Abstract

1999년 7월 『전자서명법』이 시행되어 온라인으로 비대면 서비스 등을 제공할 수 있게 되었다. 우리나라는 온라인 환경의 보안 취약점을 해소하고 강력한 신원확인을 위해 제3자에 의한 인증 방식, 즉 공인인증서를 통한 본인확인, 전자서명을 의무화 및 확대를 추진하였다. 2019년 8월 기준으로 누적 발급 건수가 4,100만 건이 넘는 공인인증서는 다양한 분야에서 비대면 본인확인과 전자서명의 역할을 충실히 수행하였다. 

그러나 사용자 불편, 플러그인(ActiveX) 방식의 문제, 서비스 혁신 장애 등의 이유로 2015년에 공인인증서 의무사용이 폐지되었고, 2020년 5월에 『전자서명법』 전면 개정에 따라 비대면 자율 인증 시대가 열리게 되었다. 이제 비대면 온라인 정보서비스 제공자는 경쟁 우위를 확보할 수 있는 비대면 인증을 자율적으로 선택할 수 있게 되었다. 비대면 온라인 서비스 수요자는 편리하고 안정적인 인증 방식을 채택한 비대면 서비스를 선택할 수 있게 되었다. 이로 인해 관련 시장에 큰 변화가 예상된다. 

이제 ‘공인’의 딱지를 뗀 새로운 자율 인증의 시대에 과연 누가 새로운 주인공이 될 것인가? 본고는 지난 21년간 공인인증서가 지나온 길을 살펴보고 새로운 비대면 자율 인증 시대의 변화를 예상하고자 한다.

* Keyword: 비대면 신원확인, 『전자서명법』, 공인인증서, 비대면 자율 인증

 

Ⅰ. 개요

‘~ 라떼는’이라고 할 수 있는 이야기부터 시작해보자. 하지만 불과 20년 정도 이전의 일이다. ‘Windows’와 ‘Internet’이 PC와 결합되면서 1990년대 중후반부터 소위 정보화 시대가 본격적으로 막을 올리게 되었다. 내 방의 PC 앞에서 다양한 정보서비스를 활용할 수 있게 되면서 사회 전 영역에 종전과 다른 새로운 변화의 바람이 불게 되었다. 

이러한 변화에 1999년 2월에 제정, 7월에 시행한 『전자서명법』은 기폭제가 되었다. 『전자서명법』은 기존에 대면으로 신원을 확인해 서비스를 제공하는 방식에서 온라인에서 정보 교환 및 확인으로 신원을 확인하여 동일한 서비스를 제공하는 비대면 서비스 제공에 대한 법적 근거가 되었다. 이후 정부에서는 제3자에 의한 인증 즉, 정부가 보증 주체가 되어 온라인 거래, 서비스를 안정적으로 제공하여 시장 혼란을 줄이고 관련 산업의 성장을 유도하고자 했다. 이에 2001년에 제정된 전자정부법¹ 과 UNCITRAL² 의 전자서명모델법을 반영해 2001년 『전자서명법』을 개정하면서 바야흐로 ‘공인인증서’ 중심 온라인 비대면 서비스가 완성되었다.

1. 전자정부법 : 『전자정부 구현을 위한 행정업무 등의 전자화 촉진에 관한 법률』(2001. 3. 28. 제정, 2001. 7. 1. 시행)은 현재 『전자정부법』(2013. 4. 5. 제정, 2013. 7. 1. 시행, 현재 2017. 10 24. 개정안 시행)으로 변경됨

2. UNCITRAL: 국제상거래법위원회

금융서비스, 전자상거래, 전자정부(행정)서비스 등에 공인인증서의 사용이 의무화되고 정부의 적극적인 공인인증서 확산 정책으로 공인인증서 누적 발급 건수가 2005년에 1,100만 건, 2009년에 2,192만 건을 넘어서게 되었다. 그런데, 2009년 11월 국내에 처음으로 아이폰이 발매되면서 스마트폰의 수요와 공급이 폭발적으로 늘어나게 되었다. 기존 PC 중심에서 스마트폰을 활용한 모바일로 사용자 환경이 변화하기 시작하였다. 이제 내 방의 PC가 아니라 내 손의 스마트폰이 정보서비스 제공의 중요한 매개체가 된 것이다. 

