어떨 땐 시키는 대로 프로그램도 다 깔았고, 중간에 웹브라우저가 꺼진 일도 없는데 컴퓨터가 먹통이 될 때가 있습니다. 주위에 물어보니 은행이나 신용카드, 증권회사 웹사이트나 쇼핑몰에서 시킨 대로 설치한 프로그램끼리 충돌을 일으켜서 그렇다고 합니다. 그럼 앞으로 홈페이지에서 뭔 프로그램을 깔라고 하면 시키는 대로 해야 하나요, 거절해야 하나요? 알쏭달쏭합니다.
한국에서 게임 서비스나 신용카드 회사, 쇼핑몰이 이용자 정보를 도둑맞는 배후로 공인인증서를 지목하기도 합니다. 하도 공인인증서를 깔다보니 컴퓨터에 이상한 프로그램이 몰래 깔려도 알아차리는 사람이 별로 없다는 겁니다. 그렇게 정보가 빠져나간다고 그러더라고요. 그렇다면 공인인증서는 몹쓸 프로그램이로군요.
공인인증서란 게 모름지기 인터넷으로 금융 거래를 안전하게 하도록 만든 물건이라는데, 과연 그럴까요? 공인인증서가 없어지면 인터넷에서 은행과 같은 중요한 서비스를 쓸 때 위험한 건가요? 저는 불편한데, 공인인증서는 필요하다고 말하는 사람도 있어요. 공인인증서가 무엇이고, 이걸 어떻게 봐야 하는지, 공인인증서는 사라져도 좋은 건지…. 공인인증서에 덕지덕지 달라붙은 문제들 때문에 머리가 지끈거립니다.
그래서 이 토론회에 가보기로 했습니다. 이름하야 ‘공인인증서 개선방향 끝장 토론회’입니다.
이 토론회는 8월23일(금) 오후 3시부터 고려대학교에서 열리는데요. 이동훈 고려대학교 정보보호대학원 교수가 발제를 맡고 토론자로 박성기 한국정보인증 부장과 이동산 페이게이트 이사, 김기창 고려대학교 교수, 김대영 충남대학교 교수, 배대헌 경북대학교 교수가 참석합니다. 토론회는 고려대학교 금융보안연구센터가 마련했고요.
금융보안연구센터는 이번 토론회를 공인인증서를 찬성하는 쪽과 반대하는 쪽, 중립적인 쪽 모두를 부른 자리라며 그동안 쌓인 오해를 풀고 대안을 모색할 것으로 기대한다고 합니다.
공인인증서 논란, 이제 끝장을 보려나요.
※ 라이브 블로깅은 오후 3시부터 토론회가 끝날 때까지 진행됩니다.
마무리 사진입니다. 벌써 모두 떠났고, 스탭이 남아서 정리 중이고 한두 분 얘기 중입니다.
오늘 토론회가 끝장을 본 것 같나요?
(끝입니다!)
(사회자) 긴 시간 해주셔서 감사합니다.
(사회자) 끝장 토론하려고 한 게 잘못한 것 같습니다. 오늘 진행하며, 취지를 말하겠습니다. 320 사태일 때 은행 PC까지 악성코드가 들어갔고 하드디스크까지 지웠습니다. 그 악성코드가 원장에 들어갔으면 우리 금융 인프라 끝납니다.
근본적인 대안이 나와줘야 하고요, 이제 은행이 이 정도 리스크를 솔루션에 의존할 수 있느냐에 대한 근본적인 고민에 빠지게 됩니다. 이런 환경에서 금융보안연구센터가 만들어졌고요. 우리가 할 수 있는 걸 찾아가며 토론을 계속하고 싶습니다.
우리 보안하는 분들 애환을 여러분들, 많이 느끼셨을 겁니다. 쉬지 않고 이해하고 협업하려는 노력을 지속하려는 계기가 됐길 바랍니다.
(사회자 직권으로 모두의 얘기를 막았습니다.)
(박성기) 김기창 교수가 공인인증서 폐지 서명을 아고라에서 받은 일이 있습니다.
(플로어에서 처음 발언하신 분이 이 말에 바로 반박했습니다)
(박성기) 딱 한 마디만 더 할게요.
(김대영) 그런데 마치 위대한 수령님, 얘기를 하는 것 같네. 그 문안을 마련한 사람이 누구에요? KISA가 아닌가?
(여러분이 들어도 좀 과했죠?)
(사회자) 이 얘기는 여기서 마치겠습니다.
(KISA 직원 분입니다. 부서 명은 못 들었습니다.)
개정안 내용을 보면 정부의 역할이 없습니다. 민간 부문을 자율에 맡깁니다. 민간에서 그런 체계가 잘 돌아갈 환경이 만들어지고 자생이 되면 그 부분도 좋은 솔루션이 될 수 있습니다. 우리나라가 현재 그런 영역이 성숙했느냐는 논란이 되는 부분입니다.
박근혜 대통령의 공약은 ‘글로벌 환경에 맞는 다양한 공인인증서비스 허용’입니다. 공인인증서비스를 허용하라고 했습니다. 제가 왜 이걸 기억하느냐면 제가 담당하는 거기 때문에 이 공약이 채택되면 우리가 어떻게 해야하는지 몇 개월 고민했습니다.
박근혜 대통령 말씀하신 내용이 굉장히 짧으면서도 많은 내요을 담고 있습니다. 수식어로, 현재 문제가 많으니 글로벌 환경에 맞도록 해라, 입니다. 또 하나의 문제가 ‘다양한’입니다. 정부가 손 놓고 아무것도 하지 말라는 얘기가 아닙니다.
전자서명법 개정안을 보면 미래부가 해야할 일이 무엇인지 모르겠습니다.
(사회자가 얘기를 여기서 잘랐습니다. 이 얘기가 계속 반복하여 나오니, 끊은 것 같습니다.)
(이종걸 의원실 보좌관) 제도를 폐지하자는 거지 공인인증서를 폐지하자는 거 아닙니다. 시장이 평가하기도 전에 보안 업체에서 자꾸만 공인인증서를 폐지하는 거기 때문에 법을 개정하면 안 된다고 주장하면 안 된다고 봅니다.
(박성기) 네 잘못 이해하셨습니다. 이종걸 의원실 법안은 공인인증서 폐지를 담지 않고 있지 않지만, 최재천 의원실은 담고 있습니다.
(이종걸 의원실 보좌관)
최재천 의원실에서 발의한 법안이나 이종걸 의원실에서 발의한 법안 어디에도 공인인증서 폐지한다는 내용 없습니다. 오늘 왜 자꾸 공인인증서를 자꾸 논의하시는지, 공인인증서 폐지하자는 게 전혀 아닙니다. 공인인증서 외에 다른 새로운 보안 기술을 은행이 스스로 판단해서 그 보안 기술이 안전하다고 판단하면 그 보안 기술을 채택하게 하자는 겁니다.
공인인증서를 강조하는 쪽에서는 공인인증서 외에 다른 보안 기술을 채택하면 안 된다는 말로 이해합니다. 제가 잘못 이해했는지 모르겠습니다만.
(사회자) 이제 마무리를 짓고 싶습니다. 아, 잠깐만요.
(이동산) 지금 공인인증서를 이용하는 운영 환경에 개선이 필요하다는 거에 다 공감한다고 생각합니다. 제안의 중요 내용은 이용자 선택권을 줘야 한다. 이용자가 원하면 다른 대안 기술을 선택하게 한다는 데 중요한 의미가 있다고 생각합니다.
이용자 선택권을 주는 게 공인인증기관을 없애자는 건 아닐 겁니다. 다양한 대안이 이용자가 선택할 요소로 가져오자는 거죠. 보안성에 대해서 제3자가 충분하게 보안성을 검토하여 대안이 사용될 환경을 만들자,라고 제 얘기를 정리하겠습니다.
(김대영) 금감원을 누가 보장합니다. 민간을 포함해서 견제 체제가 돼 있지 않으면 안 됩니다. 박성기 부장이 다른 게 있다고 하는데, 다른 게 액티브X보다 안전하다는 걸 증명하라고 했는데 전 경악합니다. 도대체 액티브X가 대안으로 논의되는 것 자체가 너무 우스꽝스럽습니다. 액티브X는 개발한 마이크로소프트조차 폐기했어요. 마이크로소프트 OS에서 돌아가지 않아요. 정부가 나서서 정부 관련 단체, 기관이 나서서 액티브X를 보안 기술의 대안으로 논의되는 것 자체가 우리나라 보안의 후진성입니다.
후진성이란 말을 안 할 수가 없어요. 몇 년 전 액티브X 해킹하는 걸 했죠. (시연을 말하는 것 같습니다.) 행사에 온 외국 사람에게 기자가 물었어요. 외국인이 우리나라에 액티브X가 없어요, 라고 말했답니다. 액티브X는 발암물질로 FTA 식품에 있으면 폐기하라고 한 그런 물질이에요.
많은 관계자가 액티브X를 보안 기술의 대안으로 논한다는 것 자체가, 북한 주민이 세뇌 당하듯이 착각 속에 살고 있는가 지적하고 싶어요.
(김대영) 지금 거의 6시간을 했는데 마지막에 말씀하시는 걸 보니까, 끝장토론인 줄 알았는데, 저쪽에서 절 어떻게 생각할지 모르겠지만, 그렇게 얘기를 듣고도 한치도 안 변하는 걸 보고 놀라지 않을 수 없고요.
토론은 현재, 2013년 현재 상태를 갖고 얘기를 하자고요. 지난 10년 어떻게 왔고가 아니라. 그렇게 얘기가 되면 좋겠고요. 배대헌 교수님이 전자서명법 개정안을 가지고 얘기하자고 했는데요. 제가 읽어본 문구에 의하면 ‘공인’자를 뺀 것인 공인인증서로 대표되는 pki를 사용하지 말라는 것이 아니고 그것을 포함한 다른 기술을 수용해달라는 것으로 이해했습니다.
그래서 아까 십년 전 또는 육년 전 김기창 교수가 법하는 분이죠, 기술을 잘 몰라서 많이 알기 전 말 실수할 수 있고, 신문에는 김기창 교수가 아닌 다른 사람이 전하다가 보니까 말이 와전이 되서 공인인증서 폐지란 얘기가 기록됐는지 모르겠습니다.
김기창 교수의 입장은 공인인증서 폐지가 아닙니다. 그렇다면 문구를 그렇게 안 썼죠. 현재 시점에서 문구도, 김기창 교수의 입장도 그렇지 않습니다.
루트 CA를 하나 더 만들면 옥상옥이 아니냐고 하는데요. 수평적인 조직을 만들자는 겁니다.
