공인인증서 탄생의 기원, 그 노력의 연대기.

순간순간 최선을 다하다 보니 이런 결과가 나왔다.

비(非) 인터넷 익스플로러 인구가 꾸준히 증가하고 있음에도 불구하고 아직까지 정부 및 공공기관 사이트는 공인인증서를 요구하고 있다. 2주 전 연말 정산이 필요하다는 안내를 받고 국세청 홈페이지를 접속하는데 아니나 다를까 공인인증서가 필요하단다. 그날 하루 “대체 요즘 세상이 어떤 세상인데 아직까지…”라는 분노 와탄 식이 사무실 곳곳에서 들려왔다. 직원들 대부분이 맥을 쓰고 있었기 때문에... 윈도우즈가 깔려있는 공용 PC 앞에는 공인인증서 USB를 손에 꼭 쥐고 순서를 기다리는 행렬이 늘어섰다. 도대체 이 공인인증서라는 악마는 누가 만들어 낸 것인가? 어떠한 이유로, 누가, 어떻게 만들었는지는 자세히는 모르지만 어렴풋이 얼마 전 ‘천송이 코트’ 이슈로 입에 오르내렸던 기억만 난다. 그만 큼 익숙해졌지만 여전히 불편한 공인 인증서. 그 근원을 따라 올라가 보자.

미국의 무역 장벽

짐작할 수 있겠지만, 세계에서 보안 관련 기술을 가장 많이 확보하고 있는 나라는 미국이다. 보안과 관련된 표준을 선도하는 것도 미국이다. 그것도 매우 독보적으로... Diffie와 Hellman교수가 소개한 공개키 암호화와 전자서명이라는 아이디어도 미국에서 소개되었고, MIT 동창이던 Rivest, Shamir, Adelman은 유명한 RSA라는 공개키 암호화 규약을 만들기도 하였다. (RSA는 이들 이름의 첫 글자에서 따왔다.) 이 외에 보안 바닥을 주름잡는 수많은 기술들이 미국에서 발명되었다. 그렇게 미국이 남긴 수많은 암호학 족적 중에서 -공인인증서의 기원을 따라가다 보면- 1975년 IBM이 만든 루시퍼(Lucifer)라는 녀석이 등장한다. 대칭키 암호 알고리즘이던 Lucifer는 당대에 가장 강력한 암호 체계 중 하나였다. 이 Lucifer를 NSA(국가안보국)에서 가져다가 발전시켜 DES(Data Encryption Standard)를 만들었고 이는 미국의 암호 표준이 된다. DES는 성능 좋은 컴퓨터가 귀했던 70~80년대에는 난공불락으로 여겨지기도 했다. 하지만 컴퓨터의 성능이 비약적으로 발전하면서 보다 강력한 암호 체계가 필요하게 되었고 미국은 DES 이후 3-DES, AES(Advanced EncryptionStandard)를 개발하여 표준으로 삼는다.

오늘날 유무선 공유기의 보안 설정 메뉴 - DES의 개선형인 3-DES의 암호화/복호화 속도가 느린 것을 개선한 AES는 현재까지 널리 쓰이고 있는 암호화 기술이다.

미국의 눈이라 불리는 NSA는 미국의 정보 방패 역할도 했다. 전 세계에서 가장 많은 수학자를 고용하는 조직으로도 알려져 있는 NSA가 만든 암호 기술들은 미국의 주요한 자산이었다. 미국은 이러한 암호 기술들이 다른 나라에 의해 사용되는 것이 싫었다. 많이 사용되면 될수록 쉽게 공략할 수 있는 것이 암호 기술들의 특징이기 때문이었다. 그래서 미국은 자국의 암호 표준을 일부만 공개하기로 했다. 암호키의 길이가 짧아 보안성이 취약한 기술은 다른 나라에 공개했지만 암호키의 길이가 긴 암호 기술은 감추었다. 이러한 보호 조치는 2000년대 초반까지 지속되었다. 수출 금지법(Export Restriction on International Sales)에 명시되어 국외로의 반출이 원천적으로 차단되었다. 그 결과 인터넷 브라우저를 사용할 때, 미국이 아닌 지역에서는 128bit키를 사용하는 강력한 암호화 기능이 차단되었다. 오로지 미국에서만 이 기능을 사용할 수 있었다. 그 외의 국가에서는 40bit/56bit 길이의 키만 허용할 수 있을 뿐이었다.