이로 인해 PC 중심의 비대면 온라인 서비스 형태가 스마트폰을 활용한 모바일 환경에서는 사용하기 어렵게 되었다. 즉, 국내에서 인터넷 사용자 대다수가 인터넷 익스플로어(Internet Explorer, 이하 IE)를 활용하고 있어 효율성 측면에서 IE 전용 ActiveX 플러그인을 활용한 공인인증서를 채택함에 따라 ActiveX가 실행되지 않는 스마트폰에서는 공인인증서를 활용할 수 없게 되었다. 결국 2010년 3월 7일 행정안전부는 금융거래 시 공인인증서만 보안 프로그램으로 인정하고 있는 규제를 폐지하게 되었다. 이에 따라 스마트폰에서도 금융서비스를 활용할 수 있게 되었다. 이를 시작으로 온라인에서 비대면 본인확인, 전자서명에 계속적으로 공인인증서를 존속해야 할 필요성에 대한 사회적 이슈가 대두되었다.

이러한 공인인증서의 법적, 시장적 지위에 변화를 주는 사건이 발생한다. 2014년 3월에 전자상거래 시 공인인증서 사용으로 인해 당시 최고의 인기 드라마 <별에서 온 그대>의 여주인공이 입고 있었던 천송이 코트를 중국에서 구매가 불가하다는 논란이 제기되었다. 이는 공인인증서가 갖고 있는 폐해라기보다 전자상거래가 국내에서 해외로 확대되면서 발생한 논란이라 할 수 있다. 그러나 이 논란을 계기로 공인인증서 의무화가 인터넷 갈라파고스 현상을 야기한다는 지적과 그동안 공인인증서 활용에 따른 사용자 불편이 증폭되면서 반드시 개선되어야 할 제도로 인식되었다. 정부도 이에 발빠르게 대응하면서 2015년 3월 18일 관련법상 공인인증서의 의무 사용을 폐지하게 되었다. 이로서 공인인증서와 함께 사설인증서도 활용될 수 있는 계기가 마련되었다.

하지만, 공인인증서 의무 사용이 폐지되었음에도 공인인증서는 기존과 다름없이 다양한 온라인 비대면 서비스에서 본인확인과 전자서명의 역할을 담당하였다. 매해 공인인증서 누적 발행 건수는 증가하였으며, 2019년 8월 기준으로 4,100만 건 이상이 발급되었다. 천송이 코트 논란에 관련이 있는 전자상거래 분야에서 다양한 결제 수단과 결합하여 공인인증서를 대체한 다양한 방식이 활용되고 있지만 인터넷뱅킹, 공공행정서비스에서는 여전히 공인인증서를 사용하고 있다. 

2015년 공인인증서 의무화 폐지 전에도 금융감독원에서 2011년 1월 인증 방법에 대한 세부 기술평가기준을 발표하면서 금융권 및 전자거래업체들을 대상으로 공인인증서 이외 인증 방법에 대한 기술 평가 기준 설명회를 개최하였으나, 아직까지 독자적으로 공인인증서의 수준에 맞는 기술적 안정성 요건을 충족할 수 없다는 결론을 내렸다. 특히, 스마트폰을 중심으로 대체 인증 수단으로 각광을 받은 바이오인식 솔루션도 기술적 안정성 요건을 충족할 수 없다고 평가하였고, 다른 기술들과 결합해 보완할 수는 있었으나 공인인증서에 준하는 보안 등급을 받기 위해서는 부인방지 기능을 제시해야 하는데 이와 관련된 기술이 공인인증서 이외에는 충족할 수 없다고 평가하였다. 이러한 이유로 온라인 비대면 서비스 제공자는 공인인증서를 채택함으로써 얻을 수 있는 효율성을 선택하면서 이후에도 여전히 공인인증서는 지배적 위치를 차지하고 있었다.