아까 KISA 분이 글로벌이지만, 글로벌 공인인증서에서 ‘공인’을 강조하시는데. 만약 그럼 한국만 공인이에요. 세계적으로 공인이 안 돼요. 충남대가 KISA거 인증서를 구축했어요. 크롬이나 사파리 들어가면 물어봅니다. (웹브라우저가 KISA의 공인인증서를 인정하지 않고 경고창을 띄운다는 거죠.) 파이어폭스는 더해요. 제가 충남대에 앉았는데 들어가지도 않아요. 글로벌리 인증되는 체계에서 인증한 게 아니라 유저가 리스크를 감안하고 진행하다 안 될까봐 아예 진행을 안 해요. 그게 소위 글로벌 공인이에요.
우리가 말을 할 때 정부가 도장을 찍으면 안전하고 민간이 하면 의심해야 하고 하는데요. 다른 모든 것도 마찬가지에요. 정부는 체계를 갖추고 추인하는 기관 정도로 하면 돼요. 지금 보면 추인 정도가 아니라 첫 도장을 정부가 나서서 그리고 금융 같은 경우는 금감원이 도장을 찍고 말고 하는 건 체계가 잘못됐습니다.
(이정현) 13,14,15번 내용 중심으로 말하겠습니다. 우리나라 국민이 사이버에서 내가 누구인지 증명하기 위해 정부 주도로 전자서명법을 제정했습니다. 운영하는 데 어려움이 있었지만, 위험성을 감수하고라도, 어떻게든 국민이 원했던 것이고, 하드디스크에서 빨리 뽑지 못한 건 국민이 불편해서였거든요. (뽑는 게 불편했다는 거죠)
신문기사 리플 보면 불편해서 못 살겠다, 없애달라고 합니다. 현재 개정안 취지는 좋습니다. 불편하니 개선하고 자유시장경쟁체제로 바꾸자, 좋습니다. 우리나라 사람은 스토리보드가 있는 거 따라하며 즐거워하지 않습니까. 우리나라 스타일은 관주도였던 것이죠. 그것에 불만을 가질 수 있겠죠. 그걸 개선하여 발전적인 방향으로 가야죠.
공인인증서 이용 환경의 어려움은 앞으로 개선할 방향입니다. 다양한 수단이 만들어져야죠. 대통령 공약으로 글로벌 환경에 맞는 공인 인증체계가 있습니다. 공인이 붙어 있습니다.
저는 전자서명법 관련 95개 법이 개정이 돼야 할 것 같습니다. (공인 전자서명을 사용한다는 문구를 말하는 거죠)
우리나라 법이 문제가 있다면 우리나라와 유사한 독일과 일본도 문제가 있을 텐데 왜 그나라는 조용할까, 그건 여러분의 판단에 맡기겠습니다.
(배대헌) 무엇이 진정 전자서명법에서 이해관계에서 합의를 도출해야 할 것인가요. 저는 인증기관에 속해 있지도 않고 정부에 속해 있지도 않고, 정부 연구기관에 속해 있지 않습니다. 전 소비자 쪽입니다. 소비자를 아무도 대변할 사람이 없습니다.
인증기관이 제대로 인증 업무를 수행하지 못하면 어떻게 할 것인가,의 문제는 세계 어디보다 한국이 강하게 규정했습니다. 불법 행위에 대한 책이은 과실 책임입니다. 과실을 주장하는 쪽에서 과실을 묻습니다. 그러기 때문에 원고가 입증하는 게 일반적인 내용입니다. 현행 전자서명법 인증기관 책임에 대해선 원고가 아니라 피고가 과실 없음을 입증해야 그 책임을 면하게 했습니다. 소비자를 보호하기 위해서입니다.
개정안에는 소비자와 이용자에 대한 내용이 없습니다. 인증기관 잘살겠다고 하거나, 새로운 업체 들어오겠다는 거나, 미래부의 창조경제 효과는 있을 수 있습니다. 소비자 보호가 지금보다 떨어지는 건 바람직하지 않습니다.
소비자를 보호하고 이용자를 보호하는 문제는 어떻게 할 것인가. 좀 더 그 부분에 관해서 명확하게 해야할 것 같습니다.
더는 이런 논란하지 말고 국회에서 공청회하든 토론회하든 입법기관이 수용 가능한 토론을 해야지, 이슈거리만 던지면 실효성이 없습니다.
전자서명법 전부 개정안을 얼마나 현실적으로 수용 가능한지 구체적으로 검토돼야 합니다.
(박성기) 법률 개정 문제로 와 계시는 의원실 보좌관, 비서관님은 정확한 내용을 아시고 법률 개정안을 진행해주시면 고맙겠습니다. 이 자리에서 제가 말씀드린 건 여태까지 계속 한 말입니다. 공인인증기관은 이쯤에서 그만두겠지하고 생각했는데 오늘 제가 대표로 떠밀려서 왔습니다.
공인인증기관에 있지만, 관련 일을 해왔습니다. (금감원에서 일했다고 아까 말했던가요?) 김기창 교수가 말하는 주장이 왜곡된 내용입니다.
(이종걸 의원실 보좌관이 발언합니다.
30만원 미만은 심의를 받지 않아도 되는데 페이게이트가 잘못 알고 있는 것 같다고요.
이동산 이사는 심사 받는 중에 규정이 바뀌었다고 하는군요.)
(사회자가 이 얘기도 이쯤에서 정리했습니다. 금융 쪽은 특수하니까요. 마지막 13,14,15는 묶어서 한 마디씩 들으며 정리하겠다는군요.)
13. 전자서명법의 초기 제정 취지는 무엇인가?
14. 전자섬여법 개정안의 취지는 적절하며 시행 시 효과가 있는가? 부정적인 효과가 있다면 무엇인가?
15. 전자서명법 개정 시 타 법률에 끼치는 영향은 무엇인가?
(김인석) 지금 그렇게 하는데 오해가 있는 것 같아요.
(이동산) 보안성 심의를 카드사나 은행사가 하는데요. 결론적으로 보면요. 자기가 자기를 평가하니 제3자가 살펴보면 민감한 취약한 점이 노출된다고 리포팅하면 슬쩍 개선하거나 서비스를 내립니다. 금융기관이라고 하더라도 제3자가 객관적으로 평가를 하고 금융기관이 아니라도 제3자가 하면 낫지 않을까 해요.
(김인석) 요즘 보안 심의 요청하면 얼마나 걸립니까? 제가 있을 때는 최대 1개월 이내 보안 심의 완료하는 걸로 했습니다. 그때 기술적인 걸 보는 게 아닙니다. 요구하는 조건을 맞추고 제대로 운영하는지 보니, 알고리즘의 기술적인 걸 보는 거 아니에요. 감독원은 그런 걸 볼 인력도 없고 기술도 없어요. 제도적인 틀에 맞는가를 봅니다.
(사회자) 전반적으로, 결국은 우리 제도이네요. 우리가 오래한 제도이고요. 정부가 하는 부분을 최대한 제3자로 바꾸자는…
(김인석) 오해가 있으신 것 같은데요. 마이크를 아예 갖다놓고.
(이동산) 국내의 전자금융감독규정이나 PINS나 국내 컴플라이언스와 어떻게 다른지 비교해봤습니다.
정리:
해외는 위원회가 민간에서 구성하고, 감사 결과를 민간에서 상호 검증하고, 감사 결과를 민간에서 생성하고, 결과를 다양한 데서 활용.
국내는 체크 리스트는 해외와 유사. 그것에 대한 평가와 심사하는 최종 주체는 금감원이나 KISA와 같은 관이다. 민간에서 굉장히 많은 수요가 있으면 소화를 못해낸다. 관이 다 수용을 못함.
(사회자가 이 얘기에 대한 논의는 진행하지 않았습니다. 바로 12번으로 갑니다.)
12. 보안 컴플라이언스와 국제 동향은 어떠하며 우리가 참고로 삼을만한 내용은 무엇인가?
(박성기) 클라우드 방식은 위험합니다.
(김인석) 이런 거에 대해서 할 때는 이래서 안전하다, 라고 해야 감독원에서 보안심의가 날 겁니다.
(이민형 디데일리 기자) 궁금해서 묻습니다. 인증서 보관이 어디에서 하는지는 중요하지 않다고 말했는데요. (누구의 얘기죠?) 클라우드에 저장한다면 인증 기관이 해줘야 합니다. 인증기관은 지금까지 로컬로 발급하고 사용자가 관리했습니다. 그러고 나면 비용이 발생하지 않고요. 만약 키 자체를 클라우드상에 올리면 공인인증기관이 추가 비용을 부담하면서 그런 방식을 수용할 의사가 있나요?
(사회자) 11. 인증서의 저장위치에 대한 문제는 무엇이며 개선방안은 무엇인가?
이건 우리가 논의했으니 넘어가고…
(김인석 교수가 손 들었습니다)
(박성기) 제가 간단하게 얘기할 게요. 생체 인증을 하는 기관이 저낮서명법 범위 안에서 루트CA 인증 받는 데 실패했습니다. 너무 다양해 통합이 안 된 거죠. 지문 인증기관 한 군데를 루트CA로 두는 거죠.
(제가 제대로 적었는지 모르겠습니다. 시도하는 만큼 다양한 인증 수단 나올 수 있다고 말한 것 같습니다.)
(사회자) 그건 의견을 내신 걸로 듣겠습니다. 9번 애기는 이 정도로 정리하고요.
10. 인증수단의 다양화 방안은 어떤 것이 있는가?
(박성기) 웹표준이 보안에 강하다고 하는데요. 액티브X가 보안에 취약하다고 하는데 얼마나 취약한지 아는 분 있습니까. 웹표준으로 간다고 하면 새로운 역차별, 강제가 됩니다. 방향과 기술, 정책을 만들어 놓고, 다 해놓되 선택은 금융권에서 알아서 하게끔 하는 게 타당합니다.
(사회자) 지금 논점이 이렇게 가면 쳇바퀴 돌 수 있습니다. 표준의 개념을 정리해야겠습니다. 금융산업이란 것 자체가 본질이 리스크 산업입니다. 리스크 테이킹하는 방법을 정해야 하고요. 바젤 위원회에서 신용리스크나 시장리스크가 있다고 하면 BIS 비율을 정하죠.
새로운 기술을 채택했다고 하면, 그 기술에 1위 은행이 의존할 수 있을까요?
(시장의 논리이지, 기술 논리로 얘기하는 건 맞지 않다고 정리했습니다)
(이동산) 웹표준 R&D가 필요합니다. 부인방지는 남아 있겠지만, 그건 다음 번에 증명이 된다면 좋을 것 같고요. 이용자 환경이 우리가 액티브X가 동작하는 환경을 보면 윈도우즈로 통신을 하는데 64비트는 안 되고 관리자 권한이 없는 윈도우즈 안 되고 브라우저가 팝업이나 쿠키를 지원하지 않거나, 컬러 지원하지 않는 것, 시각장애인 보조도구 지원을 받는 건 눌립니다.
