OCSP 서비스 유료화 논란

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


인증기관-이용업체간 `별도비용' 싸고 대립


`OCSP 서비스는 공인인증기관의 기본 서비스인가, 부가 서비스인가'

공인인증서의 유효성에 대한 상태정보를 실시간으로 확인해주는 OCSP(Online Certificate Status Protocol) 서비스의 유료화를 둘러싸고 공인인증기관과 공인인증서 이용업체간에 서비스 성격 논란이 일고 있다.

문제의 발단은 금융감독원이 내년 1월1일부터 인터넷에서 신용카드를 이용해 10만원 이상의 물건을 구입할 시 공인인증서 사용을 의무화하는 등 인터넷뱅킹과 사이버트레이딩에 이어 전자상거래 전반으로 공인인증 시장이 확대되면서부터. 공인인증서를 전자상거래 이용자의 신원확인 수단으로 사용하는 만큼 공인인증서가 유효한지에 대한 실시간 상태 검증이 필수인데, 최근 일부 공인인증기관이 이에 대한 서비스를 유료화하기로 한 것이다.

금융결제원이 먼저 OCSP 서비스를 유료화하기로 하고 카드사들을 대상으로 영업에 나섰으며, 한국증권전산도 내년부터는 OCSP 서비스를 유료화한다는 방침 아래 본격적인 영업에 뛰어들었다. 금결원의 경우 이미 BC카드와 계약을 체결한 것으로 알려졌다.

금결원 관계자는 "OCSP 서비스는 공인인증기관이 제공할 수 있는 부가 서비스 중 하나로, 최소한의 시스템 보전비용 정도는 받아야 한다고 본다"며 "그러나 OCSP 서비스는 공인인증서 이용업체의 선택 사항으로, 실시간으로 공인인증서의 유효성을 검증할 필요가 없는 기관이라면 현재 제공되고 있는 상태확인 기본 서비스인 CRL(Certificate Revocation List)을 이용하면 될 것"이라고 말했다. 그는 또 "아직 개인용 공인인증서에 대한 가격과 공인인증기관간 상호 공인인증서 유효성 검증에 따른 수수료 문제 등이 해결되지 않은 만큼 서비스 가격은 결정하지 않았다"고 덧붙였다.

증권전산 관계자는 "OCSP 서비스는 공인인증기관의 인프라를 활용하는 것인 만큼 유료화는 당연하다"며 "카드사는 물론 모든 전자상거래 업체를 대상으로 영업을 확대할 것"이라고 말했다.

공인인증기관의 이같은 OCSP 서비스 유료화 정책이 알려지면서 공인인증서 이용업체들은 공인인증서에 대한 유효성 검증은 상호연동을 전제로 한 공인인증기관의 기본 서비스로, 별도의 비용을 내라는 것은 말이 안 된다며 반발하고 있다.

한 공인인증서 이용업체 관계자는 "전자서명법에 의해 공인인증서간 상호연동이 실시되고 있고 상호연동의 기본이 OCSP인데, 별도의 비용을 내지 않으면 OSCP 서비스를 제공하지 않겠다는 것은, 공인인증기관이 스스로 상호연동을 거부하겠다는 것 아니냐"고 주장했다.

이같은 주장에는 일부 공인인증기관들도 의견을 같이 하고 있다. 한 공인인증기관 관계자는 "공인인증서 이용업체에게 공인인증서 유효성 검증에 따른 별도의 비용을 받는다면, 이용업체들은 어떤 형태로든 그 비용을 소비자에게 전가할 것"이라며, "결국 소비자만 피해를 볼 수 있다"고 지적했다.

그러나 공인인증제도에 대한 주무부처인 정보통신부는 이 문제에 대해 아직 명확한 결정을 내리지 못하고 있는 상태. 정통부 관계자는 "근본적으로 OCSP 서비스를 공인인증기관의 기본 서비스로 보느냐, 부가 서비스로 보느냐의 차이로 정부가 적극 개입할 성격의 것은 아니라고 본다"며 "하지만 공인인증기관의 관리 차원에서 현재 추진중인 전자서명법 지침 개정에 이 부분도 검토하고 있다"고 말했다.

한민옥기자



가장 많이 본 기사