다.

그러나 공인인증서는 보안 프로그램 추가 설치, 인증서 보관·갱신의 귀찮음 등 숱한 문제를 일으키며 점점 천덕꾸러기로 전락했다. 공인인증서를 설치할 때 꼭 필요한 ‘액티브X’는 마이크로소프트(MS)가 개발했는데, 윈도나 인터넷 익스플로러(IE)가 아닌 다른 환경과는 호환되지 않아 많은 이용자가 불편함을 호소했다.


3│개정안이 효력을 발휘할 수 있을까?

사실 공인인증서 의무 사용 규정은 2015년 3월 폐지됐다. 이번 전자서명법 개정을 환영하면서도 효과에 대해서는 반신반의하는 이가 많은 이유다. 금융 당국이 5년 전 ‘꼭 공인인증서일 필요는 없다’며 제재를 풀어줬지만, 상당수 은행과 온라인 쇼핑몰은 전자서명 수단으로 여전히 공인인증서를 쓴다. 다른 전자서명 시스템 도입에 드는 비용 부담 때문이다.

그래도 점진적으로는 법 개정 효과가 나타날 것으로 예상된다. 당장 금융결제원이 전자서명법 개정안의 국회 본회의 통과 다음 날 공인인증서 개선 방안을 들고나왔다. 민간 인증서들과 경쟁해야 하는 처지에 놓이자 부랴부랴 사용자 이탈 방지책을 마련한 셈이다. 독점적 지위가 유지됐다면 나오지 않았을 조치다.


4│금융결제원의 공인인증서 개선안 내용은?

공인인증서 이용자들이 그간 제기해온 불만 해소에 초점을 맞췄다. 우선 금융결제원은 은행별로 제각각일 뿐 아니라 복잡한 인증서 발급 절차를 간소화·단일화하겠다고 밝혔다. 일부 은행의 경우 인증서를 발급받으려면 무려 열 단계를 거쳐야 하는데, 은행들과 협의해 이런 불편함을 없애겠다는 것이다. 고작 1년에 불과한 인증서 유효 기간도 3년으로 늘리고 번거로운 이용자 직접 갱신도 자동 갱신으로 개선할 방침이다.

문자·숫자·특수문자를 섞어 열 자리 이상으로 만들어야 하는 인증서 비밀번호도 단순화한다. 결제원은 지문·안면·홍채 인식 방식, 여섯 자리 숫자로 구성된 핀(PIN) 방식, 스마트폰 잠금 해제에 쓰이는 패턴 방식 등 다양한 인증 방식을 도입한다는 계획이다. 또 하드디스크나 이동식 디스크에 담아야 하는 인증서 보관 방식도 결제원 클라우드 기반으로 바꿀 예정이다.


5│무엇이 기존 공인인증서의 대항마가 될 수 있을까?

눈에 띄는 대항마로는 이동통신 3사(SK텔레콤·KT·LG유플러스)와 핀테크 기업 아톤이 의기투합해 만든 본인인증 서비스 ‘패스(PASS)’가 있다. 패스는 6자리 핀 번호나 생체 인증으로 간단하게 전자서명할 수 있다는 점을 강점으로 내세운다. 유효 기간도 공인인증서의 세 배인 3년이다. 패스는 통신 3사의 막강한 시장 경쟁력을 바탕으로 가입자 수를 빠르게 늘리고 있다. 6월 중 3000만 명을 넘어설 것으로 보인다. 연초 1000만 건을 기록한 패스인증서 발급 건수도 올해 말이면 2000만 건 가까이 증가할 것으로 예상된다.

카카오의 ‘카카오페이 인증’도 강력한 경쟁자로 거론된다. 별도의 프로그램을 설치할 필요 없이 ‘국민 메신저’ 카카오톡으로 인증할 수 있다는 점이 이 서비스의 최고 무기다. 카카오페이 인증 이용자 수는 최근 1000만 명을 넘어섰다. 도입 기관 수는 100곳을 돌파했다. 공인인증서와 같은 공개키 기반구조(PKI)의 전자서명 기술에 위·변조가 불가능한 블록체인 기술을 추가해 보안성을 강화했다는 점도 카카오페이 인증이 주목받는 이유 중 하나다.

이 밖에 은행연합회와 16개 은행이 함께 도입한 ‘뱅크사인’ 서비스는 한 번 발급하면 여러 은행에서 쓸 수 있다는 점이 특징이다. 정보기술(IT) 업계에 따르면 네이버도 사설 인증서 시장 진출을 준비 중인 것으로 전해진다. ‘네이버 아이디로 로그인’에 인증 서비스를 적용해 보안성과 편의성을 동시에 추구할 계획인 것으로 알려졌다.


6│인증서 무한 경쟁에 따른 부작용은 없을까?

전자서명 수단이 늘어나면 경쟁에서 살아남기 위한 기술 개발과 투자가 뒤따를 것이다. 더 나은 서비스를 누리고 싶은 사용자로선 분명 좋은 일이다. 그러나 너무 많은 인증서의 출연이 이용자를 되레 위험에 노출시킬 수 있다는 지적도 나온다. 인증서를 여러 곳에 만들어두면 언제든 편리하게 전자서명 서비스를 이용할 수 있지만, 각종 사이버 공격의 표적이 되기도 쉽다.