웹표준에서는 한 방에 쉽게 해결이 됩니다.
클라우드 관련해 아이디어를 드리면, 인증하는 수단이 지시 기반(이렇게 들렸습니다)이다 소유기반이다 하는데요. 인증서는 소유 기반으로 봅니다.
(제가 이해하기론, 클라우드는 지시기반이라 소유기반의 인증서를 클라우드로 하는 데에 맞지 않다, 라고 들었습니다.)
사실 1번에서부터 질문하고 싶은 부분인데요. 인증서를 쓰는 목적이 전자금융거래 아닙니까? 운영하는 분께 물어봅니다. 보안과 편리성 중 무엇이 중요합니까? 그럼 보안이 먼저죠 그럽니다.
그런데 표준웹이 국민이 만족할 만한 수준의, html5 보안 수준이 있는지. 많이 미흡합니다. 웹표준 환경에 굳이 대응을 해야하는지? 보안이 중요한데 웹표준을 주장하는 게 타당한지 묻고 싶습니다.
(점점 활발해지는군요. 플로어 질문입니다. )
이니텍의 김선종이라고 합니다. 공인인증서만 10년 넘게 계속 해 왔습니다. 밀접한 관계가 있습니다. 저희 입장에서 공인인증과 인증서는 같은 말로 보입니다. 통신하는 기관의 차이입니다. 운영자체 관련해 저희도 클라우드 고려하고 있고요.
(이동산) 공인인증서에 대한 디펜던시를 줄이면서, 웹표준 환경으로 장기적으로 가고요. KISA와 얘기해보면 키가 공인인증기관 서버에 존재하는 경우에 대한 법률적, 기술적 검토와 어떻게 불러 쓸 것인가를 보면 불가능한 것 같지 않거든요. 클라우드에 저장하는 것이 npki 폴더와 같이 클라이언트에 저장하는 것보다 나을 것 같습니다.
(정리하면 개선 방안 1. 웹표준으로 간다. 2. 클라우드에 저장한다)
(8번도 바로 넘어가네요.)
8. 은행, 카드회사 공인인증서와 전자서명법상의 공인인증서는 어떤 차이가 있는가?
9. 공인인증서 자체에 대한 개선 방안은 없는가?
9번에 대해 이동산 이사가 말합니다.
(사회자) 빨리 진행하겠습니다. 7번으로 가겠습니다.
7. 공인인증서 관련 산업의 규모와 우리 사회에 끼치는 영향과 편익은 긍정적인가? 부정적인가?
이건 사실 확인 차원에서 끝내겠습니다. (공인인증서 시장이 800억원 규모 얘기 등은 오늘 논의에서 쭉 나왔다고요..)
(플로어입니다)
저는 엔큐리스라고, 현재 보안회사 대표이고요. 2000년부터 시큐어리티소프트라는 곳에서 PKI 개발 실장을 했고. 그러면서 KISA의 PKI 규격을 보면서 참여했습니다. 지금도 PKI 개발 관련 없체를 합니다.
오늘은 정책적인 거라 듣고 싶었습니다만. 전자서명법 개정안으로 돌아와서.. (이 얘기 위주로 말해달라는 거죠)
그동안 기술 규격을 가지고 운영하는 측면에서 실질 심사를 가지고, 약간 바꿔도 실질 심사하면서 기술 점검을 합니다. 어찌 보면 운영에 대한 보안 측면이 서비스 질을 높이는 데 중요한데요. 다른 인증 기술 수단이 필요하다는 데 동의하는데 KISA 외에 다른 루트 CA의 기관이 있다면, 지금 현재 수준의 기술 심사를 하고 운영에 대해서 안전하게 제도적으로나 기술적으로 그런 방안이 검토돼야 한다고 봅니다.
(사회자) 교수님, 제가 간단하게 정리하겠습니다. 금융 감독 구조는 전세계 동일한 구조로 존재합니다.
(김대영) 보안을 금감원에서 한다는 건 오늘 처음 알았네 (마이크 없이, 물을 마시며)
(사회자는 김인석 교수와 이동산 이사의 말 모두 일리가 있다고 정리를 해버렸습니다.)
(김대영) 이민형 디데일리 기자는 현대카드는 액티브X를 구현하지 않아서 거절했다고 했죠? 바로 그겁니다.
(김인석) 그게 공인인증서와 무슨 관련이 있습니까? (마이크 없이 말했습니다.)
(김대영) 금융감독원이 왜 금융 보안에 관한 업무 사항이 금감원에 있는지, 보안은 전문 분야인데. 지배구조가 궁금하네요.
(이동산) 알라딘의 경우에는 이미 하고 있는 거에 대해서, 카드사가 동의하든 안 하든, 동작하는 형태로 서비스를 했습니다.
비인증이라는 전송 방식에 인증을 하는 건데. 카드사가 동의하지 않더라도 이미 구현했는데 보안성 절차를 가져야하는지 의문이 있는 거죠.
(김인석) 전 현대카드 얘기를 잘 모릅니다. 다만 보안성 심사를 제가 만들었고 심의를 수없이 해봤습니다.
보안성 심의는 기술 개발한 이용자 입장이 아닙니다. 심의 안건은 금융회사가 올립니다. 현장에서 일어나는 것뿐 아니라 그 데이터가 자기네 시스템에서 처리되는 거 전체를 가지고 합니다. 감독원은 시스템 전체 프로그램을 가지고 와라, 암호를 네 서버에서 어디에 보관하고 키는 어떻게 하는지 다 봐야 하기 때문에 금융회사가 하는 게 맞습니다.
업체에서 만든 건 바로 하기가..
(사회자) 진입이 쉬우면 좋겠다,라는 부분이고요. 현대카드는 이민형 기자가 말한 듯이 확인한 것 같고요. 방식이 페이게이트가 원래 제안한 것과 달랐다는 거죠.
(이동산) 지금은 맞췄습니다.
(사회자) 카드사 입장도 분명히 있을 것 같은데요. 오늘 카드사가 오셨는데 곤란한 것 같습니다.
(10시까지 가겠군요. 이 얘기가 길어집니다.)
(이동산) 저는 이런 이슈를 계속 경험하면서 과연 올바른 방향인지 질문을 하게 됩니다. 프로파일 방식도 심사를 신청하려고 해요. 그게 매번 관에서 새로운 기술이 나올 때마다 평가 과정 거쳐서 승인 받아 사용하고, 이런 체계는 일반적인 기술에서 봤을 때는, 보안 컴플라이언스 얘기했는데요. 기준을 민간에서 정하고 민간이 검증하고 민간이 보험회사에 가입하고, 관이나 이용자는 그걸 추인하는 형태이거든요. 신기술에 대해서 정부가 통제하고 공무원이 이해되는 선에서 승인하고 이해가 안 되면 승인 안 하는 게 지속가능한지 의문입니다.
(사회자가 막았습니다.)
(사회자) 카드사가 이 자리에 있습니까?
(이민형 디지털데일리 기자: 액티브X를 쓰지 않으면 안전하지 않다고 해서 페이게이트가 팽 당한 겁니다. 페이게이트는 액티브X를 쓰지 않고 금액인증이라는 AA를 하고요. 프로파일 형태로 사용자 카드 정보를 가집니다. 그 인증 방법은 카드사가 얘기할 때는 자기가 원하는 방식이 아니라는 거죠. 그것 때문이지, 페이게이트 방식 자체가 보안성이 있다, 없다는 차치하고. 신용카드회사는 페이게이트 방식에 부담이 있고 프로파일 방식은 원하지 않는다고 했습니다)
(사회자) 이 주제가 다 안에 있습니다.
(김대영) 저는 관계가 있다고 생각합니다. 제도가 아니라 운영에 문제가 있었기 때문에….
(플로어에 있는 KISA 직원: 한마디로 무슨 상관 있냐고요)
지금 얘기하는 게 토론회랑 무슨 상관있나요?
(플로어에 있는 KISA 직원 분이 관련 없는 얘기로 토론의 방향성을 흐리는 것 같다고 이의를 제기했습니다)
(이동산) 보안 심의를 신청할 자격이, 실제 지금은 카드사에게만 부여되고 있고 실제 전자금융업자는 심의를 신청 못합니다. 우리가 보안 관련 요건을 충족했더라도 갑을 관계에 있는 비즈니스적인 의사결정, 나쁜 감정이 개입됐을 때 다른 대안 기술이 시장에 진입할 장볍이 기술 외적인 요건으로 막히는 건 앞으로 해소되야 하지 않을까 생각합니다.
(이동산) 민간에서 다양한 대안을 준비해서 이것이 시장에서 사용되면 자연스럽게 해결이 되는 사항이거든요. 민간에서 준비한 게 시장에 나오기 어려우면 경착륙이 될 수박에 없다고 생각합니다.
(이 기사를 참고하시면 어떨까요?
[그래픽] 알라딘 ‘간편결제’ 논란 일지http://www.bloter.net/archives/161116 )
(이동산) 아이폰이 나오면서 알라딘이 시작했습니다. 제도적일 절차를 거치지 않았다고 했고. 다른 방법을 만들어서 통과하라는 요구사항이 있었고. 2012년 카드사 관계자 분도 오셔서 조심스럽긴 한데요. 시장에 진입하기 위해서 노력을 많이 했었고요. 그게 제대로 안 됐어요.
알라딘은 2009년부터 거래를 계속 해오던 업체였습니다. 인증하지 않는 방식, 비인증거래방식을 알라딘에 적용했습니다. 비인증방법보다 인증을 거는 게 안전하지 않겠느냐고 생각해서. 승인받은 인증방식을 적용하고 간편하게 할 방식을 적용하면 비인증하는 것보다 안전하겠다고 시장했다가 조용히 죽을 뻔했다고 이찬진 대표 멘션 때문에 다시 부각이 됐는데요.
근본적인 원인에 대해서 2009년 시작한 기술이 제도 때문에 5년을 묵히고 다시 똑같이 2009년 상황이 재현이 되는 거거든요.
(당사자인 이동산 페이게이트 이사가 전합니다)
(속전속결이군요. 밑에 글 쓰고 있는데 사회자가 5번을 정리했습니다.)
5. KISA의 루트 인증기관으로서의 역할은 무엇이며 그 역할은 무엇인가.
6. 최근 현대카드 사건의 진실은 무엇인가?
(사회자) 이 문구는 PT에 있던 겁니다. 김인석 교수님의 열정과 노고 다 인정합니다.
우리 금융 자체의 IT 의존도가 한 달 전 파악한 걸론, 1위 은행의 트랜잭션 90% 이사이 ATM, 인터넷, 모바일에서 벌어집니다. 월 트래픽이 1억8천만 건이고요. 전자금융거래법이 이걸 규정하는데요.
그동안 김인석 교수님 어마하게 노력하신 거거든요. 나중에 나가실 때 박수 좀 쳐주시면..
