[DT 시론] 공인인증서의 경쟁력

김세헌 KAIST 시스템공학과 교수ㆍ인터넷 정보보호협의회 의장
두 사람이 오프라인에서 계약을 맺으면 종이로 된 계약서에 각 사람이 필체나 인감도장을 이용하여 서명을 한다. A가 종이에 서명을 해서 B에게 주었다면 이 서명은 다음의 두 가지 특성을 가지고 있다. 첫째, B를 포함한 어느 누구도 A의 서명을 만들어 낼 수 없다. 둘째, 만일 A가 이 서명이 자신의 것이 아니라고 주장하는 경우에는 믿을 수 있는 제 3 자가 이에 대해 정확히 판정을 내릴 수 있다. 사람의 필체와 인감도장은 이러한 두 조건을 만족시키기 때문에 오랫동안 서명의 방법으로 사용되어 왔다.

만일 두 사람이 사이버 공간에서 계약을 맺는다면 필체나 인감도장을 사용할 수는 없다. 패스워드로 서명을 할 수 있을까? B가 A를 실제로 만나서 비밀번호를 정한 후 추후에 사이버 공간에서 만날 때 A가 그 패스워드를 제시하면 B는 상대방이 진정한 A라고 판단한다고 하자. 이러한 시스템은 그러나 서명의 첫째 조건을 만족하지 않는다. 이 패스워드는 A만 아는 것이 아니고 B도 알고 있다. B는 A가 패스워드를 대고 계약을 맺었다고 하고 A는 자신은 패스워드를 사용한 적이 없고 B가 자신의 패스워드를 사용하여 허위 계약서를 작성하였다고 주장하는 경우 이 분쟁을 제 3 자가 판정할 방법은 없다.

사이버 공간에서 서명의 기능을 할 수 있는 방법으로는 전자서명 또는 공인인증서가 있다. 이는 고도의 수학적 이론을 바탕으로 구축한 것으로서 공인인증서가 유출되지 않는 한 완벽한 서명의 기능을 제공한다. 이는 수학적으로 증명된 사실로서 우리는 수학의 증명을 믿어야 한다. 공인인증서로 서명한 A가 나중에 그런 적 없다고 오리발을 내미는 경우 믿을 수 있는 제 3 자가 진위를 정확히 판정할 수 있다. 그런데 이 공인인증서는 사람의 머리에 기억할 수 있는 정도의 크기가 아니고 또한 계산과정을 필요로 하기 때문에 흔히 컴퓨터에 저장하게 되는데 이 컴퓨터가 해킹을 당하여 인증서가 유출되는 경우 안전성이 깨지게 된다. 이것이 공인인증서 시스템이 가지고 있는 최대의 약점이라고 할 수 있다.

그러면 두 당사자가 계약을 맺는 경우 항상 서명이 필요한 것일까? 만일 두 당사자들 중에서 한 명이 100%의 신뢰도를 가지고 있는 사람이라면 분쟁은 원칙적으로 발생하지 않는다. 예를 들어 B가 100%의 신뢰도를 가지고 있다고 할 때 A가 내미는 오리발은 사회에서 인정되지 않기 때문이다. 따라서 서명기능은 필요가 없고 패스워드 방식을 이용하여도 된다. 따라서 은행, 정부기관, 대기업 등과 같이 사회적으로 높은 신뢰도를 가지고 있는 기관과 개인 사이의 계약이라면 서명 기능이 생략될 수 있고 패스워드 시스템을 사용할 수 있을 것이다. 특히 계약에 관련된 금액의 크기가 작은 경우에는 더욱 그렇다.

그러나 은행의 신뢰도가 높다고 해도 은행의 직원들이 신뢰도가 모두 높은 것은 아니다. 그 중에는 횡령의 유혹을 느끼는 직원들도 다수 포함되어 있다. 은행과 개인의 계약은 은행의 직원이 처리하게 되고 이 직원을 100% 신뢰하지 못하는 경우 단순한 패스워드 시스템으로는 지금 우리나라와 같은 실시간 계좌이체는 수행하기 어렵다. 이를 보완하기 위하여 OTP(일회용 패스워드) 기술을 사용하지만 서명이 안 되는 것은 마찬가지다.

지난 몇 달 간 우리는 스마트폰에서의 인증방식을 두고 많은 논란을 거친 끝에 기관과 개인 사이의 금융 거래 중 30만 원 이하의 경우 공인인증서 방식과 함께 OTP방식을 선택적으로 사용할 수 있도록 조정하였다. 30만 원 정도의 금액에 대해 유혹을 느낄 은행 직원들이 없다고 판단된다면 이는 적절한 정책결정이었다고 할 수 있다.

신뢰도가 낮은 두 사람 또는 두 회사 사이의 직접적인 계약이라면 서명 기능은 필수적이다. 지금은 대부분 오프라인에서 종이에 대한 필체나 인감도장을 이용하여 이루어지고 있지만 앞으로 이러한 계약이 사이버 공간에서 주로 이루어 질 때 공인인증서는 필수 불가결한 시스템이다. 이때를 대비하여 공인인증서의 약점을 보완하면서 그 활용을 지속적으로 확대해 나가야 할 것이다.