지난 20대 국회 마지막에 『전자서명법』 전면 개정에 따라 이제 온라인 비대면 서비스에 필요한 본인확인과 전자서명에 정부가 인증해주는 ‘공인’이라는 단어는 이제 역사가 되었다. 이제 온라인 비대면 서비스에서 본인확인, 전자서명의 인증이 자율 인증으로 바뀌게 되었다. 앞으로 정부는 전자서명인증업무 운영에 대한 기준을 제시하고 전자서명인증사업자가 운영 기준을 준수하였는지 평가기관 평가, 인정기관 확인을 거쳐 해당 전자서명인증사업자가 전자서명인증업무 운영 기준을 준수한다는 증명서를 발급하고 이를 표시하여 비대면 온라인 정보서비스 제공자, 사용자가 합리적으로 이를 선택할 수 있도록 지원하게 된다. 해당 업무를 과학기술정보통신부에서 주관하고 특정 전자서명 수단을 사용하도록 제한이 필요할 경우 법령 등 상위 법령에 근거를 두도록 하고 하위 법령, 고시 등으로 전자서명 수단을 제한하는 것도 통제하는 장치도 마련하였다. 

새로운 인증 방식이 기존 공인인증서의 역할을 대체할 수 있는 길이 열리게 되면서 향후 온라인 비대면 서비스의 새로운 개선, 혁신의 기회가 마련되었다. 이미 많은 온라인 비대면 서비스가 모바일 중심(mobile only)으로 제공되고 있는데 그동안 공인인증서 사용으로 인해 해소할 수 없었던 각종 요구사항에 대한 대응 방안을 마련하기 위해 각 분야별, 기업별로 다양한 움직임이 있을 것으로 예상된다. 11월부터 본격 시행될 자율 인증은 어떠한 미래를 우리에게 가져올 것인가? 이에 본고에서 현재 소개, 활용되고 있는 인증 방식에 대해 살펴보고 시장에 미치는 영향 등을 종합하여 미래의 주인공을 점쳐보고자 한다.

 

Ⅱ. 공인인증서의 발자취

2.1 공인인증서 시작

대면 중심 서비스는 보통 개인의 신원을 확인하는 수단으로 신분증(주민등록증 등)을 활용하여 인증이 이루어졌다. 그러나 온라인 환경 즉, 비대면 서비스에서는 본인 이외에는 소유하거나 알 수 없는 신뢰할 수 있는 정보를 활용하는 방식의 인증이 필요하다. [표 1]은 온라인 환경에서 비대면으로 인증을 할 때 활용할 수 있는 방식이다. 웹 기반 온라인 서비스 도입, 확대 시기에는 지식 형태의 인증을 도입하여 활용하였다. 간단하고 별도의 비용이 거의 없어 전자금융거래에서도 많이 도입되어 활용되었다. 그러나 온라인이 갖고 있는 보안 취약점과 그에 따라 발생하게 될 위험, 손해를 간과할 수가 없었다. 즉, 지식 형태의 인증으로는 비대면 온라인 서비스 확대에 제약이 많았다.

