박동오 / 美 인디애나대 사회정보학 박사과정

 
 
 

  누구나 한번쯤은 공인인증서 및 그 기술체계에 대해 불평하며 시간을 보내본 적이 있을 것이다. 온라인 뱅킹을 위해 관련 소프트웨어를 설치하고 몇 번을 재부팅해도 동작하지 않았던 경험으로부터, 왜 해외 쇼핑몰에서는 확장 소프트웨어 하나 없이도 결재가 잘되는지까지 말이다. 지난 몇 년간 공인인증서 체계를 둘러싸고 다양한 방식의 문제가 제기됐고, 이는 주로 ActiveX기술에 집중됐다. 비판들은 마이크로소프트라는 특정 기업의 기술을 정부가 강제해 공정거래를 저해한다는 논의를 넘어 기술의 보안성 자체에 관한 의문, 국내 인터넷 환경을 세계적 기술 환경으로부터 고립시켜 보안환경을 약화시키고 ‘갈라파고스화’하고 있다는 담론으로까지 발전됐다.

  공인인증서 체계의 개선 혹은 폐지를 주장하는 이들은 주로 마이크로소프트마저도 기술적으로 포기한 ActiveX사용을 중단하고 세계표준에 맞는 보안 기술을 도입해야 한다고 주장한다. 한편 공인인증서 체계를 지지하는 사람들은 일련의 문제들이 사용자의 관리 소홀 문제이지 기술의 문제가 아니며, 대체할만한 마땅한 기술이 현재로선 존재하지 않는다고 항변한다. 이처럼 조금만 쪼개어 봐도 질문이 끊임 없이 생겨난다.

  ActiveX에 기반한 공인인증서 체계를 대체할 수 있는 기술은 존재하지 않는 것인가? 혹은 좀처럼 변화를 거부하는 관료들과 이권관계에 얽힌 자들의 음모인가? 기술의 문제인가 제도의 문제인가? 공인인증서 문제의 근본적인 해결은 보다 포괄적인 관점에서 출발해야 한다. ‘미숙한 기술’과 ‘이를 강제하는 권력’의 구도로 보는 것에서 탈피해 기술, 사회, 제도, 문화가 유기적으로 공고히 결합된 사회기술시스템으로 이해하는 것에서 시작해야 한다.


사회기술시스템으로서의 공인인증서 체계


  기술사가 토마스 휴즈는 기술을 기술적 요소만으로 구성된 인공물이 아닌 이와 연관된 정치, 경제, 문화, 조직, 노동의 측면이 결합된 사회기술시스템로 이해해야 한다고 주장한 바 있다. 공인인증서체계의 발전 과정을 살펴보면, 그 기술을 둘러싼 정치적 환경 및 기존의 기반 기술과 결합해 하나의 사회기술시스템으로 발전돼 왔음을 알 수 있다.

  1997년 IMF 외환위기를 정보화 사회의 조기 진입을 통해 극복하려는 노력에 박차를 가하고 있던 즈음, 정부는 공개키 기반구조(Public Key Infrastructure, 이하 PKI)라 불리는 기술체계를 바탕으로 전자상거래 지원을 위한 전자서명의 기술과 제도적 기반을 닦아나가기 시작했다. 당시는 미국 내 암호기술의 수출이 규제되던 시절로, 정부는 독자 개발한 블록 암호화 알고리즘(SEED)을 공인인증체계의 기본 암호체계로 설정한다. 문제는 이 독자적 암호화 알고리즘을 사용자의 컴퓨터에 설치할 방법이 없었다는 것이다. 이를 위해 사용한 방법이 바로 인터넷 익스플로러에 제공되던 ActiveX기능이다. 이후 공인인증체계는 기술적으로는 거의 상관없는 ‘전자인감’으로 홍보되기 시작해 그 사용범위를 늘려나기 시작했다. 2002년부터는 인터넷 뱅킹에서 의무적으로 사용되기 시작했으며, 2006년에는 은행에서 발급되는 금융공인인증서와 전자정부 활용 용도로 사용되는 정부공인인증서(GPKI)가 상호 연동됐다. 2005년 공인인증서 체계의 보안 허점을 이용한 보안사고가 터지면서 보안성을 높이기 위해 키보드 해킹 방지, 피싱 방지, 백신 프로그램들이 ActiveX기반으로 설치되도록 의무화됐다.

  무엇보다 현 공인인증체계의 독특한 점은 전자서명기능과 사실상 본인인증기능을 모두 갖추면서도 광범위한 사용 범위를 갖는 다는 것이다. 전자서명은 “홍길동이 온라인에서 한 X라는 행위”를 확인하는 매커니즘이며, 본인인증은 “나는 홍길동이다”를 확인하는 것이다. 이는 현금카드와 신분증의 차이와 같은 것으로도 이해될 수 있는데 현금카드는 신분증을 대신하지 못하고 신분증은 현금카드를 대신할 수 없다. 예를 들면 호주의 경우 전자서명의 프라이버시 보호를 위해 익명의 사용을 허가하고 있는데 이렇게 되면 전자서명은 전자주민카드와 같은 형태의 본인인증 매커니즘과는 다른 시스템으로 운영돼야 한다. 지난해 발표된 ‘대국민 전자서명 이용실태조사’에 따르면 응답자 중 97.4%가 공인인증체계를 본인인증수단으로도 사용하고 있는 것으로 나타났다. 사실상 전자정부 사이트에서 제공되는 대부분의 기능들은 전자서명 기능과 본인인증 기능을 동시에 사용하고 있는 셈이다.

