공인인증서는 왜 널리 사용되어 왔고 앞으로 어떤 변화가 있을까?
요약
1. 2020년 12월 전자서명법 개정안 시행으로 공인인증서의 우월한 법률적 효력이 폐지되었는데 그간 락인(Lock-In) 효과, 법률적 추정력, 타 제도를 통한 사용 강제의 이유로 공인인증서는 사회 인프라로 자리 매김 하였음.
2. 인증/서명 방식의 변화가 금융서비스와 프로덕트 자체에 가져올 변화의 영향은 크지 않을 것으로 보이나 일부 저관여 금융상품 거래는 금융기관의 판매채널 종속성을 가속화시킬 가능성이 있음.
3. 공동인증서는 여전히 널리 사용될 것이고 향후 과거 공인인증서가 가진 지위에 버금가는 인증서는 출현하기 어려워 보이며 기업용 공인인증서에 대한 시장은 새로운 개척 대상이 될 수 있음.
최근 전자서명법 개정에 따른 공인인증서 폐지와 전자인증 시장의 경쟁이 많은 언론에 보도되고 있다. 단어만 놓고 보면 공인인증서는 앞으로 사용이 불가능한 것 같아 보이지만 좀 더 자유로운 인증시장의 경쟁을 촉진시킬 수 있도록 공인전자서명의 우월한 법적 효력을 폐지하는 것이 골자인 만큼 '공인인증서 폐지' 보다는 인증서의 '공인 방식을 폐지하는 것'에 가깝다고 볼 수 있다. 시장은 금번 법률안 개정에 앞서 2018년 1월 금융위원회의 정책 발표 시기부터 신속하게 대응을 해 왔는데 이 시점을 전후로 플랫폼 기업, 통신사, 금융기관 등이 앞다투어 관련 사업에 뛰어들고 있다.
공인인증서는 1999년 제정된 전자서명법에 기반하여 법률적으로 '공인'이라는 지위를 득한 인증서로 2000년대 인터넷의 폭발적 보급과 더불어 행정, 금융, 상거래 등의 비대면화에 많은 이바지를 하여 왔다. 하지만 세월이 지나며 별도 보안 솔루션이나 플러그인 설치, 소액결제 시의 불편함, 타기관 등록, 갱신 및 재발급 절차의 어려움, 특정 OS나 브라우저에 종속되는 문제점 등과 같은 각종 구설수(?)에 휩싸이며 구시대의 산물 취급을 받기 시작했다.
서두에 언급했듯이 공인증서는 대한민국에서 비대면 거래라는 것이 등장하기 시작한 시점부터 사용자들에게 제공된 거의 유일한 인증수단으로, 이미 오랜 시간 널리 보급되어 사용처와 사용자 모두 락인이 심하게 되어 있는 상황이다. 처음에는 법률적인 공인 지위 부여로 사용되기 시작했으나 한번 널리 퍼져 이미 인프라화 되어 버린 공인인증서를 단숨에 대체하긴 어려워진 상태가 되었다고 볼 수 있다.
물론 아무리 락인 효과가 강하더라도 불편함이 심하다면 아직까지 널리 사용되고 있지는 않을 것이다. 공인인증서가 비록 불편함의 상징처럼 회자되어 왔지만 뒤돌아보면 최근 약 5년간에 걸쳐 액티브X와 같은 별도 플러그인 설치를 하지 않아도 되거나 웹 표준 환경에서 사용 가능한 식으로 사용성의 개선이 지속적으로 이루어져 왔다. 또한 생체인증과 같은 편리한 인증/서명 방식이 널리 보급되면서 소액 결제/이체와 같은 거래에 있어서는 공인인증서를 사용하지 않는 추세가 되었고(혹은 공인인증서의 '비밀번호'를 사용하지 않고 생체인증 정보를 연동하는) 결과적으로 공인인증서가 '못 쓸 정도는 아닌' 상태가 되었다.
요약하자면 이미 널리 퍼지고 점진적인 사용성 개선과 일부 대체 인증방식이 등장하면서 굳이 공인인증서를 사용하지 않아야 할 필요성이 줄어들었다고 볼 수 있다.
개정 전 전자서명법은 공인인증서를 사용한 전자서명을 공인전자서명으로 정의하고 다음과 같이 추정력을 부여하고 있는데 이는 공인인증서가 기존에 가져온 대표적인 우월적 지위 중 하나이다.
