이통3사·카카오·네이버·토스부터 중소까지 인증서 '춘추전국시대'
보안 업계 "편의성 향상됐지만, 소비자 보호 대책 마련 시급"
[서울=뉴스핌] 정윤영 기자 = 21년만에 공인인증서 의무화 제도가 폐지되면서 민간 전자서명 서비스 시대가 열렸다. 덕분에 인증서 발급은 과거 10분에서 단 3초로 줄었다. 다만 업계 안팎에선 공인인증제도 폐지에 따른 부작용을 점검해야 한다는 목소리가 잇따른다. 무분별한 인증서 출시에 따른 시장 과열, 그리고 위험·불편·보안성 평가를 위한 업계 표준과 가이드라인이 미흡하다는 지적이다.
지난 10일 전자서명법 개정안 시행으로 공인인증서의 독점적 지위가 사라졌다. 공인인증서는 지난 1999년 도입된 후 공공 영역 등에서 독점적으로 사용돼 왔지만, 인증 절차가 복잡하고 인증 소요 시간도 길어 불편하다는 지적 또한 이어졌다.
지난 5월 과학기술정보통신부 장관이 지정하는 공인인증기관과 공인인증기관에서 발급하는 공인인증서 개념을 삭제하고 공인·사설 인증서를 모두 전자서명으로 통합한다는 내용을 골자로 전자서명법 전부개정안을 의결했다.
현재 국내 전자인증 서비스 시장 규모는 약 700억원으로 추산되고 있지만, 공인인증서 독점적 지위가 사라지면서 시장은 성장 모멘텀을 갖게 됐다. 또한 전세계 다중 인증 시장 규모가 6조원인 것을 감안하면 향후 시장 규모는 더 커질 것으로 전망된다.
◆ 빅테크부터 중소·스타트업까지 참전..."인증서 난립 우려, 보안 투자 강화 필요"
민간에선 이통3사, 카카오, 네이버, 토스, NHN페이코 등이 시장 선점을 위해 춘추전국시대를 연상케하는 각축전을 벌이고 있다.
현재 이동통신 3사와 핀테크 기업 아톤이 합작한 'PASS(패스)'는 2800만건으로 경쟁에서 가장 앞선다. 카카오페이 인증서 발급건수도 2000만명을 돌파했고, 토스 인증서는 불과 두 달 새 600만건 증가한 2300만건을 돌파했다.
여기에 기술력을 확보한 중소·스타트업도 대거 시장에 진출할 것으로 보인다. 업계 관계자는 "중소형과 스타트업 사설 인증업체들도 인증서비스를 출시하면서 각축전이 펼쳐지고 있다"며 "경쟁은 더욱 심화될 것"이라고 봤다.
문제는 사설 인증서의 난립과 이에 따른 사후 대책 논의 부재다. 현재 보안성 평가를 위한 업계 표준과 가이드라인도 미흡하다는 지적이다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장 이사는 "공인인증서가 보안성이 높아지는 장점은 있었지만, 이용자들의 편의성이 너무 떨어지다 보니 불만이 많이 쌓여왔다"며 "자체 인증 서비스를 도입해 안정성을 확보하겠다는 취지는 좋지만 자칫 시장이 난립할 수도 있다"고 했다.
임종인 고려대학교 정보보호대학원 교수는 "지금까지 국가에서 공인인증서라고 해서 보증을 해줬는데, 그게 없어지니 마치 '인감도장'이 없어진 것과 같다. 사고가 발생했을 때 누구 책임인지 문제가 복잡해질 수 있다. 피해에 따른 소비자보호 이슈도 문제다"고 지적했다.
사실 규모 있는 업체에 비해 중소·스타트업은 상대적으로 보안에 취약할 수밖에 없는 것이 현실이다. 문종현 이사는 "규모 있는 기업들은 해킹시 피해 후폭풍을 알고 있기에 보안 인력, 비용에 투자를 많이 하는 편"이라면서도 "이 비즈니스 모델에 대해 관심과 기술력은 있지만, 보안에 투자 여력이 상대적으로 적은 스타트업 등은 자칫 해킹 표적이 될 수 있다"고 우려했다.
◆ "범정부 차원 소비자 보호 대책 부족...美 CCPA 벤치마킹" 조언도
이런 점에서 범정부 차원의 소비자 보호 대책 수립이 시급하다.
임 교수는 "정부가 편리성을 앞세워 공인인증제도를 폐지해 버렸지만, 중요한 것은 소비자들이 피해를 입었을때 쉽고 신속하게 구제를 받을 수 있도록 대책을 수립하는 것이다. 기업들이 비즈니스 기회를 인증서를 통해 얻게됐으니 거기에 따른 소비자보호를 제대로 하도록하고 개인정보 관리가 잘 되도록 지도를 할 필요가 있지만, 이런 논의는 사실상 제대로 안되고 있는 실정"이라고 진단했다.
그러면서 "캘리포니아주에서 1월부터 시행되고 있는 캘리포니아주 소비자 프라이버시 보호법(CCPA)법을 살펴보고, 공인인증서 역시 소비자 보호차원에서 접근해 금융기관, 과기부, 소비자보호원에서 합동해 편리성과 보호성, 신속한 사후 구제까지 할 필요가 있다"고 전했다.
CCPA란 캘리포니아 시민의 데이터 프라이버시 권리를 보호하기 위해 지난 2018년 6월 제정된 법으로, 올해 1월1일부터 시행됐다. CCPA는 미국 최초로 민간 부분 일반 개인정보보호 주법으로 소비자 프라이버시 보호를 위한 소비자의 권리와 사업자의 의무 등을 구체적으로 명시했다. 주법이지만, 글로벌 IT사들이 집합한 곳에 적용된 첫 사례라 상징성이 있다.
다만 국내에선 아직 공인인증서 의무화 폐지와 민간 인증서 활성화에 따른 피해 사례가 등장하지 않았기 때문에 보안에 대한 논의는 이어가되 과도한 우려는 이르다는 입장도 있다.
문 이사는 "어떤 사건이나 문제점이 야기되지는 않았기 때문에 지금 시점에서 '민간 인증서는 위험하다', '문제가 있다', '기존 공인인증서를 대체할 수 있는 수단이 아니다'라고 결론 내리기는 어려운 시점"이라고 했다. 그는 이어 "보안은 흔히 '창과 방패의 싸움'이라고 한다. 신무기는 계속 개발되기 때문에 싸움도 계속 일어나게 마련이다. 해커들 입장에서도 새로운 방패가 나오면 그걸 뚫기 위해 연구하는 시간이 필요하다"고 덧붙였다.
[서울=뉴스핌] 정윤영 기자 = 12월10일부터 공인인증서 의무화가 폐지되면서 민간 인증서 시대가 개막했다. [제공=과학기술정보통신부] 2020.12.17 yoonge93@newspim.com |
yoonge93@newspim.com