시작된 ‘이가 없으면 잇몸으로’

한국 정부는 이 상황을 두고 볼 수만은 없었다. 온라인 금융과 온라인 쇼핑이 시작되는 90년대 후반 하루빨리 강력한 암호화 체계를 구축해야만 했다. 하지만 가장 강력하다 알려진 암호화 기술들은 대부분 미국이 독점한 상황이었기 때문에 다른 방안을 강구해야만 했다. 미국이 선심 쓰듯 공개한 40bit/56bit 암호화는 사용할 수가 없었다. 당시의 PC 성능으로도 몇 시간 정도면 깨어졌기 때문이다. 따라서 이 시스템으로 인터넷 뱅킹이나 온라인 쇼핑 체계를 만들게 되면 단순 보안사고가 발생하는 것이 아니라 사회적 혼란이 야기될 것이 불 보듯 뻔했다. 그리하여 독자적으로 한국형 암호 알고리즘을 개발하기 시작하였다. 한국형 윈도우즈, 한국형 닌텐도, 한국형 알파고와는 달랐다. ‘우리도 한번 해보자’의 느낌이 아니라 미국에 의해 암호 기술이 독점된 상황에서 안전한 인터넷 생태를 구축하기 위한 절실한 필요성 때문에 시작된 프로젝트였다.

KISA, 당시 한국정보보호진흥원(현 한국인터넷진흥원)은 한국형 암호 시스템 개발에 착수하였다. 1999년 KISA는 DES나 AES와 비슷한 형태의 암호화 기술을 적용한 SEED를 개발해냈다. 128bit길이의 키를 사용하여 미국의 기술과 견주어도 손색이 없는 기술이었다. 같은 해 정부는 이 강력한 기술을 염두 해 전자서명법을 발의하였고 2년 뒤 2001년 해당 법의 효력이 발효되게 된다. 이 법에는 안전한 금융 거래를 위한 공인인증서 사용에 대한 내 용도 담고 있는데 이 공인인증서가 우리가 아는 그것이다. 어쨌든 안전한 전자 금융과 거래를 위한 기술과 제도가 모두 갖춰진 것이다.

ActiveX, 사슬의 등장

안전한 보안 기술, 안전한 거래를 위한 법령 등 많은 것이 우리의 손으로 갖춰졌다. 당시에는 자체적인 보안 기술을 갖추지 못해 전전긍긍하던 나라들도 많았는데 자체적인 공공 보안 인프라를 구축한 것이 매우 긍정적이라는 평가도 많았다. 실제로 전자 금융과 온라인 쇼핑, 전자정부가 우리의 삶 속에서 정착되는데 이 기술과 제도가 큰 기여를 한 것도 사실이다. 안정성, 신뢰성 제법 높아서 국민 대다수가 믿고 쓸 수 있었다. 단 편의성이 지독히 떨어진다는 점이 문제였다.

앞서 이야기한 한국형 암호 체계 SEED는 표준 기술이 아니었다. 한국 내에서만 사용되는 기술이었기 때문에 웹 표준(W3C)에 맞지 않았다. 즉, 아무 웹브라우저에서나 사용될 수 있는 기술이 아니었다. 인터넷 환경에서 SEED를 사용하기 위해서는 별도의 프로그램을 써야만 했다. 안전한 거래를 위해서 전 국민이 PC에 보안 프로그램을 깔아야 한다는 것이었다. 그나마 사용자 편의를 생각해서 웹 브라우저에서 제공하는 설치 프로그램인 플러그인으로 제공하기로 했는데… 문제는 이것이 그렇게 편하지 않다는 것이었다.

플러그인의 종류는 다양하다. 브라우저와 상관없이 동작하는 JAVA나 플래시 같은 플러그인도 있다. 반면 인터넷 브라우저에서 제공하는 플러그인도 있다. 당시 우리나라는 마이크로소프트 윈도우즈 이용률이 절대적이었다. 그에 따라 인터넷 브라우저 시장도 마이크로소프트의 IE(InternetExplorer, 인터넷 익스플로러)가 독식했다. 인터넷 익스플로러도 자체 플러그인을 제공했는데 그 플러그인의 이름이 바로 ActiveX다. 인터넷 익스플로러의 플러그인이니 인터넷 익스플로러에서만 동작한다는 단점이 있었지만 개발 편의성, 실행 속도, 보안성에서는 JAVA플래시를 능가했다. 다른 브라우저에서 사용이 안되고 프로그램이 사용자의 동의 없이 마구 깔려 버린다는 치명적인 단점이 있었지만, 보안성과 성능 등의 이유로 채택되었다. 당시로써는 최선이라 생각되었던 전략이었다. 그렇게 ActiveX라는 사슬은 우리의 삶에 채워졌다.

