1. 공인인증서 폐지, 전자서명법 개정안 통과

1999년 우리나라 전자문서의 안전성과 신뢰성 확보를 목적으로 제정된 전자서명법에 공인인증제도를 도입하면서 공인인증서가 시작되었다. 이러한 국가적 규모의 공인인증체계는 전자상거래 및 인터넷 뱅킹, 행정 대민서비스의 신원확인 및 사용자 인증영역의 공통 사용, 부인방지(Non-Repudiation)의 역할을 수행함으로써 국가정보화 발전에 긍정적인 효과를 기여해왔다. 

2002년 ‘공인인증서 활성화 TF’의 일환으로 공인인증서 확대에 따른 문제점 및 대응방안을 검토하여 부처간 협의 후 금융분야 사용 확대 방안이 발표됨에 따라 ‘인터넷 뱅킹과 증권거래 시에 공인인증서 사용 의무화’ 및 ‘전자상거래 30만원 이상 결제 시 공인인증서 사용 의무화 등 전자상거래 및 인터넷뱅킹 환경에 공인인증서 사용의 의무화’가 본격적으로 진행되면서 공인인증서 시대의 전성기를 맞이하게 되었다.

2008년 한국정보화진흥원(NIA)의 정보화정책 연구보고서에 개제된 ‘공인인증서 이용의 경제적 효과에 관한 연구’에 따르면 공인인증서 적용은 전자거래 행위의 안전성 도모 및 신뢰환경 기반조성, 편의성 향상, 전자정부 효율성과 신뢰성 향상, 사이버 범죄예방 필수요소로 인식되고 있으며, 궁극적으로 공인인증서를 통한 안전성 보장이 가능하다면 이용자의 편익 가치가 높다는 연구결과를 발표한바 있다.

[그림 1] 공인인증서 도입부터 폐기까지의 연혁

하지만 공인인증서의 긍정적인 측면에도 불구하고 4차 산업혁명과 ICT기술의 발전으로 전자서명법의 법적 우월적 지위를 이용한 전자인증서 시장의 독점은 시장활성화의 저해요인으로 지목되어 왔다. 특히 공인인증서 사용이 보편화된 금융분야는 시대적변화에 따른 변화의 움직임이 활발하게 일어나고 있다.

금융보안원에서 발표한 ‘2020년 디지털금융 이슈 전망’에서도 알 수 있듯이 신기술을 활용한 핀테크(Fintech, 금융서비스와 IT정보기술이 융합을 통한 금융서비스 및 산업의 변화를 통칭) 및 빅테크(Bigtech, 인터넷 플랫폼 기반의 거대 IT정보기술)기업의 금융시장 진입은 본격화 되고 있다. 

이러한 변화에 흐름에 맞춰 금융위원회에서도 △ 신규 서비스의 현실화를 위해 한시적으로 규제를 개방하여 산업활성화의 물꼬를 터주는 역할을 수행하는 ‘금융규제 샌드박스’, △ 핀테크 기업과 기존 은행과의 무한경쟁 체제의 장을 유도하는 ‘오픈뱅킹’ 등은 금융시장의 ‘투자-회수-재투자’의 선순환 생태계 조성을 위한 금융환경 체질개선을 도모하고 있으며 공인인증체계 역시 비표준화 기술 및 사용자 편의성 저하 등의 문제로 인해 변화를 요구받고 있다.

공인인증서의 부정적 견해는 △ 전자금융감독규정 시행세칙(`14.5.20,  신용·직불카드 등 카드로 30만원 이상 전자상거래 시 공인인증서 의무 사용 폐지), 전자금융거래법(`15.4.16 시행,  전자상거래 카드결제 시 공인인증서 사용의무 폐지)등 제도 수정 및 공인인증서 폐지 공론화의 도화선이 되었다. 마침내 지난 2020년 5월 20일 국회 본회의에서 공인인증기관, 공인인증서 및 공인전자서명 제도의 폐지를 골자로 하는 전자서명 전부개정법률안이 통과하면서 지금까지 과학기술정보통신부가 지정한 공인인증서에 대한 법적 우월적 지위가 21년만에 역사의 뒤안길로 사라지게 되었다. 

