공인인증서에 대한 잡상

대한민국에서 인터넷을 이용하여 금전거래를 할 때 인증을 위해 필요한 전자서명으로, X.509 v3 기반으로 인증서를 생성합니다. 전자상거래시 본인만 해당 인증서를 갖고 있고, 본인만 인증서 비밀번호를 알기 때문에 본인임을 인증할 수 있는 전자서명으로 이용이 가능합니다.

공인인증서의 역사는 1999년 전자서명법이 발효되면서 전자정부의 초석을 다지기 위해 11명의 암호학 교수들이 모여서 연구를 시작했습니다. 그러나 연구 도중 두 파벌로 나뉘면서 상공회의소+행정부를 중심으로 한 축과 금융결제원, 은행, 보험등 금융업계로 나뉘게 됩니다. 

이에 따라 전자는 모든 국민의 개인정보를 행정부가 보증하게 되었고, 입찰을 통해 사인 발급자로서 한국정보인증(KICA, Signgate)이 담당하게 되었습니다. 즉, 사인의 보증을 공적 주체가 맡게 됩니다. 반면 후자는 금융결제원(yessign)이 발급 주체가 되었고, 은행, 보험회사들이 보증 주체가 되었습니다. 결국 보증을 사적 주체가 하게 되는 셈입니다. 이 경우 금융 거래만 하는 사람만 금융결제원에 기록이 있으므로 대상이 제한되게 되었습니다.

이는 전자인감이 필요한 공적 증명을 행정부가 맡고, 일반 은행 거래 정도는 금융결제원이 한다는 초기 목표가 있었기 때문에 이뤄진 것인데, 문제는 99년 당시엔 전자서명법은 발효되었어도 전자정부법은 아직 없었습니다. 그래서 '전자인감'이라는 개념은 효력이 없었고, 따라서 전자인감으로 인증서를 발급받을 만한 근거도 없었습니다. 이는 2001년까지 기다리게 됬습니다.

이 과정에서 먼저 범용 인증서가 상공회의소, 전자정부, 학교를 중심으로 사용하게 되었지만 일반 개인 인증서는 커버할 수 있는 부분이 매우 적어졌습니다. 즉, 개인이 결제하는데 인증서를 발급받고자 하면, 사인시 사적 보증을 서주는 은행의 커버 범위로만 한정되는데다, 은행간 연동이 안되었던 것입니다. 이후 타행 인증서를 만듦으로서 서로 연대보증하는 개념으로 이 문제를 해결하긴 했습니다. 이 와중에 은행권에서도 금융결제원(yessign) 자체가 보증을 서는 범용 인증서를 만들었습니다. 2001년 전자정부법이 나오기 전 불과 2년 사이에 아수라장이 되어버린 것입니다.

2001년이 되어서 전자 정부법이 발효되고, 사람들이 대거 공인인증서를 쓰게 되자 불평을 한 건 당연한 일이었으며, 결국 전자서명법이 개정 되었습니다. 오직 정부만 보증 주체가 될 수 있고 보안을 강화시켰습니다. 다만 발급을 대행하는 곳을 한국정보인증(KICA), 한국전자인증(crosscert) 등등 여러 회사로 두게 하였습니다. 개정된 법에 따라 금융결제원(yessign), 은행 및 보험사는 범용인증서를 발급할 수 없게 되었습니다. 이 과정에서 기존의 인증서들은 범용인증서로 이관이 되었습니다.

2012년 1월부터 알고리즘이 강화되어 인증서를 발급/갱신하게 되면 기존의 인증서보다 알고리즘이 강화된 인증서로 교체됬습니다.

공인인증서는 한국 인터넷 환경을 ActiveX 천지로 만들어버린 만악의 근원입니다. 

현재 공인인증서는 개인용으로는 범용 공인인증서와 금융거래용 공인인증서를 받을 수 있습니다. 이 중 범용 공인인증서는 연간 4,400원을 내야 하며 몇몇 웹사이트에서 신원 확인에 이용하거나, 일반적인 온라인 쇼핑몰 등에서도 사용할 수 있는 광범위한 용도를 가지고 있습니다. 금융거래용 공인인증서는 무료인 대신 인터넷 뱅킹과 소액 금융거래 등에서만 쓸 수 있습니다. 이 외에 법인 및 단체용 공인인증서나 특수목적용 공인인증서도 있는데, 이들은 연간 110,000원을 지불해야 합니다.

발급은 전자서명법 제4조의 규정에 의하여 지정된 몇몇 공인인증기관만이 가능하며, 은행, 증권사, 우체국 등 등록대행기관에서도 발급 가능합니다. 발급 절차가 다소 귀찮은데, 신청서를 작성하고 공인기관을 직접 방문하여 번호를 발급받아야 합니다. 한번 신청한 이후엔 해당 기관 홈페이지 등에서 인증서를 다운받아 저장할 수 있으며, 유효기간이 있어 1년마다 갱신해야 합니다.

주로 사용되는 분야는 은행의 인터넷뱅킹, 인터넷 쇼핑몰 실시간 결제 등입니다. 인터넷 뱅킹시 보통은 은행에서 발급해주는 무료 인증서를 쓰지만, 인터넷 쇼핑몰의 경우 꽤나 많은 곳이 범용 인증서를 요구하므로 왠지 돈이 아깝게 여겨지기도 합니다. 상술했듯이 은행에서 발급받은 무료 인증서는 증권사 거래에서 안되고 반대로 증권사에서 발급받은 무료 인증서는 은행에서의 거래가 되지않습니다. 몇몇 정부 사이트에 접속할 때에도 필요한데, 자격증 시험에 응시할 때라든가, 국가 장학금을 신청할 때라든가, 특히 병무청 접속, 예비군 홈페이지 접속 등에도 필수적으로 요구되어 군 입대자들과 예비군들을 귀찮게 하고 있습니다.