제3조(전자서명의 효력 등)
② 공인전자서명이 있는 경우에는 당해 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 당해 전자문서가 전자서명된 후 그 내용이 변경되지 아니하였다고 추정한다.
물론 이러한 조항이 있다 하여 가입자 본인이 서명한 사실이 없는 금융거래와 같은 보안사고에 대해 무조건 책임을 지는 것은 아니다. 보안 사고가 발생할 경우 전자서명법 이외에 다른 관계 법률과 함께 사안을 살펴본 후 책임 소재와 범위가 결정되는 것이 일반적이다. 예를 들어 공인인증서가 해킹으로 탈취된 상황에서 제 3자가 고액 이체를 한 경우 전자금융거래법에 기반한 이용자 고의/중과실 여부, 사고 책임 부담 범위를 어떤 방식으로 약정서 또는 약관에 반영하였는지 등을 종합적으로 판단해야 한다.
다만 그럼에도 불구하고 사용처 입장에서 추정력의 유/무는 이용자의 고의/중과실에 대한 입증 책임, 법률적 다툼에 대한 유/불리, 보안 관련 인적/물적 사전 투자, 업무 담당자의 책임 소재 등 여러 가지 부분에 영향을 줄 수 있기 때문에 가급적 기존에 하던 방식을 유지하는 것이 더 유리한 선택이 되었다고 볼 수 있다.
공인인증서가 널리 사용된 또 다른 이유 중 하나는 타 법률, 규정, 약관 등에서 인증수단을 공인인증서로 명시한 경우가 많았기 때문이다. 대표적인 포지티브 방식의 규제라고 볼 수 있고 금번 개정안에서는 신규 조항을 삽입 함으로써 이러한 문제를 해결하였는데 이에 따라 공인인증서 이외에 다양한 인증서를 제도적으로 사용할 수 있는 길이 열리게 되었다.
(사례) 전자정부법 부칙 (출처: 국가법령정보센터)
제7조(다른 법률의 개정) ①부터 ⑭까지 생략
⑮ 전자정부법 일부를 다음과 같이 개정한다.
제10조 중 “「전자서명법」 제2조제3호에 따른 공인전자서명(이하 "공인전자서명"이라 한다)"을 "「전자서명법」 제2조제2호에 따른 전자서명(서명자의 실지명의를 확인할 수 있는 것을 말한다. 이하 "전자서명"이라 한다)”으로 한다.
제27조제1항 본문 중 “공인전자서명”을 “전자서명”으로 한다.
제29조제1항 단서 중 “공인전자서명”을 “전자서명”으로 하고, 같은 조 제3항을 다음과 같이 한다.
③ 중앙사무관장기관의 장은 제2항의 인증업무를 수행할 때 행정안전부장관과 협의하여 행정전자서명에 대한 기술표준을 마련하여야 한다.
⑯부터 ㉒까지 생략
금융 서비스 관점에서는 이번 법률 개정이 어떤 변화를 불러올까? 먼저 분야에 관계없이 전자적 인증/서명의 방식은 비대면 거래의 시작과 종결 과정에서 사용자 경험에 직/간접적인 영향을 주고, 때에 따라서는 거래 전환에 결정적인 기여를 하기도 한다. 예를 들어 과거 공인인증서를 의무적으로 사용해야 하던 시절 인터넷 쇼핑을 하며 인증과 결제 과정에 지쳐 다음에 구매해야겠다고 생각했던 경험이 한 번씩들은 있을 것이다. 이런 관점에서 보자면 다양한 인증수단의 출시 및 경쟁은 아직까지 공인인증서가 많이 사용되고 있는 금융분야에서 사용자 편의성을 높이는 계기가 될 것으로 기대된다. 다만, 아래와 같은 이유로 당장의 변화가 아주 크지는 않을 것이다.