이에 따라 이번 호에서는 전자서명법 개정안의 주요 골자인 공인인증서의 구조와 현행 전자서명제도의 문제점에 대해서 분석해보고 공인인증서의 법적 지위 폐지로 인해 산업 및 비즈니스에 미치는 영향에 따른 향후 대응방안에 대해서 알아보고자 한다.

[그림 2] 2020년 디지털금융 이슈 전망 (출처 : 금융보안원)

2. 전자서명법 개정안의 주요 핵심 Keyword, 공인인증서의 개요

전자서명법 개정안의 주요 핵심인 공인인증서는 전자서명의 보안성 향상을 위해 암호화 내용을 아무나 열어 볼 수 없도록 공개키와 개인키로 분리하여 해독하는 암∙복호화 알고리즘인 PKI(Public Key Certificate)기술에 소유자 정보를 추가하여 만들어 전자인감증명이라고도 한다. 전자서명 기능을 플러그인(Active-X)으로 구현하여 특정 웹 브라우저에서 동작하기 때문에 호환성 없는 비표준 기술로 구현되어 키보드보안, 방화벽, 백신의 보안 3종 Active-X를 추가설치하는 방식으로 보안문제를 대응해 왔다.

공인인증서는 법적으로 자필서명과 동일한 기능을 수행하는 전자적 수단인 전자서명과 온라인 서비스의 거래 당사자의 명의와 실제 사용자가 일치하는지 확인하는 기능인 본인확인 기능으로 구성되게 된다. 한국정보인증(KICA), 코스콤(KOSCOM), 금융결제원(KFTC), 한국전자인증(KECA), 한국무역정보통신(KTNET) 등의 5개의 인증기관에서 인증서를 발급하며 인증기관이 인정한 은행, 증권회사등의 등록대행기관에서 인증서를 발행하여 사용하게 된다. 본인확인은 아이핀, 휴대전화, 신용카드 등을 통해서 발급하여 사용할 수 있게 된다.

[표 1] 인증 기능별 담당 기관 (출처 : 소프트웨어정책연구소, 공인인증과 전자서명의 미래)

신뢰된 제 3자의 인증기관을 통해 전자서명을 생성하고 개인키와 공개키를 안전하게 분배하는 역할을 수행하며, 사용자에게 분배한 개인키를통해  사용자 신원확인 및 부인방지를 수행할 수 있게 된다. 생성된 공인인증서에는  전자서명법에 기반하여 △ 가입자 이름(법인의 경우 명칭), △ 전자서명 검증정보, △ 가입자와 공인인증기관이 이용하는 전자서명 방식, △ 공인인증서 일련번호, △ 공인인증서 유효기간, △ 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보, △ 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항, △  공인인증서임을 나타내는 표시, △ 가입자가 제 3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격 등의 표시를 요청한 경우 이에 관한 사항 등의 정보를 포함되게 된다.

공인인증서를 사용하기 위한 구성요소로는 사용자, 등록기관(RA, Registration Authority), 인증기관(CA, Certificate Authority), 검증기관(VA, Validation Authority)이 필요하다.  먼저 공인인증서를 발급하기 위해서는 등록기관(RA)를 통해 대면으로 본인확인을 진행한 후 인증기관(CA)과 공인인증서 관리 프로토콜인 CMP(Certificate Management Protocol)를 이용하여  인증서를 발행하게 된다. 전자서명의 공개키와 개인키를 이용하여 신원확인, 정보의 무결성과 기밀성, 거래에 대한 부인방지 기능을 제공할 수 있게 된다.