(토론회 끝나고 정말 박수가 나올지 기대되는군요.)
(김인석) 전 이 문구가 공인인증서 때문에 우리나라 보안이 발전하지 않았다고 받아들일 수 있다고 봅니다. 전자금융거래는 공인인증서 자체 문제점을 알고 시작한 겁니다. 공인인증서는 기본적인 사항이지 거기에 추가적으로 인증하는 거에 대해서 하지말라고 한 건 없어요. 공인인증서를 어떤 기준에 맞춰서 추가적인 걸 더 써라…
그렇기 때문에 보안후진국을 만들었다는 거에 인정하기 어렵다는 겁니다.
(이동산) 1+1은 2가 나와야 하는데 다른 게 나오면, 개선해야 한다는 거지, 후진국이나 선진국을 나누려는 건 아닙니다.
(김대영) 김인석 교수님 걱정하는 거 알아요. 2002년 그때 상황을 보니까 전자정부를 빨리하려고 조급한, 그때 금융감독원과 정통부 사이 옥신간신했는데 그때 정통부가 잘못한 것 같아요. 우리가 말을 잘못하여 몽땅 다 뒤집어써 김인석 교수님이 관여해 책임이 있다고 절대 얘기한 적이 없고, 오해 말아주시기 바랍니다.
(김인석) 어떤 식으로 인정한다는 건가요?
(사회자) 아, 김인석 교수님이 얘기하셔서 누가 어떻게라는 걸 다 안다는 겁니다.
(김인석) 두루뭉수루하게 말씀하시면
(보안후진국이 됐다는 걸 인정하느냐고 묻는 것 같네요)
(사회자) 웹표준 변화를 우리가 주도하면 더 좋겠죠. 그렇게 하면서 발전해야 한다는 건 다 동의를 해주실 것 같습니다.
(아, 그사이 2. 3. 번 주제를 얘기했군요.
2. 액티브X는 이용자의 보안성을 낮추고 있는가? 그리고 공인인증서와 어떠한 관계가 있는가?
3. 액티브X의 개선방안은 무엇인가.)
4. 금융위원회가 공인인증서를 강제의무화했고 그 결과로서 보안후진국이 되었는가?
이 부분은 서로 인정, 서로 아울러 주시는 걸로 하면 좋을 것 같습니다. (사회자 직권이군요)
(이동산) W3C에서 브라우저에서 플러그인 없이(맞나요?) 암호화하는 걸 다루고 있습니다. 우리가 깊숙하게 들어가서 애기를 해외 브라우저 벤더와 얘기를 해보면 기존 공인인증 체계를 그대로 스위치하는 건 불가능한 방식이고. 공인인증서를 최대한 줄여야 하고, 그렇게 했을 때 공인인증서를 수용할 가능성이 생겨서 그런 부분을 우리가 굉장히 많이 준비해야할 것 같습니다.
(흠, 이정현 연구원님은 얘기하시다가 다른 길로 자주 빠지는군요. 잠시 적기가 어려워 쉬웠더니 이번에도 ‘얘기가 다른 곳으로 흘렀는데..’라고 말씀하시네요. 그렇담 저는 얘기 초반이 집중해서 말씀하신 걸로 생각하겠습니다.)
(이정현) 2000년대 초반, IMF 끝물에 IT 붐이 일었습니다. 정부는 모든 프로그램을 웹에서 다운 받아서 쓸 수 있는 방식을 구축하길 희망했어요. 그전에 CD가 있었는데. 자바란 기술이 먼저 나오고 보안성이 뛰어났는데 MS가 IE에 최적화한 액티브X라는 걸 활용하고 있었어요. 이거에 발목이 잡혀 보안에 취약하게 됐죠. 자바는 개발비용이 5천만원 들면, 액티브X는 그거에 10분의 1이었던 걸로 압니다. 기업은 구축을 해야 하는데 IE 점유율이 90%를 넘어섰어요. 10여년이 흐르면서 이런 문제가 생겼죠. 세계는 액티브X활용이 안 됐고, 그건 그나라의 문화가 있고요.
(지금 상황은 어떻냐면요,
무대에 패널 5명과 사회자 1명, 청중에 김인석 교수 총 7명이 얘기하는 구도입니다. 그래서 마이크 없이 발언이 오가고 있어 모두 다 적지 못하고 있습니다.)
(이동산) 액티브X만 안 쓰면 된다는 건 맞는 거 아닌 거 갖고요. 제가 볼 때 표준웹이란 용어를 크로스 브라우징과 동등하게 하기엔 무리가 있습니다.
(정리가 필요하겠군요. 박성기 부장은 여러 웹브라우저에서 쓸 수 있는데.. 라고 한 거고, 이동산 이사는 여러 웹브라우저에서 쓰는 것에서 그칠 게 아니라 표준웹으로 나아가야 한다고 말했습니다.)
(박성기) 표준웹에 맞춰 가고 있습니다. 단지 기업이 적용을 안 했을 뿐입니다.
(사회자) 앞으로 이 부분은 오해를 풀고 가자라고 정리한 게 있습니다. (총 12가지입니다)
1. 공인인증서는 표준웹 환경을 방해하는 걸림돌인가? 다른 나라의 사례와 우리를 비교할 때 우리의 이용 수준은 어떠한가?
이 주제가 있었는데요. 이동산 이사님이 표준화 과정을 얘기해줬고요. 표준화 관련해서 공인인증서 사용하는 우리의 환경 자체는 표준과는 거리가 있다고 정리를 해도 될까요? (라고 김대영/이동산 vs 박성기/배대헌/이정현 을 나눈 뒤 세 분에게 물었습니다)
(박성기) 아까 IE를 선택한다는 건 일반적인 기업의 얘기를 한 겁니다. 공인인증기관이 먼저 선택한다는 건 아닙니다.
공인인증서 담당이 왜 나왔느냐? 여기 계신 분들 보면 제가 우리나라 공인인증 전문가 중 하나입니다. 우리나라 공인인증서 30만원부터 쓰는 것, 전부 제가 있을 때 한 일입니다. 그렇기 때문에 이 자리에 나올 자격이 있다고 생각합니다.
여기 계시는 김인석 교수님 당시 팀장님이었는데요. 당시 많이 싸웠습니다.
(마지막 얘기할 땐 말투가 포근해졌네요. 하하..라고 웃었습니다)
(사회자) 앞으로는 일대일로 하는 것보다는, 이게 인터넷 생중계가 되고 있습니다. (아프리카TV) 결과적으로 많은 시청자가 보고 서로 느끼게 됩니다. 자연스럽게 정리되게 돼 있습니다. 그것 믿어주십쇼. 단지 그동안 혼란이 있었거나 오해를 해소하는 자리입니다. 최대한 합의하려고 합니다. 박부장님도 팩트 중심으로 말씀해주십쇼.
지금 박성기 부장님이 지금 현재 공인인증서 관련한 회사이지만, 그 일을 하지 않는다고 했는데 이 자리에 왜 나왔는지 모르겠습니다.
인토릴지의 강성기라고 합니다. (제가 맞게 들었나요?)
(이번에도 청중으로 마이크를 돌립니다)
(이동산) 마일드하게 얘기하겠습니다. 웹표준이 플러그인에 의존하면 안 된다는 인식을 갖고 있습니다. 액티브X 대신 다른 거 쓰면 된다는 건 옳지 않다고 생각합니다. 현재 인터넷뱅킹할 때 파폭용 다운하고 사파리 다운하는 건 액티브X 뉴라고 생각합니다.
웹표준에서 공인인증서를 쓰기 위한 몇 가지 시도가 많이 있습니다. 대표적으로 W3C에서요. 파폭은 웹트러스트, 동일한 수준의 제3자 인증을 받아서 그 결과를 가져오면 등록해주겠다는 얘기를 들었습니다. 파폭은 진행과정이 다 기록돼 있습니다.
크로스 브라우저와 퓨어웹은 다르다는 걸 강조하고 싶습니다.
(조금 전 말씀한 청중의 한 분도 박성기 부장에게 반발했습니다. 마이크없이, 팩트를 가지고 말하라!라고 말했습니다)
(김대영) 이해관계가 자기 사업가 이해 관계가 얽힌 사람이 패널일 수 있다는 거 저도 근본적으로 이의 있습니다. 툭하면 모른다느니, 소수라느니, 이런 태도는 용납할 수 없어요.
(박성기) 공인인증서 관련해서 말하겠습니다. 사실 도구로 보시면 됩니다. 공인인증 기관이 만드는 도구, 수단입니다. 이걸 어디에 쓸지는 정부와 기업의 선택입니다. 공인인증 기관은 무상으로 서비스합니까? 여기에 대해서 수수료를 받습니다. 실제 4천원부터 만원으로 다양한데요. 선택을 하는 건, 기업과 정부의 몫입니다.
오픈웹 환경에서 공인인증하는 것도 선택입니다. 공인인증기관이 강제할 게 아닙니다. 그런데 이런 모든 것들이 정부가 강제하기 때문에 못한다, 정부 때문이다, 정책 때문이다,라는 논리는 안 맞습니다.
기업은 이윤에 의해 움직입니다. 공인인증서 쓰는 기업이 IE를 쓴다면, 백만명의 오픈웹 사용자와 천만명의 IE 사용자 중 어디를 먼저 선택하겠습니까? 기업이 수익을 만들기 위해서 어디부터 선택하겠습니까.
지금 우리나라에서 오픈웹 환경에 있는 사람 거의 대부분 IE도 쓸 겁니다.
(사회자) 이렇게 정리하겠습니다. 그동안 우리가 언급한 부분을 반영해서 새로운 안이 나와야 한다라는 건 여기 계신 분이 모두 국회에 전달해주시면 좋겠습니다.
(사회자) 사실 이 정도까지 생각을 안 했는데 그동안 공인인증서 전자서명 관련해서 많은 논의가 있었는데 아직도 정리가 안 됐습니다. 이대로 9월 정기국회 가면 혼란, 많은 사회적 비용이 들 것 같습니다. 그래서 다 듣자, 원 풀이 정도는 아니지만, 정서적으로 다 해소하자, 그리고 기술적으로 인정해야 할 것은 인정하고 나머지 정책적 대안만 가지고 국회로 가는 게 맞지 않겠냐, 그게 우리의 역할이 아니겠느냐가 취지였습니다.
그래서 패널의 말을 끊지 않았습니다. 그래서 끝장토론으로 했고요.
(한 말씀에….) 가슴이 척 내려앉더라고요. 기업을 살려야 한다. 국가가 왜 기업을 살립니까? 자기가 살게 두세요. 왜 국가가 관리합니까. 이제 영미 체계로 가지 않으면 우리나라 못 버팁니다.
(끝입니다)
(아, 얘기가 이거네요. 사기업에서 두 분이 나온 게 맞지 않다는 얘기였군요.)