이에 온라인 환경에서 높은 신뢰성과 안정성을 확보할 수 있는 온라인 비대면 인증 방식에 대한 필요성이 높아지게 되었다. 이에 정부에서는 1999년 2월에 『전자서명법』을 제정하여 7월에 시행하여 법적 근거를 갖춘 온라인 비대면 인증 방식을 제시하였다. 이후 온라인 비대면 인증 방식을 개발하기 위한 연구가 시작되었으나 도중에 행정부 중심과 금융업계 중심으로 나눠지게 되어 각각의 방식으로 온라인 비대면 인증을 추진하였다. 이에 정부에서는 인감증명과 마찬가지의 지위를 갖고 있는 전자인감을 2001년 전자정부법을 통해 법적 근거를 마련하고 공인인증서를 전자인감으로 정부가 보증하게 되었다. 이러한 인증 방식을 위의 [표 1]에서 제시한 인증 방식과 달리 신뢰성 있는 제3자(Trusted Third Party)에 의한 인증으로 분류하면서 우리나라는 일원화된 온라인 비대면 인증 방식을 채택하게 되었다.

 

2.2 공인인증서 확산

2001년 전자정부법 제정 및 『전자서명법』 개정에 따라 공인인증서의 제도적 기반을 다진 정부는 본격적인 공인인증서 확산을 위한 정책을 추진하기 시작했다. ‘공인인증서 활성화 TF(2002. 5. ~ 6.)’를 통해 안정적인 공인인증서 이용 확산을 위한 이슈에 대응하면서 먼저 금융분야 사용 확대 방안을 발표(2002. 7.)했다. 이후 인터넷뱅킹 공인인증서 사용 의무화(2002. 9.), 증권거래 공인인증서 사용 의무화(2003. 1.)를 시작으로 전자상거래에서 30만원 이상 결제 시 공인인증서 사용 의무화(2005. 11.)까지 공인인증서 사용 범위를 확대하기 위해 의무화 조치가 실시되었다. 이런 정부의 정책 추진에 따라 2005년에 공인인증서 발급 누적이 1,100만 건 이상으로 확대되었다.

하지만 2005년 인터넷뱅킹 첫 해킹 사고가 발생하면서 보안에 대한 우려가 제기되자 금융감독원에서는 OTP, HSM의 사용을 장려하고 본인인증 수단에 따라 보안 등급을 설정하여 거래 한도를 차등화했고, 이후 2007년에 이를 보완하여 거래 한도 및 이용 수단을 일부 조정하여 시행하고 있다. 

 

2.3 공인인증서 이슈 점화

2009년 11월 아이폰 발매와 동시에 스마트폰의 수요와 공급이 폭발적으로 증가하며 인터넷 사용자 환경이 PC에서 스마트폰으로 급격하게 이동하기 시작했다. 이제 사용자는 내 방 PC를 통한 비대면 서비스에서 내 손 스마트폰을 활용한 비대면 서비스를 요구하기 시작했다. 그런데, 여기에 PC 이용 환경에 맞춰 플러그인(ActiveX) 방식의 공인인증서 필수 사용이 걸림돌이 되면서 공인인증서 이슈가 점화되었다. 

공인인증서는 법적으로 온라인 서비스의 본인확인과 전자서명 기능을 갖고 있다. 이러한 공인인증서를 구현하기 위해 마이크로소프트의 ActiveX를 활용하였다. ActiveX는 JAVA에 대항하기 위해 개발한 기술로, 기존 표준 프로그래밍 언어를 이용해서 만든 다양한 응용 프로그램들을 웹 서비스에 연결할 수 있는 기술이다. ActiveX는 기존에 갖고 있는 프로그램 소스를 활용하여 공인인증서를 효율적으로 구현할 수 있게 되었다. 단, ActiveX는 IE와 마이크로소프트의 Windows 운영 체계에서만 활용할 수 있다는 제약이 있었으나 우리나라 PC 및 인터넷 환경에서는 걸림돌이 되지 않았다. 결과적으로 우리나라 공인인증서와 관련한 기술은 ActiveX를 중심으로 확산되었다. 문제는 ActiveX에 대한 보안 취약성을 이유로 마이크로소프트가 사용하지 않을 것을 2006년에 권고하였음에도 불구하고 여전히 ActiveX 중심 공인인증서를 활용해왔다는 점이다. JAVA를 활용한 공인인증서 구현 방법도 제시되었으나 이를 도입하기 위한 비용과 노력이 오히려 비효율이라고 판단하여 ActiveX를 활용을 유지하고자 했다.