[그림 3] 공인인증서 발급 및 거래 절차

[표 2] 공인인증서 발급 및 승인절차

국내에서 사용되는 인증서는 공개키 기반의 구조를 사용하고 있는 것은 동일하나 발급대상 및 용도, 법적근거에 따라서 전자서명법을 기반으로 과학기술정보통신부에서 주관하는 국가용 공인인증서(NPKI, Natural Public Key Infrastructure)와 전자정부법을 기반으로 행정안전부에서 주관하는 행정용 공인인증서(GPKI, Government Public Key Infrastructure)로 분류된다. 

[표 3] 국내 인증기반 비교 (NPKI, GPKI)

3. 사용자 편의성의 부재, 현행 공인인증서 문제점

전자서명법 개정안의 주요항목인 공인인증서의 우월적 법적 지위 폐지는 PKI기반의 보안안전성에도 불구하고 인증서 유출문제, ActiveX로 인한 편의성 저하, 보안 취약점으로 인한 위험 등의 문제들이 복합적으로 맞물리면서 공인인증서 폐지를 촉발시켰다. 공인인증서 의무사용으로 인해 발생하는 문제점을 기술적, 제도적, 사회적, 사용자 측면으로 분류하여 살펴보면 다음과 같이 정리할 수 있다.

[그림 4] 현행 전자서명제도의 문제점 (출처 : 과학기술정보통신부)

기술적 측면에서는 △ ActiveX기반의 취약점으로 NPKI폴더 내에 저장되어 있는 개인키를 탈취하는 공격, △ 기술 비표준화 및 브라우저 종속성, 다중 플랫폼 지원 한계로 인한 기술 폐쇄성, △ 공인인증서의 저장방식과 배포방식에서 발생되는 보안상의 문제점, △ 유효기간 기간 및 개별적인 타행등록 문제가 발생되어 왔다. 

제도적 측면에서는 △ 개인의 신체적 특징(지문, 얼굴, 홍채, 정맥 인식 등), 행동적 특징(음성, 걸음걸이, 서명)등을 활용한 바이오 인증 기술과 같이 신기술을 기반의 핀테크 및 빅테크기업의 시장 진입 저해로 인한 IT갈라파고스 문제, △ 인증수단의 사용자 선택권을 제한하는 관치보안 이슈로 전자서명 간의 불평등한 경쟁과 이용자 불편을 초래해 왔다.

기술적 측면과 제도적 측면의 한계는 사용자 측면의 편의성 저하로 이어지면서 사회적, 기업적 측면에서도 기존 산업과 ICT기술이 연계된 인슈어테크, 레그테크, 로도어드바이저 등과 같이 새로운 서비스의 시장진입을 저해하면서 글로벌 시장경쟁력의 약화로 이어지게 되었다.

본인인증을 위해서 △ ID나 PASSWORD방식을 이용한 지식기반 인증방식, △ OTP, 공인인증서를 이용한 소유기반의 인증방식을 넘어 지문, 홍채, 정책, 얼굴인식 등 사용자의 신체 구조 또는 행동결과 기반으로 사용자를 인증하는 생체기반 인증방식으로 사용자 편의성을 고려한 인증 패러다임으로 변화됨에 따라 공인인증서의 몰락은 예견된 현상이라고 볼 수 있다.

[표 4] 공인인증서로 인한 관점별 문제점 분석

4. 전자서명법 개정안 주요내용

전자서명법 개정은 ‘전자서명법 전부개정법률(안) 인법예고’에서 밝힌바와 같이 공인인증서의 시장독점과 전자서명 기술발전에 따른 서비스 혁신 저해로 인핸 국민의 선택권 제한의 문제 등의 이유로 국제적 기준을 고려하여 공인인증서 제도를 폐지함으로써 국가 위주에서 민간 위주로 개편하여 관련 산업의 경쟁력 제고와 국민의 선택권 확대를 추구하고자 개정의 이유를 설명하고 있다. 

