더북(TheBook)

| 해커가 노리는 공인인증서 저장소 |

공인인증서는 불필요한 기술이라고 주장하는 사람도 있습니다. 해외 쇼핑몰에서 실제로 카드 결제를 해 보면 알겠지만, 신용카드 번호, 유효기간, CVC 번호만으로도 대부분 결제가 가능합니다. 공인인증서를 사용하지 않고 구간 암호화만으로 보안을 수행하기 때문이지요. 심지어 카드 소유자가 맞는지 본인 인증조차 하지 않을 때도 많습니다.8 이런 구조는 사안에 따라 책임 소재를 명백히 규명할 수 있다는 장점이 있습니다. 일반적으로 카드를 도용 당했을 때는 카드를 분실한 개인이 책임을 지지만, 통신 과정에서 어떤 문제가 발생하거나 정보 유출 사고가 있었다면 카드사(보안 업체)가 책임을 지는 것이지요.

 

하지만 우리나라는 구조가 다릅니다. 전자결제를 할 때 사용하는 공인인증서가 부인 방지(본인의 행위를 부인할 수 없도록 증거를 남기는 인증) 기능까지 제공하다 보니 은행의 책임은 지나치게 덜어 주고 개인에게 모든 책임을 전가하는 것이 아니냐는 비판도 있습니다.9 예를 들어 외국에서는 눈에 띄게 비정상적인 거래가 발생하면 카드 번호나 기타 정보를 올바르게 입력해도 ‘도용이 의심된다면 은행이 거래를 정지시켜야 한다’는 의무를 은행에 부과할 수 있습니다. 하지만 공인인증서는 개인의 전자서명으로 ‘확실히 내가 한 행위야’라고 입증하는 셈이어서 금융 사고가 발생해도 은행에 면죄부를 줄 때가 많습니다.

 

 


8 이는 전자거래의 각 단계에서 어느 수준까지 보안을 적용할지 문제입니다. 전자거래는 크게 통신 보안, 본인 인증, 전자서명 세 단계로 진행합니다. 각 단계의 보안은 뒤에서 설명합니다.

9 전자서명은 행위자를 특정하게 만들기에 부인 방지 기능을 수반합니다. 전자금융감독규정에 따르면, 전자결제를 할 때는 반드시 공인인증서를 사용해야 합니다. 따라서 모든 전자결제는 ‘결제 당사자의 행위’로 추정하고, 사고가 발생하면 서비스 제공자는 상대적으로 가벼운 책임을 집니다(앞에서 언급했던 ‘코트 사건’으로 공인인증서 사용 의무화 규정은 폐지되었습니다).

신간 소식 구독하기
뉴스레터에 가입하시고 이메일로 신간 소식을 받아 보세요.