그런데 이런 ActiveX 방식 공인인증서가 스마트폰 환경에서는 사용할 수 없다는 문제점이 부각되었다. 결국 정부에서는 공인인증서 의무 사용이 스마트폰 등 새로운 인터넷 환경에 적용하기 어렵고 사용 절차도 복잡하다는 지적에 따라 다른 보안 기술도 병행하여 사용할 수 있도록 공인인증서 의무 사용에 대한 규제를 완화하는 후속 조치를 취하게 된다. 이때부터 공인인증서 이외 새로운 비대면 인증 수단을 활용하는 것에 대한 길이 열렸다고 볼 수 있다. 

실제 스마트폰에서 공인인증서 활용의 불편함과 이로 인한 갈라파고스化를 제기하면서 공인인증서를 폐지하자는 주장도 나왔다. 또한, 스마트폰 활용과 접목하여 차세대 인증 기술을 개발하고 이를 토대로 사용자 편의성을 확보한 온라인 비대면 인증 방식에 대한 개발을 요청하기도 하였다. 이에 금융감독원에서는 2011년 1월 온라인 비대면 인증 방법에 대한 기술 평가를 제시하고 기준에 도달할 경우 공인인증서와 동일한 지위를 보장하려고 하였으나 현재까지 공인인증서 수준의 인증 방식을 제시하지 못하고 있다. 

결국 스마트폰 확산에 따른 모바일 환경에 부합하는 온라인 비대면 인증도 일부 규제를 완화하는 수준에서 공인인증서를 모바일에서 활용할 수 있는 방식으로 일단락이 되었다. 그리고 2012년 1월 이후 발급한 공인인증서는 기존 공인인증서보다 강화된 알고리즘이 반영되어 보안성을 더욱 높이면서 공인인증서 중심으로 온라인 비대면 인증의 완성도를 높여가는 궤적(trajectory)으로 기술 성숙도를 높여가게 된다.

 

2.4 공인인증서 의무 사용 폐지

2014년 3월 소위 ‘천송이 코트’³ 문제가 이슈가 되기 시작한다. <별에서 온 그대>라는 드라마 인기가 높아 지면서 중국에서도 직접 구매(직구) 형태로 국내 전자상거래 사이트에서 ‘천송이 코트’를 구매하고자 하는데 공인인증서를 발급할 수 없는 해외 사용자는 결국 직접 구매를 할 수 없다는 결론이 나면서 공인인증서가 규제가 되어 해당 산업의 발전을 저해한다는 논란이 발생하였다. 공인인증서는 국내 온라인 비대면 서비스 활성화를 위한 안정적인 제도적 장치였다는 점에서 위의 논란은 다르게 해석할 수도 있었지만 공인인증서 사용에 대해 대응이 필요하게 되었다. 

3. 천송이 코트 : 2014년 3월 대통령 주재 규제개혁 장관회의에서 해외 소비자가 불편없이 국내 온라인 소핑몰 이용이 필요함을 제기하면서 ‘천송이 코트’ 중국 구매 불가 이슈가 제기

이에 정부는 2014년 8월 전자상거래에서 30만원 이상 결제 시 공인인증서 의무 사용을 폐지하면서 전자상거래 영역에서 공인인증서는 온라인 비대면 인증의 하나의 방식으로 그 지위가 변경되게 된다. 또한, 2015년 3월에 금융위원회에서 인터넷뱅킹에 공인인증서 의무 사용을 폐지하게 된다. 그리고 『전자서명법』 개정에 따라 공인인증 이외 법적 근거가 없었던 사설인증도 당사자간의 약정에 따라 서명, 서명날인 또는 기명날인으로 효력을 가질 수 있게 되었다. 이제 공인인증서와 사설인증서가 온라인 비대면 인증 시장에서 상호 경쟁할 수 있는 환경이 만들어지게 되었다. 