전자서명법 개정안의 주요 내용으로는 △ 공인인증기관, 공인인증서 및 공인전자서명 제도의 폐지(안 제2조), △ 전자서명의 효력 부여(안 제3조), △ 다양한 전자서명수단의 이용 활성화 노력(안 제6조), △ 전자서명인증업무 운영기준 준수사실 인정제도의 도입(안 제7조부터 제13조까지), △ 전자서명인증업무준칙의 작성, 게시 및 준수(안 제15조제1항), △ 전자서명 관련 분쟁의 조정 신청(안 제22조)등으로 정리할 수 있다.

[표 5] 전자서명법 개정안 주요 개정내역(1/2)

[표 6] 전자서명법 개정안 주요 개정내역(2/2)

공인인증서제도 폐지에 따라 ‘공인전자서명‘, ‘공인인증기관’ 정의 규정 삭제를 통해 전자서명의 다양성과 이용활성화를 위한 제도적 정비와 기술개발 및 표준화, 인력양성에 관련된 사항들을 명시하고 있다. 특히 공인인증서제도 폐지로 인해 안전성과 신뢰성이 확보된 전자서명 대책이 필요함에 따라 국제기준을 고려한 전자서명인증업무 운영기준을 마련하고 민간 전문기관을 통해 전자서명의 운영기준 준수여부를 평가하는 전자서명인증업무 평가제를 마련함으로써 품질과 신뢰성 제고를 가능하도록 조치하고 있다.

5. 포스트 공인인증서 시대, 시장의 영향도와 발전방향

그렇다면, 공인인증서의 법적지위 상실이 시장에 미치는 영향도에 대해서 고민이 필요하다. 공인인증서가 폐지되었다고 해서 당장 기존의 공인인증서를 사용하지 못하는 것이 아니다. 공인인증서 발급시 명시된  유효기간까지는 그대로 사용이 가능하며 개정법 시행 이후에도 이용기관과 이용자 선택에 따라 사용여부가 결정되게 된다. 공인인증서는 국가 지정 기관에서 발급한 인증서의 ‘공인’의 지위만 사라지는 것이지 신원확인, 무결성, 부인방지등의 전자서명 기능이 필요한 분야에서는 다양한 기관 및 기업에서 발급하는 인증서를 선택해서 사용할 수 있게 된다.

보안프로그램 문제도 마찬가지다. 공인인증서가 폐지되었다고 해서 Active-X를 사용하는 보안 3종 프로그램인  키보드 보안, 방화벽, 백신의 사용이 당장 중단되는 것은 아니다. 인증서 발급 및 이용기관에 따라서 필요시 설치여부가 결정되기 때문에 공인인증서가 폐지된다고 해서 보안프로그램이 사라지지 않으나, 사용자 편의성의 저해요인으로 지목되어 왔기 때문에 자연스럽게 시장의 변화에 따라 다른 인증서로 대체될 가능성이 높아지게 되었다.

2019년 과학기술정보통신부에서 개최한 ‘신기술 전자서명 우수사례 설명회’에서는 공인인증서를 대체할 생체인증, 블록체인, 클라우드 등 신기술을 이용한 전자서명서비스를 통해 전자서명 기술 및 서비스 관련 산업의 활성화를 위해 노력화 왔다. 금융결제원의 브라우저 및 클라우드 인증 서비스뿐만 아니라 카카오의 카카오페이 인증, SK, KT, LG유플러스 통신3사가 발표한모바일 본인인증(전자서명) PASS, 전국은행연합회에서 만든 블록체인 기술을 기반으로 하는 통한 인증 서비스인 뱅크사인(Bank Sign)등은 전자서명 기술 및 서비스 관련 산업은 사설 인증서의 춘추전국시대를 맞이하게 되었다.

[표 7] 공인인증서를 대체할 사설인증서 목록

물론 공인인증서 폐지로 인해 긍정적인 미래만 볼 수 있는 것은 아니다. 2015년 폐지된 전자금융거래시 공인인증서 의무사용 규정이후에도 여전히 전자금융거래시에 공인인증서 사용이 보편화되어 국민 대부분이 이용하고 있을 뿐만 아니라 사설인증서의 사업종료 및 보안위협요인에 대한 서비스 안전성에 대한 불안감이 해소되지 않는다면 공인인증서의 독보적인 지위를 위협하기 위해서는 차별화된 전략이 필요하다. 