(이때, 김대영 교수가 저 말인가요?라고 말했는데 플로어 분이 ‘네’라고 말했습니다.)
말씀하시는 게 절도가 있으면 좋겠어요. 여기가 여의도 깡패가 아니고. 캄다운하시고.
공인인증 문제도 얘기하셨고, 영미법이냐 유럽법이냐 말했는데 여기에 관련해서 말할게요.
(전자세금계산서에 관한 거 만들 때)
인증서 만들 때 다 독같은데 국세청 인증서는 만원이에요. 이게 기업이냐? 사기업이지. 국가 주도 체제가 시장 주도 체제가 아니에요. 반성해야 하고. 영미 체계이냐 유럽체계이냐, 결론이 나왔어요. 시장이 영미 체계로 가고 있어요. 공인이라는 건 법적 근거 없어도 됩니다. 그리고 너무 아시는 척 하지 마세요. 자기가 똑똑하니까 남들은 무식하다는 패널 토론 없으면 좋겠습니다. 이경호 교수님 평소 좋아하는데 오늘 패널에 불만이 많습니다.
저는 빅데이터 솔루션 개발하는 스터디앤(맞나요?) 김은경( 이렇게 들렸습니다.) 이라고 합니다.
(사회자) 제가 정리하겠습니다. 전자서명법 개정안에 대한 얘기고요. 변화가 필요하다는 데 동의하셨고요. 그런데 영미법으로 다 오픈하는 방식이 있고 유럽처럼 국가가 하는 게 있는 겁니다. 이 두 가지 방식 중에서 어떤 게 됐으면 하는지에 대한 의견으로 정리하겠습니다.
왜냐하면 뭐가 맞다라는 게 아닙니다. 플로어 발언권 드리겠습니다.
(김대영) 정부가 행정부 밑에 있는 동사무소는 이걸 꼭 써라, 이건 명령, 조직이니까. OK? 민간까지 유일한 걸로 강제할 필요는 없죠. 책임의 문제인데. KISA를 받으면 무슨 사고를 당하면 정부가 보증하는지 잘 모르겠고. 민간에서 하면 민사소송이거든. 거기에 민사소송 내면 되는 거에요. 민사 문제예요.
(박성기) KISA가 자율 경쟁하라고 하는데요. 정부 기관이 민간 기관과 자율 경쟁하라는 겁니까?
(김대영) 지금 우리가 말하는 공인인증서는 KISA가 한 pki를 이용한 공인인증서를 말하는 겁니다.
어디인가에서 공인했다고 해요. 사고가 나면 그 회사는 망할 거에요. 오히려 KISA가 한 사고가 더 많고 민간이 한 게 신뢰가 있다고 하면 장사가 되겠죠.
어떻게 KISA, 미래부의 산하기관인데 거기 공무원 과장 하나가 이래라, 저래라 할 수 있잖아요.
나는 오히려 KISA가 불안한 게, KISA는 컴플라이언스 인증을 못받았어요. 거기는 트러스트가 없습니다.
(이정현) 제가 세계 입법 조류에 대해서 말씀 드렸잖아요. 국내도 입법 정책상 문제 없습니다. 김대영 교수가 말한 대로 해도 됩니다. 하지만 우리나라에서 다양한 인증서가 있고 특정 분야는 공인인증서를 쓰면 된다고 했는데요. 그럼 공인은 누가 하나요? 법에 근거하지 않고 어느 기관이 공인인증을 하나요?
(김대영) 최재천 의원이 그렇게 올렸다면 잘못 올린 거예요. 우리가 여기에서 쓰는 공인인증서는 pki를 이용한 인증서를 얘기하고 있잖아요? 그게 문제예요. 거기에서 공인을 뺐다고 해서 섭섭해하시는데. ‘공인’자를 빼고 인증서를 갖고 이렇게 한다면 인증서 중에는 pki를 이용한 공인인증서가 있을 수 있고 pki를 이용하지 않은 다른 공인인증서가 있을 수 있죠. 거기에서 ‘공인’을 뺐다고 해서 pki를 쓰지 말라는 거 아니죠.
법을 안 했지만, 제 국어 실력으로는 그렇게 이해해요.
(아까 배대헌 교수의 발언에 섭섭하신 것 같습니다.)
(박성기) 그렇지 않습니다. 전자서명법 개정안 공인인증서에 대한 이 내용이 삭제돼 있습니다. 법을 발의한 최재천 의원이 신문에 기고하고 블로그에 공인인증서 폐지를 위한 전자서명법 개정안이라고 했습니다.
(김대영) 공인인증서를 유일하게 강제하지 못하기 위한 안전장치를 할려고 하는 걸로 이해했습니다. (최재천 의원의 법안에 대한 얘기입니다.)
(박성기) 개정 전자서명법에는 공인인증서 폐지를 담지 않다고 보시는 거죠?
(박성기) 김대영 교수님은 공인인증서 폐지하자는 거 맞지요?
(김대영 교수가 최재천 의원의 개정안을 두고 조문을 얘기할까요라고 물었는데요. 배대헌 교수가 자격이 없이는 얘기하지 않으면 좋겠다고 말했습니다. 그랬더니..)
(김대영) 법을 잘 아신다고 여기 있는 사람 무식해서 얘기 못하겠다고 하시면 곤란하십니다.
(사회자) 김대영 교수쪽에서 불편하고, 법이 어떻게 가든지간에 이용자 입장에서 말해주셨습니다. 그게 다 전자서명에 관련한 게 아닐 수 있으나, 크로스 브라우징, 개방성 문제를 얘기해줬습니다. 오늘 최재천 의원족에 오늘 얘기를 전달하려고 합니다.
(아, 제가 좀 놓쳤는데요. 배대헌 교수의 지적에 너무 무자르듯이 자르지 말고 이용자 처지에서 불편한 문제이니 같이 논의하는 게 꼭 나쁜 건 아니라고 얘기하는 것 같습니다.)
(배대헌 교수님은 같은 말씀을 여러번 반복해 다르게 설명하셔서 제가 알아서 반 정도는 쓰지 않았습니다. 손목이 아픕니다.)
(배대헌) 전자금융거래법에서 전자서명등의 공인인증서에 관련한 내용을 3조에 규정하고 있는 혹은 2조 정의 규정을 따다 쓸 건 별도 얘기입니다. 전자서명법을 어떻게 개정할 것인가란 얘기가 구체적으로 검토를 해야하는데.
우리는 pki 시스템에 의해서 전자서명 관련한 게 있고, 이걸 공인인증서도 쓰니 얘기를 꺼냅니다. 정작 전자서명법을 어떻게 개정할 것인가, 지난 6월 논의한 전자서명법 전부 개정안을 전혀 논의하지 못하고 있습니다.
공인인증서가 옳으니, 그르니하면 이밤 보냅니다. 전자서명법 개정이 올바르게 가기 위한 것의 논의는 어떻게 할 것인가에 초점이 맞춰져야 합니다.
전자금융거래법은 전자서명을 근간으로 한 내용을 개별법이 채용해 어떻게 할 것인가의 얘기입니다. 전자서명법은 구체적인 기반에 관련한 내용이어서 이것이 개정되면 이것에 관련한 90여개 이상 법률에 영향을 미칩니다.
(배대헌) 구체적으로 우리가 논의하려는 게 무엇인가요. 전자서명법 개정, 공인인증서라고 하는 주제만을 가지고 격의없이 법리, 기술, 혹은 정책을 할 것인가. 사실 오늘 밤이 새도 전체 내용을 얘기하기에 시간이 부족하리라고 생각합니다.
전자서명법 개정안을 두고, 이 개정안이 적절한 개정이 되고 있는 것인가, 현재 개정안 보다 다른 내용을 담은 개정안이 금년 정기 국회에 구체적인 문제에 초점을 맞춰야 합니다.
(말씀 빠른 배대헌 교수님이 마이크 잡았습니다.)
(사회자) 제가 정리하겠습니다. 지금 아이디어를 가지고 얘기할 상황은 아니기 때문에요. 참고로 하나 말하자면. 애플 아이폰5 특허 중 하나가 지문 인식이 홈버튼에 들어 있습니다. 스마트폰에 있는 카드와 결합하는 방법이 특허출원돼 있습니다. 그런 아이디어는 KISA에서 지적한 것처러 새로운 사업자가 많이 개발해야 할 것 같습니다. 아이디어는 그 정도로 하고 이슈만 정리하겠습니다.
(이동산) 액티브X를 안 쓰면 이용자 컴퓨터가 침해 받을 가능성이 줄어듭니다…..
(김인석)…. 그때 안 된다고 한 이유가 인증서가 내 거라는 걸 어떻게 인증할 거냐. OTP 쓸 거냐, 뭘 쓸 거냐. 그럼 OTP를 거래할 때도, 쓸 때도 또 써야 하는가?
(김인석 교수님 목소리가 높아졌네요.)
(김인석) 인증서는 npki를 복제하고 리보크하는 패스워드를 알았을 때 문제가 생깁니다. 그건 내가 PC에서 입력할 때 알아채는 거에요. 그래서 저장돼 있건 안 돼 있건 의미가 없다는 거예요.
(김대영) 물론, 어떤 방법으로든 알아내겠죠. 알아낸 거로…
(김인석) 그 인증서가 서버에 있건 PC에 있건 뭐가 문제냐는 거죠.
(김대영) 시드란 키가 로컬 PC가 내가 패스워드 친 걸 열잖아요. 패스워드가 직접적이건 간접적이건 PC에 저장된 거라는 거죠. 패스워드를 넣잖아요? 인크립션 된 상태로 저장이 되는 거죠. 플레인 텍스트로 저장이 안 되고 인크립션됐다는 거지. 하여간 내 PC에 저장이 됐다는 거죠.
(김대영) 아뇨. 저장이 되죠. 제 비밀번호가 저장이 돼 있기 때문에 npki가 열리는 겁니다.
(김인석) 치는 거 자체를 가져가서 들어오는 건데 그걸 막을 방법이 뭐냐는 거죠. 웹브라우저에 인증서가 올라가 있으면 막느냐.
(김인석 교수의 얘기는 키보드 보안에 대한 얘기일까요?)
(김인석) 그 수단들이 지금 나와 있는 걸 또 쓸 수밖에 없거든요.
(김대영) 아마존은 패스워드밖에 안 쳐요. 패스워드를 PC에 저장하지 않고 웹브라우저만 패스워드에서 응답하고, 브라우저가 서버와 통신하면서 하는 거 하고..
(김인석) 서명키를 암호화하기 위한 패스워드를 저장하는 건 없어요. 치고 끝나지. npki에 있다고 해서..
(이동산) 제가..
