[포럼] 인터넷 본인인증, 사용자 중심이어야

장주욱 서강대 전자공학과 교수

  •  
  • 입력: 2019-05-15 18:05
  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리
[포럼] 인터넷 본인인증, 사용자 중심이어야
장주욱 서강대 전자공학과 교수
2014년 '별에서 온 그대' 열기로 들뜬 중국 팬들의 '천송이 코트' 주문이 폭주했다. 그러나 우리나라 인터넷 쇼핑몰이 공인인증서를 요구하는 바람에 엄청난 대박 기회를 무산시켰다고 대통령까지 공개적으로 비난했다. 대통령까지 나섰으니 곧 해결되겠지 하면서 기다렸다. 그리고 5년이 지난 오늘 인터넷에서의 본인 인증은 과연 편리해졌는가.

그렇지 않다. 아직도 많은 인터넷 쇼핑몰이 공인인증서를 요구하고 IT 전공자도 모르는 각종 프로그램들을 설치하도록 강요한다. 무조건 '예'라고 하지 않으면 서비스를 받을 수 없다. 중간에 하나라도 실패하면 처음부터 다시 시작해야 한다. 왜 실패했는지도 모른다. 한 시간쯤 씨름하다 보면 화가 끓어 오르는 데 진짜 화가 나는 건 도대체 누구에게 화를 내야 할지 모르겠다는 것이다. 공인인증서 사용을 요구하는 정부인가. 인터넷 쇼핑몰을 운영하는 업체인가. 아니면 나의 무지함인가.

정부는 2015년 공인인증서 의무 사용을 폐지했다. 그러나 사용을 막는다는 뜻은 아니었다. 업체는 자율적으로 본인 인증 시스템을 개발하여 사용할 수 있지만 문제가 생기면 전적으로 책임져야 한다. 사고시 책임이 없음을 증명하는데 부담을 느낀 업체들은 정부가 공인한 전자 인감도장인 공인인증서에 다시 매달리게 된다. 그래서 우리는 의무 사용이 폐지된 공인인증서를 설치해야 한다. 공인인증서가 업체에게는 면죄부도 주고 보안 시스템 개발 비용도 절감해주는 것이다.

공인인증서 잘못이 아니라는 의견도 있다. 공인인증서를 사용하는 우리나라 신용카드 부정 사용율이 해외 대표 간편 결제의 1500분의 1이다(2014년). 공인인증서는 본인 인증의 궁극적인 지존이라는 뜻이다. 그러나 공인인증서를 안전하게 보관하는 것은 사용자인 나의 책임이다. 공인인증서가 유출되면 나의 모든 것이 날아갈 수 있고 재판해봤자 보상도 없다.

공인인증서 발급 업무를 관장하는 국가기관(KISA) 홈페이지에는 '공인인증서 유출 사고 예방을 위해서는 보안토큰, USIM, 금융IC카드, SE(Secure Element) 등 유출이 불가능한 안전한 저장매체에 저장하여 이용하기를 권장한다'라고 되어 있다. 이게 무슨 뜻이며 구체적으로 어떤 조치를 해야 하는지 아는 사람이 대한민국 국민 중 몇 프로가 될까. 결국 나의 무지함에 화를 내야 한다는 말인가. 업체와 정부는 재판에 대비가 되어 있는데 사용자인 나만 무방비다. 불편함도 내 몫이고 법적 책임도 내 몫이다.

이처럼 사용자가 과도한 부담을 지는 인터넷 본인 인증을 '사용자 중심'으로 확 바꾸어야 한다. 아마존은 한번 신용카드와 인적 사항을 입력하고 나면 원 클릭으로 쇼핑할 수 있다. 보안 문제는 아마존 측이 책임지고 고객에겐 최소한의 인증만 요구하는 것이다. 이상금융거래 탐지시스템(FDS)을 아마존 서버에 설치하여 의심스러운 거래를 차단한다. 서울에서 접속해 책을 사고 30분 후에 부산에서 접속하여 명품 가방을 결제하려 한다면 이 거래를 차단하고 사용자에게 알린다. 우리나라에서도 일부 선도 기업들이 이와 같은 시스템을 개발 사용해 나가고 있다. 이것이야말로 사용자와의 재판에 대비하는 보안이 아닌 사용자 중심의 보안이라고 말할 수 있다.

정부도 조만간 공인인증서를 아예 폐지할 방침이다. 그러면 공인인증서라는 안전판 뒤에 숨어 보안 시스템 개발에 소홀했던 업체들은 맨 몸으로 얼음판에 던져지는 당혹감을 느낄 것이다. 막대한 개발비 부담이 가능한 공룡 기업의 독점이 심화 될 우려도 있다. 중소 업체가 큰 어려움 없이 채용할 수 있는 인공 지능과 블록체인 기반의 표준형 이상금융거래 탐지시스템(FDS) 개발 및 보급을 서둘러야 할 때다.

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사