전국민이 익숙한 짜증 유발 페이지

미국의 무역 장벽이 걷힌 후에

지금은 미국이 수출 금지품목에서 DES와 같은 암호 기술을 제외한 상태이다. 지금은 어느 나라든지 브라우저에 있는 128bit 암호 체계를 사용할 수 있게 되었다. 즉, 공인인증서가 없이도 인터넷 뱅킹이나 온라인 쇼핑을 할 수 있게 되었다는 것이다. 실제로 모바일 쇼핑이나 새롭게 등장한 핀테크 서비스들이 중심이 되어 점차 공인인증서를 걷어내고 있다. 하지만 아직도 많은 은행과 온라인 쇼핑몰, 공공기관 홈페이지에서는 공인인증서 사용을 고집하고 있다. (그냥 명맥을 유지하는 것이 아니라 2012년에는 보안성이 강화된 새로운 공인인증 시스템으로 업그레이드되었다.) 왜 아직도 공인인증서의 흔적은 지워지지 않는 걸까?

공인인증서와 관련된 주체를 보자. 크게 이용자, 사업자, 정부가 될 것이다. 만일 공인인증서가 사라진다고 했을 때, 이들 주체 중에서 이득을 보는 사람은 누가 될 것인가 생각해보자. 그러면 왜 공인인증서의 퇴장이 왜 이토록  더디게 이루어지는지 추측해 볼 수 있다.

이용자

이용자는 말할 것도 없이 공인인증서가 사라질 경우 이득을 보는 주체이다. 일각에서는 공인인증서가 사라지면 보안 안정성이 떨어져 결국 이용자들의 피해도 발생할 것이라는 분석도 있다. 즉, 공인인증서가 인터넷 금융 및 거래에 있어서 절대적인 안정성을 보장하고 있고 다른 기술로는 대체가 어렵다는 것. 과연 그럴까? 그에 대한 답으로 대한민국을 제외한 많은 나라들이 어떻게 하고 있는지 살펴보자. 다른 나라에서는 어떻게 공인인증서 없이 온라인 결제나 송금 등이 이루어지는지 말이다. 미국의 은행들은 OTP(One Time Password)와 사용자 비밀번호와 이미지 선택하기 [1]를 통해 안전성을 보장한다. 유럽의 은행은 ActiveX가 아닌 플래시로 보안 플러그인을 제공하여 브라우저 종속성을 없앴다. 지문 인식 PC가 등장함에 따라 지문을 로그인 수단으로 사용하기도 한다. 이렇듯 사업자들이 나름의 방식으로 사용자들의 편의와 보안성이 양립할 수 있도록 노력하고 있다. 모든 방식을 다 사용해 본 것은 아니지만 언뜻 봐도 우리의 공인인증서보다는 편리해 보인다.

정부

정부 측을 보자. 정부가 공인인증서를 전자거래의 필수요소로 만들면서 이와 관련된 새로운 생태계가 생겼다. 말하자면 공인인증서로 먹고 사는 사람들의 수가 늘어났다는 이야기다. 제도와 규제를 담당하는 부처와 기관이 생겨났다. 또, 가이드라인을 제시하고 그 가이드라인에 맞는 제품들을 생산하고 그것을 또 인증하는 업이 만들어졌다. 이렇게 정부 중심의 산업이 형성되면서 자연스레 공인인증서를 중심으로 한 이해(利害)가 탄생하게 된다. 일반적으로 이렇게 만들어진 산업은 외력이 아닌 내력으로 그 틀을 무너뜨리기란 불가능에 가깝다.

기업

사업자들은 공인인증서 때문에 두 가지 측면에서 이득을 보았다. 면죄부로 써의 공인인증서와 진입장벽으로써 공인인증서.