인증서 저장 위치에 관련한 것 같습니다. 인증 방법 평가제도라는 걸 예로 들면, 거기에서 요구하는 보안 요구 사항을 충족하는 방식을 이용해 키를 요청할 수 있지 않을까 싶습니다.
(김대영) 프로그램 영역까지 대답할 실력은 없습니다.
아, 두 분이 동시에 말씀하시네요. 누구의 말을 써야할지
(김인석) 금감원이 정점에 있다는 말을 부인하려는 건 아닙니다. 한 가지 궁금합니다. 웹브라우저에 금융회사가 서버에 인증서를 가지고 있을 때 인증서를 리보크하기 위한 방법이 뭐가 있을까요?
(김인석) 토론을 이렇게 하시죠. 말씀하신 거 이렇게 하게 해야지( 김대영 교수의 말에 바로 반박하고 싶으신 것 같네요. 사회자가 패널의 동의를 얻었습니다.)
(김대영) 이건 인터넷익스플로러 몇 점에 최적화 돼 있습니다 그래요. 억지춘향 경우로 윈도우-익스플로러에 묶인 게 불편한 거로 끝나는 게 아니라 우리나라 전체 보안에 치명적으로 영향을 주고 있습니다. 누가 정점에 있느냐. 지금은 금융감독원인 것 같다는 거죠. 거기서부터 풀고 법도 위임한 권한을 남용하지 않게끔 해서 오픈된 생태계가 스스로 살아나게 족쇄를 풀어달라는 겁니다.
(김대영 교수는 말씀을 하며 점점 목소리가 높아졌습니다. 사회자가 발언을 정리하려는데 다시 마이크를 잡았군요.)
(김대영) 루트 인증 기관으로서 KISA를 부정하는 게 아니고 복수의 루트 인증기관을 해달라. 어떤 기관이 그렇다고 베리사인하는 것보다 우리나라에서 인증받아서 세계로 나갈 수 있는 환경을 왜 막냐고.
전체적으로 봐서 얼핏 법 자체는 큰 문제는 없어보일 수 있어요. 일본의 법이 얼마나 민주적으로 돼 있습니까? 위안부 인정해요? 안 하잖아요. 지금 법이 문제가 아니에요. 똑같은 환경이에요.
지금 금감원이 단순히 금융 보안으로 끝나지 않고 실질적으로 공인 보안, 우리나라 전체의 인증 시스템을 자의반 타의반 잡고 있는 환경인데. 그걸 실무적으로 실행할 때 잘못돼 있다는 거죠. 그래서 저는 아까 하신 많은 부분의 비난이 사실에 근거하지 않은 잘못된 비난이라고 생각하고요.
pki 자체가 문제가 아니고 pki를 운영하는 우리나라의 잘못된 프랙티스가 문제이다. 저장한다는 얘기는 빗겨가라는 얘기랑 똑같아요. 클라이언트에 저장 안 되는 브라우저, 서버를 이용해서 공인인증서이며 공개키가 구현이 되는 그런 걸 빨리 확산하고 실무에 있는 분도 교육하여 모두다 그런 환경으로 빨리 가면 좋겠습니다.
(김대영) KISA를 없애라고 한 적도 없습니다. 전혀 없습니다. KISA뿐 아니라 다른 루트 인증기관도 할 수 있게 문을 열어달라는 거죠.
왜 루트 기관은 한나라에 하나만 있으면 되지 왜 여러개냐고 말씀하시거든요. 물론, 금융만큼 심각한 게 아니지만, 내가 충대에서 와이파이를 깔면 그 아이디로 원키로 들어갑니다. 내 국가 서버, 글로벌이 페더레이션으로 뮤추얼 트러스트합니다.
KISA는 페더레이션 안 하는 거에요. 그건 한국에서만 유용한 거에요. KISA는 공인인증을 한다고 하고 루트 기관을 KISA 아닌 다른 곳에도 열어주면, 말씀은 사대주의다, 베리사인이 들어와 다 먹을 거다, 무정부주의다,라고 하는데요. 인터넷이 무정부주의 아니에요? 인터넷은 미국의 독점적인 인프라에요. 완전 공공의 적이네요?
그렇게 얘기할 게 아니고 루트인증기관도 할 수 있게 열어주면 KISA 밑에서 800억원밖에 안 되는 시장에서 하는 게 아니라, 우리나라 루트 인증 기관이 잘 해가지고 중국에 가서 베리사인을 제끼고 그런 시장을 먹을 수도 있는 거구요. 그게 어떻게 사대주의이며, 그게 무슨 무정부주의냐구. 그건 맞지 않는 비난이에요.
(김대영) 실무에 있는 사람이 구속할 그게 없는데 서로 요구하고 따르는 걸 떠나서, 표준 웹 환경으로 구현하는 걸 빨리 더 확산을 시키고 그걸 실무선상도 교육을 시키고 그렇게 기술적으로 풀어쓰면 좋겠습니다. 그게 표준웹으로 가는 거죠.
이게 가장, 제가 보는 기술적으로 가장 접근하는 방법일 것 같아요. 공인인증서다, 전자서명이다 섞어서 하는 pki 자체는 그거는 지금까지 알려진 기술 중에서 신원 인증하는 가장 발달한 방법이다, 그걸 부정하기 어렵다, 다만 그걸 구현하는 방법에 있어서 마이크로소프트와 이상한 그 환경만 걷어내어 pki 프로덕트를 많이 내고 장려하고, 그렇게 빨리가면 좋겠습니다.
저는 개정안을 얘기한 겁니다. 개정안을 읽고 제가 이해한 건 개정안을 공격하는 주요 아규먼트는, 신문기자가 타이틀을 잘못 잡을 수 있어요. 그런데 공인인증서 폐지를 주장한다고 공격하는 건 잘못된 겁니다.
공인인증서를 강제하지 않도록 하는 안정장치를 얘기한 거죠.
(김대영) 다시 pki로 돌아와, 이걸 PC 환경에서 안전하게, 그리고 구현 방법이 나쁜 악습인 액티브X와 같은 플러그인을 안 쓰는 방향으로 간다는 데서는 개발했으니까 됐다고 하는 건 말이 안 돼요. 그게 널리 쓰고 있어요? 내가 들어가는 데 그걸로 된 웹사이트가 몇 개나 있겠냐고요.
브라우저에서 저장하지 않고, 어도비 플래시도 스티브 잡스가 살아있을 때 거부했잖아요. 표준 html 환경에서 웹브라우저에서 구현하는 방법이 있습니다. 그게 100% 안전하냐? 그건 아니에요. PC에 저장하거나 USB에 저장하는 것보다 훨씬 안전합니다.
그럼 내가 웹브라우저, 서버를 어떻게 믿느냐의 문제인데요. 보안의 문제는 아무것도 모르는 클라이언트한테 모든 책임을 지게끔하는 것보다 서버 쪽을 잘 관리하고, 그건 몇 개 안 되니까 타이트하게 관리할 수 있고. 그게 그나마 가장 안전한 방법이에요.
(김대영) 현장에 있는 사람이 잘못된 기술을 강요한다는 거죠. 원하지도 않았는데 금융쪽이 먹이사슬 꼭대기에 억지로 서게 됐다고 말씀했는데요. 현재로 얘기하면, 저도 다른 거 할 때 공인인증서 안 써요. 모바일은 3년 전 아이폰에 뒤통수 맞아서 된 거고. PC인프라를 같이 해결해야죠. 그래서 프랙티스가 문제인데.
히스토리를 들으니까 금융감독원은 복제 문제 해결하라고 정통부에 얘기했는데 안 됐다고 했죠. 그때 정통부라든지 기술하는 사람이 더 책임이 있었네요. 그건 제가 인정을 해드리고.
(김대영) 공인인증서와 액티브X가 묶여 있습니다. 관계가 없으니까 하지 말라는 건 프랙티스에서 그건 아닌 거 같고요. pki라는 거는 표준입니다. ISO ICS 표준입니다.
자기 PC에 저장하지 않는 방식으로 구현이 돼야지, 플래시이건 USB이건 저장하는 순간 pki 밸류는 하늘로 날라가버리는 거에요. 그 방법으로 pki는 패스워드 이상 갈 게 없어요. 그 수준으로 떨어지는 거든요. 현재 우리나라에서 프랙티스로 되는 공인인증서 방법은, 2011년 9월 해킹 시연을 국정감사에서 했죠.
현재 공인인증서 프랙티스가 문제 있다고 해서 부가 인증수단을 도입했어요. 지금과 같은 방법으로 공인인증서를 하는 건 문제가 있다는 건 국회도 정부도 인정했습니다. 그렇지 않으면 부가를 도입 안 했죠.
공인인증서를 폐지하자는 것도 아니고 강제하지 말라는 건데요. 금융감독원이었던 것 같은데요. 어느 회사인지 한 회사인지, BC카드가 이 회사(페이게이트 이동산 이사를 가리키며)에 하는 거 막은 게 npki 폴더에 저장하지 않아서 막았단 얘기를 들었어요.
(김대영) 북한, 실제 그런 멋있는 허울을 두고 실제 그거를 힘을, 행사하는 그 과정에서 실제적인 과정에서가 어떻게 되느냐가 문제다라는 겁니다. 인터넷 보안에 대해서는 우리나라 문제가 바로 그거다라는 거에요. pki 폐지했다고 한 거 틀린 말입니다.
지금의 문제는 pki를 폐지하자고 한 적 없고 개정안에도 없습니다. 강제하지 말라는 겁니다. 저는 신원확인과 인증은 certification입니다. 신원확인하는 과정에서 전자서명이 문서에 대한 디지털시그니처가 됩니다. 그걸 하는 기술로는 pki가 제일 우수해요. pki가 문제는 아니에요.
우리가 얘기할 때 pki를 얘기하는지, 인증서, 구조, 신원확인을 얘기하는지 서로 헤맨다는 거죠.
(김대영) 간단하게 얘기하라고 하셨는데 간단하게 얘기를 할.. 그래도 뒷분은 저보다 훨씬 길게 하신 것 같아요. 김인석 교수님을 오늘 처음 뵀는데 문제 핵심을 잘 집중해주신 것 같습니다. 다만 오른쪽에서 3분이 하신 말씀에 코멘트를 안 하고 지나갈 수 없는데요. (박성기 부장, 배대헌 교수, 이정현 책임연구원을 말하겠죠.)말의 용어를 조심하라고 하는데요. 뭘 모르고 얘기한다라는 식으로 말씀하셨는데 그거야 말로 제가 하고 싶은 말입니다.
걱정이 되는 건 저야 법이나 인프라, 보안환경에 영향을 미칠 수 있는 자리에 없는 사람입니다. 정책 방향을 정하는 데 불려가고 자문하는 분인데 그분들이 저런 인식을 갖는 데에 경악을 할 수밖에 없습니다.