전자정부 시스템에서도 공인인증서를 사용합니다. 이쪽은 행정자치부에서 발급하며, 공무원들이 사용합니다. 예전에는 공문에 직접 날인을 했다면, 지금은 공인인증서로 전자서명을 하는 방식입니다.

2014년 박근혜 정권이 "경제 민주화"에서 "규제 완화"로 방향키를 돌리며 첫번째로 지목되었습니다. 박근혜 대통령은 국무회의에서 당시 중국에서 인기를 끌었던 별에서 온 그대에 나온 천송이가 입고나온 코트를 인터넷으로 구매하려는 중국인들이 공인인증서 때문에 옷을 구매하지 못하고 있다고 말하며  공인인증서 제도를 개편할 것을 촉구하기도 했습니다.

ActiveX는 사실상 공인인증서의 가장 결정적인 문제점입니다.

공인인증서를 사용 가능하게 하는 모듈 상당수를 보안업체가 개발하는데 대부분이 ActiveX 기반이며, 사용자에게 관리를 맡긴다는 것이 바로 문제입니다. 공인인증서 기반기술 자체가 액티브X 기반이 아니기 때문에 해외에서 인증기술을 사용하는 국가에서는 플러그인 없는 인증 서비스를 제공하고 있으며, 우리나라에서도 공인인증기관을 중심으로 플러그인 없는 공인인증 서비스를 제공하고 있지만 금융기관 등에서는 방화벽, 가상 키보드 등과 패키지로 액티브X 기반 공인인증 서비스를 제공합니다. 다시 말해 마이크로소프트 사에서 만든 윈도 운영체제에서 인터넷 익스플로러를 이용하지 않고서는 공인인증서를 사용할 수 없는 것처럼 인식되는 경우가 많습니다. 대한민국에서는 대부분의 사람들이 윈도우/IE로 인터넷을 사용하기 때문에 이 문제에 대해 지적하는 사람들은 극소수였으나, 스마트폰 도입 이후로는 언론사에서도 다루기 시작했습니다. 결국 이러한 문제가 지속적으로 제기되어서 현재는 정부에서도 크로스 브라우징 지원 권고가 이루어지고 있으며, Java 애플릿이나 어도비 플래시를 이용하는 결제 시스템이 도입되고 있기는 하지만 아직 이용할 수 있는 곳도 많지 않고 이용 중 문제가 생기는 경우도 종종 발생합니다.

하필 액티브X를 이용하는 이유는 여러가지가 있는데, 첫째는 공인인증서가 처음 나오기 시작할 때에는 SSL(Secure Sockets Layer)로 56비트 암호키만 이용할 수 있었기 때문입니다. 당시 미국에서 수출 제한을 두어 이용할 수 없었기 때문에 당시 최신 브라우저였던 IE 4.0은 40비트 암호화 버전과 128비트 암호화 버전이 있었는데, 해외 다운로드는 40비트 암호화 버전만 가능했습니다. 56비트는 너무 허술했기 때문에 좀 더 복잡하고 안전한 키를 이용하기 위해 독자적인 암호화 방식인 SEED를 이용하였습니다. 그리고 SEED를 웹 브라우저에서 직접 지원하질 않으니 플러그인을 통해서 이용하는 수밖에 없었는데 하필 선택한게 ActiveX였습니다. 이후 미국의 암호화 수출제한은 풀렸으나, 이미 액티브X와 SEED를 이용하는 시스템이 너무 퍼져버렸고 그대로 고착화되었습니다. 또한 다른 브라우저들의 저조한 이용과 기업들의 게으름으로 인해 익스플로러 이외에서 공인인증서를 이용할 수 있는 시스템은 오랫동안 제대로 개발되지 않았습니다.

결국 2010년에 와서야 방송통신위원회에서 액티브X를 퇴출시킬 것이라 발표하면서, 공인인증서를 어떤 방식으로 뜯어고칠 것인가에 대해 관심이 집중되었습니다. 일단 임시방편으로 조금 사용자가 많은 일부 웹 브라우저에서 오픈뱅킹을 시작했고, 스마트폰 전용 뱅킹도 추가되었습니다.

다만 웹 기반 시스템을 실제 금융권에서 찾아보기는 아직 어려운 실정이고, 저 오픈뱅킹이라는 것 상당수가 사실 액티브X와 상당히 유사한 NPAPI에 의존한다는 게 문제입니다. 파이어폭스, 크롬, 사파리 등 IE 제외한 상당수가 NPAPI를 지원했으나 2013년 12월 예정인 크롬을 시작으로 크롬과 파이어폭스에서 지원이 종료되었습니다.

2014년 9월 23일. 금감원에서 전자상거래 결제 간편화를 발표하였으며, 이에 따라 빠르면 2015년부터 대형금융사를 우선으로 액티브X는 사라질 것으로 보인다고 발표하였고 또한 정부는 공인인증서를 HTML5 기반으로 바꾸기 위한 작업도 진행한다고 했습니다. 하지만 은행들이 웹 기반 공인인증서의 보안성을 의심하고 있고 현재까지도, IE7/IE8 등의 구형 웹브라우저까지 지원할 것을 요구하느라 난항을 겪는 상태입니다.