공인인증서는 기업들에게는 일종의 면죄부였다. 가이드라인이 너무 강력해서 대부분의 사업자들은 해당 가이드라인을 지키는 것 이상을 하기가 어려웠다. 정부 역시 공인인증서라는 기준을 지키기만 하면 OK라는 입장이었다. 더 편리하고 안전한 인증방법이 있을 수도 있는데 기업들은 공인인증서 기준에 맞춰 시스템을 구성해 나갔다. 정부의 규제가 기업의 혁신 동기를 제거하였다.

그리고 공인 인증서는 일종의 진입 장벽이었다. 해외 기업들이 한국에 온라인 서비스를 출시하거나 할 때 이들 기업들은 허가와 인증, 시스템 구축이라는 과정을 거쳐야만 했다. 그러다 보니 한국의 규제와 시스템에 익숙한 한국의 기업체들과 보안 사업자들은 공인인증서라는 방패를 들어 해외 사업자의 진입을 방어할 수 있었다. 한 때 미국의 무역 장벽을 넘기 위해 만들었던 공인인증서가 아이러니하게도 공인인증서 생태계의 이해관계자들의 우위를 지키는 방패가 되었던 것이다.

석유와 격벽

최근 핀테크 스타트업들이 출연하고 카카오와 네이버 등의 중견 기업들도 이런 흐름에 동참하면서 공인인증서 시대는 저물어 가는 듯 보인다. 은행과 전자정부 등 강한 규제의 영역에서는 아직 공인인증서가 건재함을 과시하고 있지만, 온라인 쇼핑에서는 이제 공인인증서를 찾아보기가 어렵다. 변화의 흐름은 완연하다. 새로운 시대의 등장이 다가오고 어쩌면 새로운 형태의 규제가 탄생할지도 모른다. 새로운 판에서도 기존의 헤게모니를 유지하고 싶어 하는 사람들은 있기 마련이기 때문에.

규제는 꼭 필요하다. 규제의 전면적 철폐는 현실적이지 못하다. 하지만 과거 공인인증서에서 볼 수 있는 것처럼 지나치게 강한 가이드라인은 시장의 혁신을 저해할 수 있다.

규제 찬성론자 조지 소로스는 이런 비유를 들었다.

“규제는 거대한 탱크로리를 침몰하지 않게 만드는 격벽과 같습니다. 유조선 내부가 하나의 큰 탱크로 되어있다면, 출렁이는 원유 때문에 금세 균형을 잃어 침몰하고 말죠. 하지만 격벽은 원유의 출렁임을 막아 안정적으로 항해할 수 있게 해준다.”

한국에는 투기꾼 정도로 알려진 조지 소로스, 의외로 규제 찬성하는 입장이다. 규제를 이용해서 돈을 버니까 그렇겠지!라는 비판도 많다. 진보적 경제인으로 분류된다.

비슷한 비유로, 너무 촘촘한 격벽은 유조선에 실어야 할 석유의 양이 줄어들 게 만들 것이다. 규제(격벽) 자체에 집중하다 정작 실어 날라야 하는 혁신(원유)을 충분히 싣지 못하고 만다. 중요한 것은 격벽의 개수를 정할 때 어느 한 분야의 사람들의 의중이 전적으로 반영되면 안 된다는 것은 아닐까. 공인인증서는, 근원을 거슬러 올라가면, 무역 장벽으로 인해 처한 어려운 환경을 최선을 다해 해쳐 나간 결과물이다. 안전한 인터넷 환경을 만드는데 기여한 공로가 많다는 것도 부정할 수 없다. 하지만 구성원 모두의 의사가 자유롭게 반영되기보다는 소수의 전문가 집단에 의해 판이 만들어져 버린 것은 아닐까. 보다 유연한 생태계였으면 하는 아쉬움이 남는다.

      

[1] 사진 선택하기는 미리 사용자가 선택한 종류의 이미지를 선택하게끔 함으로써 본인 확인을 진행하는 프로세스. 만일 사용자가 미리 ‘나무’라는 이미지를 지정해 놓았다면, 다른 이미지(나무가 아닌 바위, 동물 등) 속에 있는 나무를 선택한다. 사용자가 로그인할 때마다 사진의 모양이 매번 바뀌기 때문에 보안성이 제법 높은 편에 속한다.