(이동산) 3시간 정도 공인인증서 취지와 역사, 흘러온 과정을 들었습니다. 대부분 개선이 필요하다는 의견을 주셨습니다 .저도 개선이 필요하다는 데 공감합니다. 토의를 할 때 옛날 얘기는 뒤로 빼고 어떻게 해야할지에 집중하면 좋겠습니다.
(7시 18분, 이제 시작합니다. 사회자가 자리를 정리합니다. 패널도 모두 자리에 앉았습니다.
앞에서 나온 얘기에 대해 패널이 반박 또는 자기 의견을 밝히고, Q&A도 진행합니다.)
(사회자는 7시에 시작한다고 했지만, 식당 줄이 깁니다. 제가 빨리 온 편입니다.
식사는 토론회장에 들어갈 때 받은 목줄에 있는 식권을 내고 했습니다. 주최측은 이미 밤늦게 끝날 거라고 생각했었나 보네요.
다들 저녁은 햄버거와 콜라 한 잔으로 때웠습니다. 토론회를 시작해야, 중간에 간 사람이 어느 정도인지 알 것 같습니다.
그래도 오늘 10시 전에는 끝날 것 같습니다. 이곳을 10시까지만 빌리기로 했다고 합니다. 입간판에 있는 10시까지 할 수 있다는 문구 보이시나요?)
(이제 쉬는 시간입니다. 7시에 다시 시작합니다)
(이 분이 아직 성함과 소속을 밝히지 않은 게 맞군요. 김인석 고려대학교 교수입니다.)
저는 고려대학교 교수로 있고, 2011년 3월 7일부로 감독원에서 퇴직했습니다. 감독원에 있을 때는 96년부터 은행감독원, 금융감독원으로 있으며 전자금융거래법, 감독법, 서명, 사고, 인증서, 보안카드, OTP, 결제원, 인증센터, 아이삭 등 설립에 관련한 모든 건 제 손을 거쳐서 했습니다. 그 문제에 대해서 각각에 대해서 누구하고 토론해도 충분히 납득시킬 자신 있습니다.
답답해서 짜증나는 얘기를 많이 듣는데 그런 얘기를 안하면 좋겠습니다. 인증서가 복제 돼 있으니 로밍하자고 해요. 로밍할 때 그걸 찾으러 갈 때 뭘로 찾겠나? 결국 패스워드를 넣습니다. 패스워드에 문제가 있다고 해서 인증서 썼는데, 그게 무슨 짓입니까. 비자 안심클릭이 그렇습니다. 인증서가 있고 그 인증서를 부르려면 키를 써야해요. 2008년 ISP 결제 사고 난 게 그래서 난 겁니다. 그런 거 안 해본거 아니에요. 다 검토해봤어요.
기사가 답답한 게, 인증서를 만들 때 거래 전까지 암호를 했어야 했는데 그걸 못했어요. 서명은 암호화했는데 데이터는 암호를 안 했어요. 두 가지 목적으로 pki를 쓰는 거니까 안정성을 확보하는 걸로 토론하시고, 법적 토론은 안 했으면 좋겠어요.
불편하면 인터넷뱅킹 이용률이 40% 떨어져요. 그럼 영업점이 부담해야 해요. 제한하면 그런 역효과가 납니다. 그때부터 인증 기관에 이런 문제 얘기했어요. 복제 문제 어떻게든 막아야 한다고.
그런데 불행하게 그때 약속한 차관님이 그만둔 바람에 인증기관에 대한 파급이 안 되는 거 같아요. 복제 문제만 해결하면 별 문제 없을 것 같아요. 사설이든 공인이든 그건 중요한 문제 아닙니다.
(사설인증 쓰라고 하면) 은행이 자기끼리 모여서 금융인증서 만들 겁니다. 여러분들 각 분야별로 전문가이신데 전체를 보고 그거에 대한 효과와 역효과, 발전방향을 얘기해야 하는데 자꾸 우리는 문제 없다고 하면… (무책임하다고 하는군요)
인터넷뱅킹 홈페이지 개발할 때 전부 액티브X로 개발하죠. 인증서와 액티브X는 연결된 게 맞습니다. 지금 이 문제를 두 가지로 봐요. 오픈웹에서 사용 못하는 것, 인증서 복제. 다른 거 자꾸 법 얘기 할 필요 없어요. 두 가지만 해결해주면 돼요. 액티브X는 이미 은행이 오픈뱅킹 만들어서 문제 없습니다. 복제 문제? 스마트폰에 저장하라고 하는데요. 인증서는 편리하라고 쓰는 겁니다. 어디다 저장하라고 하면 사용률이 떨어져요.
지금의 전자금융 인프라에 상당히 자부심을 갖고 있는데 2006년부터 김기창 교수님이 저를 공격하는 겁니다. 저기 앉아 있는 저 사람이 있다고 공격하는데요. 리눅스와 맥킨토시 환경에서 왜 못 쓰게 하느냐란 얘기였습니다. 그건 감독자가 아니라 은행이 이익이 되면 하는 거고 아니면 안 하는 건데 왜 감독원에 얘기하느냐고 했습니다.
2002년 9월 공인인증서하기로 했는데 비용을 안 해주는 거에요. (중요한 대목에서 단어가 흐릿하게 들리는군요..)
공인인증서를 금융권이 사용한 건 감독기관 문제다,라고 했는데요. 그 당시도 공인인증서는 정부에서 쓰는 거였습니다. 금융 전용 인증서를 만들자고 얘기를 했습니다. 아마 그때 만들었으면 지금 이런 문제 안 생겼을 거에요. 공인이란 말을 왜 만들었느냐는 논란을 들으면서 아, 그때 잘못했구나 금융인증서를 만들었으면 이런 문제 안 생겼을 텐데.
그때 인증서 내려받는데 30분 걸립니다. 또 하나, 법적으로 사설 인증으로 문제가 발생하면 은행이 책임을 지고 업체에 부과하는데 업체가 영세합니다. 그래서 나온 게 공인인증서입니다. 공인인증서로 가면 이런 문제는 있는데 그건 사설 인증도 똑같다라고 했습니다.
그래서 제가 조건을 걸었습니다. 비용은 정부가 해결하고 복제 문제도 해결해달라. 급박한 정부가 그걸 약속을 했습니다. 그 당시 정통부 차관께서 자기가 보증할 테니까 해달라. 서명으로 해달라고 하니 회의하면서 어떻게 그렇게 해줄 수 있느냐라고 했습니다. 그때 김성동 금융위원장을 모시고 갔는데 차관이 개런티하면 된 거지, 김팀장 그렇게 세게 나오면 안 돼,라고 했습니다.
그 당시 말씀하실 때 처음부터 공인인증서를 금융기관에 도입해 문제라고 하는데요. 96년 최초 해킹 사고가 있어서 2년 동안 은행이 그때 중단하면서 조건을 줬죠. 본인인증을 강화하고 데이터를 암호화해라. 98년 8월 새로운 모델을 개발했다고 하여 저한테 승인을 받으러 왔어요. 이 정도면 좋겠냐고 해서 보니, 암호, 인증, 보안카드, 3가지 문제를 해결해서 가지고 와서 적용했는데 그때 은행별로 사설인증을 썼습니다. 인증 시스템을 개별적으로 쓰다보니까 보통 우리가 금융기관 5개와 거래하는데 짜증이 납니다.
분명한 건 2002년 6월, 그때 안 잊어버리는 게 포르투갈 전이 열린 날 광화문 사옥에서 회의를 했습니다. 결국 3시 회의하기로 했는데 5시에 들어갔어요. 그 것도 걸어서. 그때 나온 얘기가 왜 금융권이 이걸 안 쓰냐? 못 쓴다. 이유는 첫째 법제. 두 번재는 비용. (중요한 단어들이 안 들립니다.)
그 당시 정부가 급했던 게 2002년 10월 전자정부를 도입해야 하는데 그럴려면 인증서가 천만이 필요한데 정부 힘으로 할 수 있는 방법이 없었어요. 그래서 인터넷 뱅킹에 공인인증서하고 9월말까지 천만인증서를 발급해달라는 요청을 받았어요.
플로어 청중인데요. 본인이 공인인증서 도입한 장본인이라고 합니다. 성함을 밝히지 않았는데 김모 교수라고 한 것 같습니다.
정말 식사를 준비했다고 합니다. 플로어 질문을 받고, 저녁을 먹겠다고 합니다.
(이정현) 앞으로 결격 사유가 없으면 공인인증기관으로 지정하는 걸로 바꿀 예정입니다.
정부가 만든 전자서명법 개정안이 8월 국회에 제출됐다고 합니다. 이 포스트에 사진을 첨부해 올리겠습니다.
(이정현) 휴대하기 불편하다고 하는데요. (정부 정책이 문제라는군요.)하드디스크에 저장했죠. 그 당시에는 해킹 기술이 있었죠. 남의 컴퓨터에서 뒤질 수 있었죠. 그 당시 해커는 자기 과시형 해커였습니다. 그냥 하드디스크에 둬도 별 문제가 없을 거라고 결단을 내린 거죠. 그게 십여년이 흐르며 해커가 이 폴더, c드라이브 npki 찾죠.
김기창 교수님은 여러분의 모든 PC는 좀비 PC라는 걸 전제하고 말하는데 그건 일반화 오류가 있습니다 .이건 관리를 잘하면 됩니다. 문제는 하드디스크는 더는 안전하지 않습니다 USB도 안전하지 않습니다. 독일이 우리나라보다 전자서명법 먼저 만들었습니다. 독일은 하드디스크에 저장하지 않습니다. 스마트카드였습니다.
(이런 연구가 있다고 합니다. 종이 서명할 때 베껴 쓰면 서명이 힘있지 않고 머뭇한 게 보이는데요. 이걸로 본인이 했는지를 보겠죠. 패드에 대고 하는 서명도 이걸 확인하는 기술이 있다고 합니다.)
(이정현) 다양한 인증수단 보급이 미흡하다는 지적에 대해.
R&D 열심히 하지 않은 게 많아요. 공인인증기관 만날 때마다 블루오션 찾으라고 합니다. 무료로 공인인증서를 발급해 보급하다 보니까 자본잠식이 있고 힘들었습니다. 김기창 교수님은 공인인증기관 그동안 잘먹고 잘 살았다고 하시는데요. 제가 볼 땐 애처롭습니다.
(이정현) 인증서가 불편하다고 하는데요. 액티브X 없이도 공인인증서 사용합니다. 16일인가요? 엊그제 3천만명이 사용한다면서 나와 있지 않습니까? 모바일 뱅킹할 때 액티브X 씁니까? 인증서와 액티브X는 그것만 봐도 무관한데 은행에서 깔리는 것 중 하나에 불과합니다. (아.. 자세한 얘기는 나중에 얘기한다고 하는군요. 지금이 6시인데 말이죠. 정말 10시까지 할 것만 같습니다.)