특히 금융분야의 차별화는 그 어느 때보다 중요한 기로에 서있다. 오픈뱅킹, 마이데이터 산업 도입으로 데이터경제(Data Economy)를 위한 데이터와 플랫폼이 조성되면서 데이터거래소를 통한 고객데이터 접근권이 강화되고 서비스 영역확장의 시도가 활발해 질 것으로 전망됨에 따라 ‘공인’의 완장을 떼고 사설인증서와 경합의 시점에서 사용자의 요구사항을 면민히 분석하고 시장의 변화에 기민한 대응을 위한 비즈니스 재편이 필요한 시점이다.

[표 8] 포스트 공인인증서 시대로 인한  비즈니스 영향도 분석

6. 마무리

지금까지 전자서명법 개정안의 주요 핵심인 공인인증서 폐지의 의미와 비즈니스 영향도에 대해서 살펴보았다. 국내 국가정보화 발전에 초석이 되었던 공인인증서는 ICT기술발전에 따른 사용자 니즈(Needs)에 따라 새로운 변환점을 맞이하게 되었다. 사용자 편의성을 강조하는 최근의 트랜드에 맞춰 현재의 금융환경에서도 일상적인 업무에서 공인인증서 사용이 점차 감소하고 있으며 공인인증서가 필요했던 분야들은 다른 전자서명 서비스로 대체되고 있다.

공인인증서의 폐지는 활용범위가 높았던 금융분야에 많은 영향을 미칠 것으로 판단되며 기존 금융회사와 핀테크 기업간의 경쟁체계로 돌입하면서 규모의 경제효과가 높은 결제, 대출, 보험분야의 시장지배력을 강화하기 위한 기술 및 서비스의 변화가 심화될 것이다.

올해 2월 금융위원회가 발표한 ‘2020년 업무계획 중 핀테크∙디지털금융 혁신과제’의 추진방안을 살펴보면 전자서명법개정의 의미와 영향도를 좀 더 명확하게 인지할 수 있다. △ 디지털금융 고도화, △  데이터 경제 활성화, △ 핀테크 신산업∙신서비스 육성, △ 핀테크∙디지털 규제개혁, △ 핀테크∙디지털금융 혁신기반 강화를 골조로 디지털금융 전반의 혁신을 통해 지속가능한 금융 혁신 및 안전을 도모함으로써 사용자 편익 증대여부를 고려했다는 점에서 공인인증서 폐지의 의미를 알수 있게 된다.

전자서명법개정으로 인한 공인인증서 폐지는 본인인증확인 수단의 변화를 시작으로 말미암아 사용자 편의성 증대를 통한 시장 활성화를 목적이라고 할 수 있다. 이제 시장의 트랜드를 살펴보고 비즈니스 영향도를 고려하여 기회와 위험요인을 식별하고 새로운 시장지배력 강화를 위한 비즈니스 전략이 필요하다.

7. 참고자료

[1] 국가법령정보센터, 전자서명법(시행 2019. 12. 10)

http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%84%EC%9E%90%EC%84%9C%EB%AA%85%EB%B2%95

[2] 대한민국 정책브리핑, 최신 전자서명 기술·서비스 선보인다

http://www.korea.kr/news/pressReleaseView.do?newsId=156347132

[3] 소프트웨어정책연구소, 공인인증과 전자서명의 미래

https://spri.kr/posts/view/21921?code=insight

[4] 금융위원회, 금융위원회 2020년 업무계획 중 핀테크ㆍ디지털금융 혁신과제

http://www.fsc.go.kr/info/ntc_news_view.jsp?menu=7210100&bbsid=BBS0030&no=33693