먼저 전술하였듯이 단순 계좌조회, 소액이체와 같은 고빈도 금융거래들은 이미 간편 인증/서명 방식이 보편화되어 있는데 새로운 인증사업자들의 인증서를 활용한 인증/서명 방식이 무조건 더 편리하다고 보기는 어렵고, 이러한 이유로 기존 서비스 흐름이나 프로덕트 관점의 변화를 주긴 쉽지 않아 보인다. 반면 저빈도 금융거래들의 경우에는 공인인증서를 대체할 가능성이 있으나 이 역시 최초 발급이라는 허들을 넘어야 하고 만료기간 까지는 공인인증서 사용이 가능하기 때문에 당장의 변화가 크게 일어나진 않을 것으로 보인다. 특히 장기 보험상품 가입이나 주택담보대출과 같이 관여도가 높고 거래기간이 긴 금융상품의 경우, 편의성이 주는 효용이 상품의 선택이나 서비스 이용에 큰 영향을 준다고 볼 수 없기 때문에 그 변화의 속도는 더 더딜 것으로 예상된다. 따라서 이런 저빈도 금융거래들의 경우 기존 금융사들의 채널에 새로운 인증서가 탑재되는 형태로 프로덕트가 개발되지 않을까 싶다.
변화가 크게 예상되는 영역은 저빈도 거래 중 관여도가 낮고 편의성이 중요한 곳으로 신용대출과 같은 상품이 대표적인 예라 할 수 있는데, 카카오뱅크의 신용대출을 이용해 본 사람이라면 거래의 편의성이 주는 힘을 경험적으로 알고 있을 것이다. 당장은 어렵겠지만 만약 금융기관이 아닌 대규모 고객접점을 보유한 플랫폼 사업자가 인증사업을 영위하며 거래의 시작과 종결이 가능한 환경을 구축한다면 금융거래를 위해 현재와 같이 해당 금융사의 앱을 설치할 필요조차 없어질 수도 있다. 금융기관 입장에서는 채널 종속성이 더 커지긴 하지만 이러한 유형의 거래는 차차 자신들의 프로덕트에서 제외하고 외부 플랫폼 업체의 채널을 활용하는 방식으로 변화하는 것도 선택과 집중 측면에서는 하나의 방법일 수 있을 것이다.
특정 인증서가 인프라화 되기 위해서는 사용처와 사용자를 많이 확보해야 하고 사용자 신원 확인과 거래 사실의 부인방지가 확실하도록 기술이나 보안적인 이슈가 없어야 할 것이다. 특히 금번 개정안에는 추정력에 대한 조항이 삭제된 만큼 다양한 사용처에서 신뢰감 있게 사용되기 위해서는 법률적인 이슈에 대한 대응도 적절히 지원되어야 할 것이다.
이런 관점에서 보자면 최초 발급이 필요 없고 비대면 인증/서명과 관련하여 발생 가능한 다양한 문제들에 대한 대응 노하우를 갖춘 기존 인증사업자들이 당장은 유리한 측면이 있어 보인다. 하지만 시간이 흘러 공동인증서의 발급, 갱신, 사용 방식 등 사용자 편의성에 변화가 없는 상태가 지속되거나, 앞서 살펴본 바와 같이 신규 사업자들이 인증서를 기반으로 비대면 금융거래의 관문 역할을 담당하는 등 인증사업과 영위 사업의 시너지를 일으킨다면 그 영향력은 커질 가능성이 높다. 물론 현실적으로 이러한 수준이 되기까지는 여러 가지 장애물들이 많을 것이고 오랜 시간이 필요함은 분명해 보인다.
마지막으로 신규로 인증 사업을 추진하는 사업자들의 경우 모두 개인용 인증서 시장을 공략하고 있는데 기업용 인증서(법인) 시장에 대한 접근도 필요해 보인다. 물론 법인의 경우 실제 물리적으로 존재하는 인격체가 아니기 때문에 본인 확인 절차가 까다롭고 인증서가 잘못 사용될 경우 법인이 입는 피해에 대한 배상책임 등도 고려하여야 하기에 신규 사업자들이 인증사업을 진행하고자 하는 니즈는 떨어질 것으로 보인다. 무엇보다도 현재 신규로 인증사업에 진출한 사업자들이 대부분 개인 대상의 플랫폼향 기업임을 고려하면 당장 법인과 관련한 사업을 시작하는 건 꽤나 큰 투자가 필요한 영역이다. 다만 법인과 사업체는 거래 규모가 개인보다 크고 비대면거래의 필요성은 점점 높아질 가능성이 있기 때문에 미래의 시장을 선점한다는 측면에서는 준비를 해 두는 것이 도움이 될 것으로 생각한다.