[한스경제 허인혜] 정부와 금융당국이 금융개혁을 외치고 있지만 한편으로는 금융관행을 부추기고 있다는 지적이 일고 있다. 공인인증서가 금융보안 사고의 책임 회피 수단으로 전락해 공인인증서를 대체할 신기술이 사장되고 있다는 주장이다. 정부나 대선주자들이 입을 모아 4차 산업혁명의 중요성을 강조하지만 한국의 금융보안 시장에서는 빛좋은 개살구에 불과하다는 하소연이다.

▲ 19일 관련업계에 따르면 2015년 공인인증서 의무 규제 완화에도 금융사고 면피 논란에 신기술 개발이 요원하다./사진=한국스포츠경제DB

19일 금융당국과 관련업계에 따르면 공인인증서는 전자서명 기능을 위해 본인 확인 절차를 필수로 거친다. 금융권 온라인 거래 등에서는 본인 확인 절차를 공인인증서로 대체하는 경우가 잦다. 본인확인만 필요한 소비자가 더 까다로운 전자서명 절차까지 밟아야 한다.

“만원짜리 물건 하나 사는데 인증을 몇 번 해야 하느냐”는 소비자의 불만이 높아지자 ‘공인인증서 없어도 된다’는 말이 금융권의 유행어처럼 번졌다.

오는 7월부터 공인인증서 없이 신용카드로도 본인인증이 가능하다. 소비자들은 신용카드가 곧 공인인증서의 역할을 한다고 오해하기 쉽다. 공인인증서가 없어도 대체되는 기능은 본인인증뿐이다. 핵심 기능인 전자서명 부분은 대체되지 않는다.

한국인터넷진흥원(KISA)이 “전자서명과 본인인증은 다르다”며 불편한 기색을 보였다. 공인인증서는 공개키기반(PKI)기술을 이용한 전자서명 기술이 제1기능이다. 전자서명으로는 본인인증보다 더 높은 수준의 금융 거래를 할 수 있다. ‘해당 거래 내용에 동의한다’는 의미가 포함돼서다.

관계당국은 ‘천송이 코트’ 논란 이후 금융감독원의 인증방법평가위원회를 폐지했다. 2015년에는 전자금융감독규정에서 공인인증서 의무 사용 조항을 없애며 공인인증서 관련 규제를 풀었다.

공인인증서 규제가 풀렸지만, 전자서명이 필요한 금융거래는 여전히 공인인증서 없이는 불가능하다. 정부가 규제의 빗장만 풀었지 적극적인 계도는 하지 않았기 때문이다.

미래부 관계자는 “전자서명법에는 공인인증서만 쓰도록 강제하는 부분이 전혀 없다”며 “당사자간의 약정으로 다른 전자서명 기술들을 사용하는 것은 얼마든지 가능하다”고 설명했다. 후속시장 개발과 금융권 관리감독에 대해 묻자 규제를 풀었다는 말만 되풀이됐다.

금융사들은 보안 시스템을 변경하는 부담과 금융사고의 책임이 달라질 수 있다는 우려 때문에 자발적으로 신기술을 채택하지 않는다.

전자금융거래법에는 ‘이용자 중대과실’ 조항이 있다. 또 “금융회사 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다”고 적혔다.

금융권이 해당 조항을 이용해 공인인증서를 면피수단으로 사용한다는 지적이 인다. 위조나 변조 사고가 아니기만 하면 책임을 떠넘길 수 있다는 해석이다.

이렇게 공인인증서가 금융권의 면피로 이용되는 데다 점유율도 높아 자율경쟁이 되지 않는다. 1999년부터 2014년까지 금융거래 전자서명을 독식해온 공인인증서의 점유율을 신규 업체가 따라가기는 벅차다.

인증방법평가위원회 당시 공인인증서와 같은 등급인 ‘보안 가군’을 받았던 LG CNS의 ‘엠페이’는 카카오페이에서만 적용 중이다. 한 핀테크 관계자는 “2014년 금융권에 핀테크 바람이 불었지만 공인인증서의 독식 탓에 보안기술은 제자리 걸음”이라고 전했다.

공인인증서를 면피로 이용하지 않도록 금융보안 사고의 책임을 확실히 가름해야 한다는 목소리가 높다. 이를 통해 보안체계가 다양화된다면 공인인증서의 과점도 자연스럽게 해소된다는 전망이다. 전문가들은 공인인증서를 완전 폐지하기 보다 공인인증서와 다른 전자서명 방식을 소비자가 선택하도록 해야 한다고 조언했다.

허인혜 기자

저작권자 © 한스경제 무단전재 및 재배포 금지