한편 공인인증서의 활용을 의무화할지는 규제와 정책 차원에서 생각할 문제입니다. 전자결제를 진행할 때 통신 보안, 본인 인증, 전자서명의 각 단계에서 어느 정도까지 보안을 적용할지가 핵심입니다. 일반적으로 서비스 제공자와 통신 단계에서는 흔히 SSL이라고 하는 구간 암호화를 주로 사용합니다. 본인 인증을 할 때는 휴대폰 인증, 아이핀 인증, 카드 소유자 인증 등 다양한 방식을 사용하지요. 그런 다음 ‘공증’과 같은 절차인 전자서명(부인 방지)을 수행할지 아닐지를 선택하는 것입니다.11
현재 공인인증서 제도를 전 세계적으로 활용하고 있지는 않습니다. 하지만 미국은 본인 확인이 중요한 정부기관에서는 공인 인증 기술을 사용합니다. 공개 키 기반 아래 편하게 본인 확인이 되는 상황에 적용하거나 매우 중요한 인증(인감증명서를 떼서 제출할 만큼 중요한 사안)에 사용하기도 합니다. 또 에스토니아처럼 IT 기술이 발전했고 인구가 적은 국가에서는 공인 인증 기술을 사용하여 전 국민을 대상으로 각 분야의 인증 시스템을 하나로 통합하기도 합니다. 물론 초기 투자 비용은 많이 들겠지요. 하지만 본인 확인을 포함하여 안전한 IT 시스템을 설계하고 구축할 때 공인인증서 같은 시스템, 즉 공개 키 암호 기술을 사용하고 인프라를 활용하는 시스템만큼 발전된 형태도 없습니다.
어떤 보안 원천 기술도 그 자체만으로 안전성을 보장하지는 않습니다. 자물쇠만 있다고 보안이 완성되지는 않기 때문이지요. 원천 기술을 융합하여 현실에 적합하게 적용하는 단계가 모두 보안에 해당됩니다.12 공인인증서 관련 시스템도 운영 절차를 잘 설계했을 때 더욱 빛을 발합니다. 운영에 따른 문제점이 있다고 해서 공인 인증 기술의 안전성을 부정하거나 공인인증서 관련 시스템 무용론을 주장하는 것은 보안 관점에서 올바른 방향은 아닐 것입니다.
11 본인 인증 또는 본인 확인만 해도 되는 상황에서 공인인증서를 이용한 전자서명까지 강제하는 것은 신분증 제시와 대면 확인으로 충분한데도 인감증명서를 요구하는 것과 같습니다. 예를 들어 ‘마트에서 물건을 구입할 때 인감증명서를 제출하는 것과 같습니다.
12 보안과 관계없는 입장에서는 자칫 ‘보안 기술’과 ‘구현 방법’을 하나로 받아들이기 쉽습니다. 하지만 원천 기술과 그 적용 및 운영 방법을 명확히 구분하는 것은 보안을 제대로 수행하는 기본 중의 기본입니다.