요즘 유행하는 말 가운데 하나가 ‘적폐청산’이다. 알다시피, 오랫동안 쌓이고 쌓인 폐단을 털어낸다는 뜻이다. 필자의 가슴속에도 이렇듯 케케묵어 곰삭아버린 무언가가 있다. 바로 ‘공인인증서’에 대한 문제이다. 대선주자 누군가의 말처럼, 이번에는 정말 걷어낼 수 있을까?

왜 인증을 하는 것인지 부터 살피기로 하자. 인증은 ‘내가 정말 나임을 증명하는 것’이다. 내가 나임을 증명한다니 어처구니가 없고 답답할 수도 있지만, 사실 종종 필요한 경우가 있다. 값비싼 거래를 하거나 중요한 나의 뜻을 전하거나 남기고자 할 때에는, 그러하지 않겠는가? ‘정말인 내가’ 그 당시 그러한 결정을 했다는 것을 확인하기 위해서이다.

그래서 우리는 ‘인감증명서’를 사용한다. 소유자인 내가 땅을 팔겠다는 계약서를 쓰면서 나의 인감증명서를 첨부하면, 계약상황을 목격하지 않은 등기공무원이 그 계약의 진정성을 믿어주는 방식인 것이다. 왜냐하면 인감증명서는 본인만이 뗄 수 있기 때문이다. 계약의 내용이 거짓이라면, 또는 내가 팔기를 원치 않는다면 나의 인감증명서가 첨부될 수가 없다.

 

액트브 엑스 설치하고 들어가는 전자금융. 개인정보 유출 사건이 터져 혹시나 하고 확인하려고 하는데 액티브엑스를 설치해야 한다. <사진 출처 - http://noactivex.net/ 엑티브엑스 폐지 서명운동 홈페이지>

 

 어느 순간 ‘묻지마 클릭’으로 바뀐 전자금융 인증

전자금융에서도 동일한 상황이 발생한다. 내 계좌에 있는 돈을 이체하기 위해 접속을 한다면, 은행사이트의 입장에서는 접속한 사람이 ‘정말 내가 맞는지’부터 확인해야 한다. 민원서비스 사이트에서 똑같다. 주민등록등본을 떼기 위해 접속한 자가 ‘정말 내가 맞는지’ 알아야 나의 주민등록등본을 떼 줄 수 있기 때문에, 귀찮아도 인증을 하기는 해야 한다.  

주로 비대면 상태에서 진행되는 온라인 서비스에서는, 중요한 무언가를 할 때마다 여지없이 인증을 해야 한다. 그래서 우리는 오랫동안 ‘공인인증서’를 사용해 왔다. 은행사이트에 접속하기만 하면, 화면상단 어딘가에 노란색 ‘바’(bar)가 생기며 무언가를 설치한다면서 알 수 없는 질문들을 자꾸만 해온다. 인증을 위해서 진행되는, 참으로 낯익은 장면들이다.

이 친구들은 ‘액티브-엑스’(active-x)를 필두로 한 각종의 보안용 플러그인(plug-in)들인데, 아마도 그 하나하나가 무엇을 하는 것인지 제대로 아시는 분은 잘 없을 것이다. 처음 몇 번이야 무슨 내용인지 읽어보기라도 하겠으나, 두어 차례 같은 형태의 질문과 상황이 반복되면 그냥 빨리 끝나기를 바라는 마음으로 무조건 클릭하기 일쑤이기 때문이다.

사실 그 내용을 꼼꼼히 읽어본들, 정확히 무엇을 위해 어떠한 작동을 하게 되는 프로그램을 설치하겠다는 것인지 제대로 알 수도 없다. 그렇다고 정체를 확인하기 위해 제조사에다 전화를 걸어 문의하지도 않지 않는가? 설치하지 않으면 사이트에 진입할 수 없으니, 우리는 그냥 대략 믿고 포기하는 심정으로 마구마구 클릭을 할 뿐이다. 빨리 끝나기를 바라면서 말이다.

우리는 이미 이러한 장면에 익숙해져 있다. 모두들 노란색 ‘바’만 나타나면, 무조건 클릭하는 것이 당연하다고 생각한다. ‘자장면은 검고 액티브-엑스는 노랗다’는 농담처럼, 노란색 ‘바’만 나타나면 한국 사람들은 거의 반사적으로 클릭을 한다. 안전을 위한 노란색이니 ‘묻지마 클릭’이 당연하다고, 제대로 학습되어 있는 모양이다.

“액티브 엑스는 안전하다?”