  사실 한국과 같이 금융권 및 공공 시스템을 단 하나의 인증서(혹은 접속체계)로 접속할 수 있는 나라는 찾아보기 힘들다. OECD는 이러한 디지털신분관리를 인터넷 경제의 핵심 요소로 보고 각국의 적극적인 행동을 요청하고 있는데, 사실 디지털신분관리 체계를 개발하고 관리하는 것의 어려움은 보안성과 같은 기술적 요소에 기인하는 것이 아니다. 운영의 주체, 기관 간의 신뢰, 개인정보 유출, 정부의 감시 가능성, 법적 효력의 문제까지 사회적 논란과 저항이 가장 큰 장벽이다. 에스토니아와 같은 유럽의 일부 국가들이 전자주민카드를 보급해 유사한 시스템을 갖고 있지만 한국처럼 민간 및 공공영역 전부를 포괄하지 못한다. 일본은 이미 수 년째 주민등록번호 및 주민 기본 대장 네트워크 도입을 둘러싼 논쟁을 벌이고 있고 미국에서도 국가적 수준의 시스템은 개발할 엄두를 내지 못하고 있다.

  공인인증체계는 ‘하나의 인증서를 가지고 거의 모든 전자상거래 및 전자정부 서비스를 이용한다’는 사용자의 패턴이 결합돼 있다. 지금 우리가 사용하고 있는 공인인증체계는 애초 기획했던 전자상거래를 위한 전자서명 기술을 한참 넘어선 ‘한국형 인증 인프라체계’로 진화한 꽤 거대하고 완고한 사회기술시스템인 것이다. 


 인프라스트럭쳐의 역습: 사회기술시스템의 전환


  일반 영화의 상영시간은 보통 두 시간 남짓이다. 이는 기술적이거나 장르의 한계가 아닌 상영관, DVD와 같은 매체, TV 중계 등 영화 산업의 인프라스트럭쳐와 관련이 있다. 안정된 인프라스트럭쳐는 다시 형식과 내용을 규정한다. 영화를 만드는 이나 보는 이 모두 두 시간이라는 시간틀에 길들여져있다. 이를 인프라스트럭쳐의 ‘역전 현상’이라고 부른다.

  공인인증서체계라는 인프라스트럭쳐가 만들어내는 역전 현상은 손쉽게 찾아볼 수 있다. 2007년 고려대 김기창 교수의 주도로 특정체계의 독점 문제를 소송으로 끌고간 바 있으나 대법원에서 “브라우저 선택권이 침해당하였다고 보기 어렵다”는 판결을 받은 바 있으며, 한 온라인 서점에서 제공되던 ActiveX를 사용하지 않는 결재 서비스가 카드사들의 문제 제기로 인해 서비스를 중단하게 된 사건도 있었다. 공인인증서체계가 기반하고 있는 공고한 인프라스트럭쳐가 기술의 작동방식의 변화를 거부하고 규정하는 기능을 하고 있는 것이다.

  인프라스트럭쳐의 역습은 사용자들의 사용 습관과 패턴에서도 나타난다. 공인인증서의 개선방향을 다룬 보고서에서 표현되는 ‘공인인증서와 동등한 수준의 인증기술이 없는 상황’이라는 것은 유사한 인증기술이 없다는 것이 아니라, 현재와 같은 온라인 환경에서 인증서를 저장하고 서명할 수 있는 사용자 인터페이스  기술이 없다는 뜻에 가깝다. PKI 기술체계는 우리가 공인인증체계를 개발하던 90년대 말까지만 해도 보안 및 인증체계의 기술로 이해되고 있었으나, 여러 문제가 발견돼 매우 제한적으로 사용되고 있다. 따라서 현 공인인증서와 유사한 수준의 인터페이스와 사용성을 갖춘 기술이 웹표준으로 설정되어 브라우져에 탑재되길 기대하기는 어렵다. 공인인증체계를 포기하고 은행이나 공공기관마다 독자적 인증체계를 갖추도록 한다면, ‘하나의 인증서를 가지면 거의 모든 전자상거래 및 전자정부 서비스를 이용’하는 것과 같이 높은 사용성을 기대하기는 어렵다. 우리는 이 인프라스트럭쳐에 어느 정도 길들여졌고 거꾸로 이는 우리의 선택권을 제한한다.

  사회기술시스템의 적합한 사례는 바로 자동차다. 가솔린 자동차가 초래하는 환경문제를 전기 자동차만 개발로 단번에 해결한다고 홍보하거나, 관련 규제를 강화하는 방식으로는 사회 전체가 전기 자동차를 사용하는 패턴으로 손쉽게 변화할 수 없다. 법제·문화를 아우르는 인프라스트럭쳐등이 변화해야 전기자동차 사회기술시스템으로의 전환이 수월할 것이다.

  요컨대 문제는 특정 기술이나 제도가 아닌 복합적 사회기술시스템 자체다. ‘ActiveX를 사용하지 말아야 한다, 사용할 수 밖에 없다’는 논쟁이나, ‘정부가 다른 기술을 허가해야 한다, 하지 말아야 한다’ 수준의 논쟁을 넘어서야 한다. 전자 인증, 전자 신분, 보안, 보호에 관한 우리의 사회기술시스템을 어떻게 보다 높은 보안성을 갖추면서도 현재 수준 이상의 편의성을 제공하고 변화하는 글로벌 기술환경에 적응력이 높은 체계로 만들어 낼 것인가에 관한 논의로 확장돼야 할 것이다.



 

저작권자 © 대학원신문 무단전재 및 재배포 금지