서류 뗄때마다 "보안 SW 깔아라"… 주범은 '공인인증서'

조선일보
  • 정철환 기자
    입력 2016.01.21 03:05 | 수정 2016.01.21 09:27

    [한국에서만 벌어지는 촌극 왜?]

    인터넷 신분증 역할 '전자 인감'
    국제 표준 기술 아니라서 별도 보안 접속 프로그램 깔아야
    외국에선 SW 설치 필요없어

    정부·금융기관 "안전성 뛰어나 중요한 정보 보호 위해 필요"
    전문가들 "행정 편의적 발상"

    직장인 박윤경(32)씨는 최근 연말정산을 위한 서류를 발급받기 위해 국세청 홈택스(www.hometax.go.kr)와 정부 민원24(www.minwon.go.kr), 은행의 인터넷 뱅킹 사이트를 이용했다. 국세청 사이트에서는 소득공제 증명서류를 내려받기 위해, 민원24엔 부양 가족 등록을 위한 주민등록등본을 떼려고, 은행 인터넷 뱅킹은 혹시나 누락된 직불·신용카드사용액이 없는지 확인해 보기 위해서였다.

    그런데 이 사이트들에 아이디와 비밀번호를 입력하려고 하니 "××프로그램이 설치되어 있지 않습니다" "○○소프트웨어를 설치하시겠습니까" 같은 메시지가 줄줄이 떴다. 보안용 소프트웨어라는 설명이 나왔다. 각각의 사이트에 접속할 때마다 각종 소프트웨어를 설치하고, 웹브라우저를 종료했다가 새로 실행해야 하는 일이 반복됐다. 이 과정이 한 번에 5~10분가량 걸렸다. 박씨는 "해외 직구(직접구매)를 할 때 외국 쇼핑몰이나 금융회사 사이트는 이런 복잡한 과정이 없는데 왜 우리나라만 이러는 건지 모르겠다"고 했다.

    사이트마다 다른 보안 소프트웨어

    연말정산 시즌이 되면서 여전히 복잡한 공공기관과 금융기관의 인터넷 서비스 이용 방식에 불편을 호소하는 목소리가 나온다. 본지가 20일 국내 은행, 신용카드사 등 금융회사와 정부 전자민원 사이트인 '민원24', 국세청 '홈택스' 사이트를 점검해 보니 모두 '보안 접속 소프트웨어'를 설치하지 않으면 사용할 수 없었다. 사이트마다 필요한 소프트웨어의 종류도 제각각이었다. 국세청은 '베라포트', 민원24는 '엑스큐어웹', 일부 은행은 '이니세이프' 등을 일일이 설치해야 했다.

    한국과 외국의 인터넷 보안 접속 방식
    이는 우리나라 인터넷 환경에서만 벌어지는 특수한 상황이다. 실제로 미국 연방국세청(IRS)의 '세무사 계정 관리 서비스(PTIN)', 미국 씨티은행, 일본 미쓰이스미토모 은행, 영국 HSBC 등을 확인해 보니 모두 별도의 소프트웨어 설치 절차가 필요 없었다. 아이디와 비밀번호 또는 임시 비밀번호 생성기(OTP)를 이용한 1회용 비밀번호를 입력하는 것만으로 이용이 가능했다.

    정보보안업체 A사 관계자는 "이런 차이는 우리나라가 국제 표준 기술이 아닌 공인인증서를 쓰면서 벌어지는 일"이라고 설명했다. 공인인증서는 인터넷상에서 신분증 역할을 해주는 일종의 '전자 인감'이다. 국세청의 연말정산 서류 발급이나 인터넷 뱅킹 등은 공인인증서가 없으면 아예 이용이 불가능하다. 이 관계자는 "전 세계 이용자를 대상으로 만든 인터넷 웹브라우저는 공인인증서 사용에 필요한 보안 기능을 기본으로 지원하지 않는다"면서 "이 때문에 별도의 보안 접속 소프트웨어를 깔아 쓰는 것"이라고 했다.

    국제 표준과 떨어진 공인인증서

    바꿔 말해 공인인증서만 쓰지 않으면 복잡한 소프트웨어 설치 과정이 필요 없다는 얘기다. 하지만 정부와 금융기관들은 "본인 확인과 중요한 정보를 보호하는 차원에서 공인인증서를 쓸 수밖에 없다"는 입장이다.

    국세청과 민원24 등의 정부 인터넷 서비스 정책을 담당한 정부 관계자는 "이미 (공인인증서가) 15년 이상 널리 쓰이고 있고, 해외의 기술과 비교해 안전성도 더 뛰어나다"면서 "현재로서는 공인인증서를 사용하는 것이 타당하다"고 말했다.

    하지만 이런 주장이 행정 편의적 발상이라고 지적하는 전문가들도 있다. 김기창 고려대 법학대학원 교수는 "정부나 은행 입장에선 공인인증서 시스템을 쓰면 보안 사고가 발생했을 때 이를 공인인증서 관리를 소홀히 한 개인 탓으로 돌릴 수 있다"면서 "공인인증서가 이른바 '면죄부'가 되는 것"이라고 했다. 예를 들어 타인의 공인인증서를 훔치거나 복사해서 인터넷 뱅킹으로 돈을 빼내거나, 정부 민원사이트를 통해 개인 정보를 훔치는 범죄가 발생하면 그 책임은 피해자 개인에게 돌아간다는 말이다.

    이미 공인인증서를 중심으로 국내 보안 시장이 형성되어 있는 것도 문제다. 공인인증서를 바탕으로 한 국내 보안 시장은 연간 1000억원이 넘는 것으로 알려져있다. 공인인증서를 없애면 당장 영세한 국내 보안 업체들이 경영난에 빠질 수도 있는 것이다. 정부·금융기관은 물론, 기술을 공급하는 업체들이 공인인증서를 포기하지 않는 한 소비자의 불편이 쉽게 사라지지 않을 것이란 얘기다. 하지만 보안 업계 관계자는 "우리나라 인터넷 환경도 사용자에게 편리한 국제 표준을 따라가려면 현재의 공인인증서를 기반으로 한 보안 체제를 언젠가는 손봐야 할 것"이라고 말했다.
    내가 본 뉴스 맨 위로

    내가 본 뉴스 닫기