신용카드나 직불카드로 인터넷 쇼핑몰 같은 전자상거래를 이용할 때 공인인증서를 의무적으로 사용하는 제도가 지난 20일부터 폐지됐다. 다만, 전자상거래에서 온라인 계좌이체로 30만원 이상 결제할 경우에는 현행대로 공인인증서를 사용해야 한다.
금융위원회·금융감독원은 공인인증서 적용 면제로 인한 고객의 불안감이 높아질 수 있기 때문에 당분간 공인인증서 적용을 유지한다고 설명했다.
그동안 공인인증서는 신원확인과 사용자 책임을 입증하는 기능 등으로 활용돼 왔지만 해커 도용으로 인한 피해 가능성이 크다는 등의 이유로 인해 대체수단을 마련해야 한다는 의견이 줄곧 제기돼 왔다.
■위.변조, 거래사실 부인 방지 목적
공인인증서는 그동안 전자상거래 시 신원을 확인하고 문서의 위.변조 및 거래 사실 부인 방지 등을 목적으로 한 온라인 거래용 인감증명서로 활용돼 왔다. 공인인증서는 1999년 도입된 이후 2003년 모든 온라인 결제에 의무화됐으며 그동안 개인과 법인용으로 2000만건 이상 발급됐다.
공인인증서는 일반적으로 도용 위험이 적고 신원확인 수단뿐 아니라 데이터 기밀성 및 무결성을 보장하는 기능이 포함돼 있어 인터넷 뱅킹, 주택청약, 전자상거래, 전자세금계산서, 대학학사업무 등 많은 분야에서 주로 사용됐다. 또 공인인증서 최초발급 시 대면확인을 통한 신원확인을 수행해 전자금융사고 등 사용자와의 분쟁이 발생하면 사용자 책임을 입증하는 용도로도 활용할 수 있다.
공인인증서를 이용한 공인전자서명은 기존 서명, 서명날인, 기명날인과 동일한 효력을 가지고 있으며 다양한 법령에서 전자서명법을 인용해 관련 업무에 서명과 본인임을 확인하기 위해 공인전자서명을 이용하도록 규정하고 있다.
■해킹 피해 확대 가능성 높아
하지만 공인인증서는 동일인에게 다수 발급이 가능하기 때문에 신분확인 기능이 약하고 공인인증서에 포함된 내용만으로는 생년월일, 성별 등의 정보를 파악할 수 없기 때문에 웹사이트에서 공인인증서를 이용해 할 수 있는 서비스는 본인확인 용도로만 대부분 사용되고 있다.
또 인감과 달리 공인인증서는 실물이 아닌 컴퓨터 하드디스크나 이동식 디스크 등의 파일형태로 존재하는데, 파일이라는 특성상 복사를 할 경우 원본과 동일한 사본이 생성된다. 만일 해커가 사용자의 패스워드를 알아낸다면 공인인증서를 도용해 사용할 수 있다는 것이다.
특히 공인인증서를 불러오려면 '액티브X'라는 일종의 보안도구가 필요한데, 이 프로그램을 컴퓨터에 설치하는 과정에서 악성코드가 유입되는 경우가 잦다는 문제점이 계속 제기돼 왔다.
더군다나 모든 결제시스템이 공인인증서로 통일되면서 공인인증서를 이용한 시스템 중 한 곳에서만 문제가 생겨도 피해가 확대될 가능성이 높아졌다. 게다가 지난달 삼성카드가 스마트폰 스미싱(문자메시지와 피싱의 합성어)으로 자사 앱카드를 이용하는 고객 53명이 금전 피해를 봤다는 신고 300건이 접수됐다며 당국에 자진 신고하면서 공인인증서 자체에 대한 신뢰도 함께 떨어졌다.
■공인인증서 보완 서비스, 대안될까
이처럼 공인인증서에 대한 문제점이 불거지면서 공인인증서를 더욱 안전하게 사용할 수 있는 새로운 서비스가 속속 등장하고 있다.
한국정보인증은 최근 해킹으로 인한 금전적 피해를 보상하는 개념의 '든든인증서'를 출시했다. 든든인증서는 발급 후 사용기간 내에 해킹과 같은 전자금융사기를 당하면 횟수에 관계없이 최대 300만원까지 피해 금액을 보상한다.
시큐브는 공인인증서 보안관리 서비스 '시큐브 서트1'을 내놨다. 이동식저장장치(USB)에 시큐브 서트1을 설치하면 인증서 보안 저장소가 나타난다. 인증서 보안 저장소에 공인인증서를 보관하면 신뢰된 사이트에서 사용되는 전자서명인증 툴킷이 공인인증서에 접근하는 것만 허용된다.
필립소프트의 'VIP서트'는 PC 하드 디스크 일부분을 보이지 않는 디지털 금고로 만들어 공인인증서를 저장하는 'VIP서트' 서비스다. PC에 공인인증서를 저장했지만 마치 보안토큰처럼 암호화한 별도 장소에 보관한 것과 같은 효과를 얻을 수 있다.
yccho@fnnews.com 조용철 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지