그러나 사용자 입장에서는 그 변화를 체감하기는 어려웠다. 물론, 전자상거래 분야에서는 해외 소비자의 직접 구매 촉진을 위해서 공인인증서 이외 대체 인증 방식을 비교적 적극적으로 수용하여 활용하고 있다. 카카오뱅크도 거래안정성과 사용편의성을 보장하는 사설인증 방식을 전면으로 내세워 모바일 환경에 집중, 간소화를 통해 경쟁력을 확보하고자 노력하고 있다. 

하지만, 공공에서는 공인인증서를 중심으로 하는 기존 비대면 행정서비스를 그대로 유지하고 있다. 여기에는 정부가 보증하고 있는 공인인증서를 굳이 배제하고 새로운 인증 방식을 활용하는 것은 명분이 없다는 이유가 작용하였다. 다만, 공인인증서를 활용하기 위해 프로그램을 별도 설치해야하는 사용자 불편을 최소화하기 위한 non-ActiveX 형태로 전환되고 있다. 이런 이유로 공인인증서 발급 누적 건수는 2013년 3,000만 건을 넘어섰고 2019년 8월 현재 4,100만 건 이상 발급되었다.

 

2.5 다시 시작하는 온라인 비대면 인증 시대: 보증에서 인허가로

공인인증서가 갖고 있는 최대 강점은 정부가 보증을 하는 온라인 비대면 인증 방식이라는 것이다. 지난 21년간 공인인증서의 안정적인 테두리에서 온라인 비대면 서비스는 비약적으로 성장하였다. 하지만 이러한 공인인증서는 다양한 온라인 비대면 인증 기술, 서비스 발전에 제약이 되었다. 이에 과학기술정통부에서 2018년 3월 『전자서명법』 전부개정안을 발의하여 공인인증서 제도 폐지를 추진하여 지난 20대 국회 마지막에 이를 통과시켰다. 이제 정부가 보증하는 공인인증서는 역사의 한 페이지가 되었다.

공인인증서 제도는 폐지되었으나 신뢰할 수 있는 온라인 비대면 인증 방식에 대한 필요성에 따라 정부에서 보증하는 방법에서 민간 전문기관을 통한 전자서명인증업무 평가제를 도입하여 인허가 방식으로 전환하게 되었다. 또한, 특정 전자서명 수단이 필요할 경우 법률, 대통령령 등 상위 법령에 근거를 두도록 하여 하위 법령, 고시 등으로 전자서명 수단을 제한하는 것을 통제하였다. 이제 온라인 비대면 서비스 제공자는 경쟁력을 확보한 온라인 비대면 인증 방식을 채택하여 관련 서비스 경쟁력을 강화할 수 있는 길이 열렸다.

공인인증서 시대에 대한 평가는 제각기 다양할 것으로 예상된다. 그러나 지난 21년간 우리나라 인터넷 기반 비대면 서비스 발전, 확장에 기여한 점에 대해서는 공통된 시각을 가질 것으로 보여진다. 공인인증서 기반 온라인 비대면 인증 방식은 앞으로 다가올 자율 인증 시대에 갖춰야 할 사항, 경쟁력을 확보해야 할 사항이 무엇인지에 대한 바로미터가 될 것이다. 일부 언론에서 ‘적폐’라는 자극적인 단어를 사용하는 것은 그동안 공인인증서가 갖고 있었던 순(純)기능에 대한 지나친 평가 절하라고 생각한다. 결론적으로 온라인 비대면 인증에 새로운 시대 즉, 자율 인증의 시대가 다가오고 있다. 과연, 이 시대는 어떻게 전개될 것이며, 새로운 시대의 주인공은 누가 될 것인가?