문제는 이 믿음이 전혀 사실이 아니라는 것에 있다. 즉 ‘액티브-엑스’는 전혀 안전하지 않다. 이를 고안한 ‘마이크로소프트’(Microsoft)조차, 보안성 확보를 위해 노력을 거듭하다 도저히 구멍을 메워낼 수 없게 되자 결국 기술의 포기를 선언한 것이 바로 ‘액티브-엑스’의 실체이다. 다시 말해 해커들에게 공식적으로 문호를 개방하고 있는 셈인 것이다.         

또한 공인인증서의 관리방식도 문제가 있다. 실제 인증기능을 담당하는 ‘개인키’가 무단복제가 가능한 파일의 형태로 저장될 뿐만 아니라, 명칭도 특정되고 그 저장위치나 폴더의 명칭 또한 모두 노출되는 방식을 사용하고 있다. 다시 말해, 누가 봐도 한눈에 알아차릴 수 있게끔 특별히 신경을 써주고 있는 것이다. 이렇듯 인증서를 찾아 헤매게 될 해커의 수고를 덜어주기 위해 친절한 서비스를 제공해주는 나라는, 오직 한국만이 유일하다.

이러한 기술적인 흠결덕분에 발생한 공인인증서 유출경험이 이미 충분히 축적되었음에도 불구하고, 지금도 우리는 여전히 동일한 시스템을 계속 사용하고 있다. 이유는 간단하다. 정부의 ‘공인인증서 의무사용’을 오랜 기간 따라왔던 터라 다들 이 방식으로 길들여져 왔고, 지금에 와서 이를 바꾸려니 귀찮기도 하고 무엇보다 막대한 비용이 든다는 것이다. 결국 여기에도 ‘돈’과 ‘의지’가 문제이다. 

통계를 보면, 의무사용이 폐지되었음에도 불구하고 사용자가 점점 더 늘고 있다. 또한 정부 스스로도 여전히 공인인증 시스템을 사용하고 있기도 하다. 소위 ‘비-액티브-엑스 방식’이나 다른 형태의 인증시스템이 속속 등장하고 있음에도 불구하고, 아직도 종래의 시스템을 대체할 만한 녀석이 없다는 것이 대체적인 의견이다. 이 ‘구관’이 ‘명관’이 아니라는 점에는 다들 동의하면서도 말이다.  

인증 사고 책임의 무게중심이 개인에게 기울어진 나라

그러나 ‘구관’의 가장 큰 문제점은 이러한 보안 쪽의 문제가 아니다. 인증관련 사고가 발생하면, 모든 책임을 내가 덮어써야 한다는 점이 정말로 큰 문제이다. 생각해보라. ‘OTP’도 보안카드도, 그리고 인증서도 모두 내가 들고 다닌다. 어쩌다 재수가 없어 그것이 털리면, 결국 모든 책임은 나에게 귀속되고 은행은 그저 안타까워만 할 뿐이다. 법원 또한 ‘1년 이상 인터넷뱅킹을 사용’했다는 정도가 되면, 전혀 도와주지 않는다.      

이렇듯 책임의 무게중심이 사용자에게 몰아져 있는 경우 또한 우리나라가 거의 유일하다. 외국에서는 오히려 은행 쪽으로 무게중심이 몰아져 있거나, 사고시 사용자가 책임져야할 금액의 한도가 정해져 있는 경우가 대부분이다. 워낙에 전자결제가 이렇듯 위험한데도 이를 허용하는 이유가, 결국엔 은행의 이익을 위해서이기 때문에 그 책임의 무게중심을 은행 쪽으로 돌리는 것이 맞다는 것이다.

결국 우리는 참으로 바보 같은 상황을 지속하고 있는 셈이다. 이유 없는 폐습을 맹신하면서 오늘도 ‘묻지마 클릭’을 하고 있으나, 결과에 대해서는 나 스스로를 제외한 그 누구도 책임지지 않는다는 점이 그러하다. 이미 공인된 문제점을 알면서도 말이다. 이미 곪았다면, 연고를 바르기보단 고름을 걷어내는 것이 먼저가 아니겠는가? 

또한 이제는 이렇듯 곰삭은 방식이 굳이 필요하지도 않다. 내가 아니라 상대편 측에서 노력하여, ‘내가 정말 나임을’ 확인해낼 수 있는 신통방통한 기술들이 여럿 존재하기 때문이다. 다들 그러한 기술들로 얼마든지 인증하면서 잘들 살고 있다. 상황이 이 정도라면, 정말 이제는 털어낼 만하지 않은가?

 

오길영 교수는 정보통신법 분야를 전공하고 왕성히 활동하고 있는 법학자이다. 또한 자동차 매니아로서, 자동차와 관련된 시민사회 운동을 병행하고도 있다. 한편 목가적인 삶에 대한 꿈을 실현시키기 위해, 직접 나무를 자르고 망치를 치는 ‘DIY’를 실천하고 있기도 하다.