(이정현) 현 공인인증제도 문제점을 많은 분이 얘기했는데요. 전자서명법이 이렇게하라, 저렇게 하라고 하는 건 없습니다. 어느 정부부처도 얘기하지 않았습니다. 다만, 이걸 전자거래에서 쓰는 데에 금감원이 주도했습니다. 전자서명법은 인프라입니다. 세계 100여개국이 전자서명법을 제정했습니다. 중요한 인프라입니다. 이 인프라를 흔들어서 쏠림현상, 여기저기 공인인증서만 쓰인다고 인프라를 흔드는 건 문제가 있습니다.
(이정현) 전자서명에는 광의의 전자서명, 협의의 전자서명이 있습니다. 공인 전자서명은 광의와 협의의 전자서명 사이에 있습니다. 수기 서명을 스캔한 이미지도 전자서명이고, (식당에서)터치패드에 서명한 것도 전자서명, 키보드로 입력한 것도 전자서명, 지문 인식이나 홍채 인식 기술 활용한 것도 광의의 전자서명입니다.
이런 개념이 없이 전자서명이 문제가 있다고 하는 것은 이해가 부족하지 않는가 생각합니다.
(설명을 알아듣기 어렵고, 영어를 섞어 말해서 타이핑을 못하고 사진을 옮기고 있었습니다. 다행히 이정현 연구원이 잠시 벗어난 얘기를 했다고 합니다. 다행입니다. 정말
독일과 미국 얘기를 하며 전자서명법이 우리나라에만 있는 특수한 건 아니란 걸 강조합니다. 미국은 주에서 전자서명법을 만들고 연방 전자서명법도 있다고 하는군요.)
(이정현) 공인인증서가 우리나라에만 있는 거 아닙니다. 독일, 미국에도 있습니다. (상세 설명은 원문 그대로 읊어주어 옮기기가 어렵네요.)
(이정현) 우리나라 전자서명 관리 체계는 이렇게 돼 있습니다.
정부→Root CA: 한국인터넷진흥원 →공인인증기관 5곳.
독일의 전자서명인증관리체계
(이정현)
Stephen Mason ‘Electronic Signatures in Law’를 보면
규제모델: 유타주법, PKI 중심, 수기 서명 대체 방법, 우리나라
시장모델: 미 다수주, 특정 기술적 규제X, 인증기관요건 X, 조달과 같은 정부 거래에는 허가를 요구
혼합모델: UNCITRAL(유엔 국제상거래법위원회) 전자서명 모델법, 인증기술의 고유한 특질을 법률에 정함
(말씀이 너무 어려워 PT자료와 설명을 섞었습니다)
(이정현) 우리나라는 유타 주 전자서명법과 독일의 전자서명법을 모델로 1999년 제정했습니다. 최재천 의원은 미국과 영국의 전자서명체계를 따르자는 입장입니다. 인증기관은 미약하게 하고 인증은 공인인든 비공인이든 쓰고, 사례별로 효력을 상이하게 하자고 합니다.
(이정현) 그때 많은 문제가 있었습니다. 외산인 ‘베리사인’거 쓰자고 했는데 상당히 고가였고, 기술 종속될 수 있다는 것도 고민이었습니다.
(이정현) 98년, 99년 당시 우리나라를 IT 강국으로 발전시켜야 하는데 무엇이 있을까 하여, 유타주의 전자서명법을 참고해 제정했고 상당히 유용해 우리나라에 도입해 국민이 편하게 쓰게 하면 사이버 세상에서 자기를 밝히고 서명 행위를 하니 좋은 것 같다고 하여 하나의 아이템으로 전자서명법을 연구했습니다.
(이정현) 박성기 부장이 서명은 죽고 인증만 남았다고 했는데요. 사인 행위를 전자적으로 어떻게 확인하는지가 관건입니다. 거기에서 pki, 전자서명 기술이 나왔는데 서명 확인은 사라지고 본인확인만 남았습니다.
아, 한 분이 얘길 안 했네요. 한국인터넷진흥원, 그동안 KISA얘기 많이 나왔는데 바로 그곳입니다. 이정현 책임연구원이 얘기를 합니다.
(휴, 5시 36분, 이제 6명 패널이 이제 발표를 마쳤습니다. 손가락이 움직이는 속도가 점점 느려집니다. 좌석도 조금 비었네요. 중간 중간 나간 분도 있습니다. 얘기가 길어지며 오가는 분이 있는 것 같습니다.)
(박성기) 공인인증서 사고 문제는 온라인 발급입니다. 이건 2010년 pki 포럼에서 애기가 나왔습니다. 금융당국과 협의해 개정이 진행되는 거로 압니다. 온라인 발급이 사고의 대부분을 차지합니다.
그렇기 때문에 이 부분은 법률 폐지가 아니라 규정을 없애면 됩니다. 원래 공인인증서의 온라인 발급은 처음부터 없었습니다. 편의성을 위해 만들었는데 문제라면 없애거나 변경하면 됩니다. 지금까지 잘못된, 모순된 주장에 대해서 제대로 파악을 하셔야 할 것 같고요.
끝으로 질문하겠습니다. 공인인증서 제도가 유지돼야 한다는 취지로 말하는데 지금 올라온 전자서명법 개정안은 폐기돼야 타당한 거 아닌가요? 전자서명법 개정안은 공인인증서 폐지를 담고 있습니다. 최재천 의원 블로그를 가도 폐지라고 돼 있습니다. 그럼, 이 전자서명법 개정안은 누가 원하는 건가요? 누구도 원하지 않는 게 왜 존재해야 하나요?
(박성기) 여기 계신 분도 공인인증서 제도는 인정합니다. 그런 상황에서 공인인증서 비공인인증서가 상호 보완 발전합니다. 다른 나라는 글로벌 독점 기업이 장악했습니다. 이런 산업 체계가 좀 더 정비돼 발전하면 좋겠습니다. (전자서명법 개정안도 이 방향으로 수정되길 바라는군요)
단지 신용카드 결제를 위해 제도를 없애라는 게 타당한 겁니까. 오픈웹 환경을 만드는 데 공인인증서가 무슨 상관 있습니까. 공인인증서 리눅스, 파이어폭스 다 사용 가능합니다. 기업체가 솔루션을 구입해 사용하면 리눅스에서도 사용 가능합니다. 그렇게 된 지 수년 됐습니다. 공인인증서 때문에 IE 환경으로 이끈다? 모순된 겁니다.
(박성기) 그렇기 때문에 백도어 해킹하는 데 공인인증서가 원인은 아닙니다.
그리고, 국회의원도 모르는 전자서명법개정안입니다. 전자신문 기자가 개정안 낸 의원에 연락했는데 내용을 몰랐습니다. 김기창 교수에게 물어보라고 했습니다.
(박성기) 지금 금융권에서 사고가 일어나는 대부분 해킹 방식 90% 이상이 이렇게 일어납니다. 백도어 해킹입니다. 바이러스 백신을 무력화하고 키보드 보안을 무력화하는 단계를 거쳐서 통장 비밀 번호, 보안카드 번호, 아이디 패스워드, 계좌번호, 주민번호를 빼갑니다. 이를 탈취해 공인인증서를 새로 발급받습니다.
이건 제도적인 문제입니다. (공인인증서 온라인 발급하는 제도를 말하는군요) 이런 정보가 유출되는 게 공인인증서가 취약해서입니까? 액티브X 쓰지 않는 크롬 환경이 취약하다는 거 아는지 모르겠습니다.
(박성기) 그래서 공인인증서 유출되어도 안전하다는 겁니다 .공인인증서, 단지 로그인할 때 쓰는 겁니다.
(박성기) 공인인증서가 유출됐다고 해서 은행돈을 왕창 뽑아갈 수 있는 거 아닙니다. 공인인증서는 소프트웨어입니다. 공인인증서 비밀 번호, 통장 비밀 번호, 보안카드 번호, 신용카드 번호, 신용카드 비밀 번호, 주민번호 못알아냅니다.
(박성기) 참으로 답답한 게, 갈라파고스 주장하는 분은, 자신들이 만든 갈라파고스에 살면서 다른 게 갈라파고스로 보이는… 속담에 뭐 묻은 거에 뭐 묻은 거라는 얘기 있죠. 공인인증서로 발생하는 보안 문제는 이렇습니다.
공인인증서의 보안사고 문제는 딱 나와 있습니다. 일단 유출 방지 문제입니다. 유출되어도 됩니다. (이유는 뒤에 설명한다고요.)유출되는 문제에 대해선 정책적으로 빨리 결정해서 적용하느냐 문제입니다. 빨리 도입 안 하는 정부 기관과 공인인증기관에 문제가 있는데요.
스마트폰에 저장하는 겁니다. 비밀 번호를 스마트폰에서 넣는 겁니다. PC가 해킹을 당해도 스마트폰에 저장해 안정하죠. HSMI 방식이 있고요. KMI라는 키로밍 방법이 있습니다. 불러서 PC에서 쓰고 일정 시간이 지나면 사라지는 것도 있습니다.
공인인증서 유출 문제는 기술은 다 나와 있으므로 정책으로 어떻게 할 것인가 저장하면 됩니다.
(박성기) 금융 당국과 얘기해서 끝나면 됩니다. 전자서명법에서 공인인증서를 폐지할 문제가 아닙니다. 도입 안 하면 됩니다. 그런데 은행 때문에 다른 산업도 무너지라는 겁니까? 지금 상태에서도 은행은 자유롭게 선택을 할 수 있습니다. 은행권과 신용카드가 공인인증서 도입한 배경을 보면, 2002년도 쯤, 금감원이 권고를 했습니다. 그게 지금 이어져 오면서 사용하게 되었습니다. 신용카드사도 2004년도 쯤, 신용카드사와 금감원, PG사가 적용한 걸로 압니다.
처음 10만원으로 했다가 업계 반발로 30만원으로 올린 걸로 아는데요. 이게 마치 공인인증 기관이 요구했다? 전혀 아닙니다.
(박성기) 지금 논의 보면 은행과 금융 얘기를 하면서 전자서명법 개정안을 말합니다. 금융 논의하면 되는데 왜 전자서명법을 개정하고 공인인증서를 폐지해야 합니까.
(박성기) 전 전자문서 팀에서 일합니다. 전자문서 산업 자체가 효력 상실입니다. 인증이 없는 상태에서 당사자끼리 맞아, 맞아가 되겠죠. 제3자는 누가 전자문서 진본인지 확인하겠습니까. 연관 법률이 90개 입니다. 이 90개 법률을 무력화하는 게 전자서명법 개정안입니다. 어디서 있다 나왔는지 모르게 개정안이 올라갔습니다.
(박성기) 또 하나, 인증만 존재하고 서명은 사라집니다. 우리나라에서 서명은 사라졌습니다. 인증이란 게 본인인지 확인하는 겁니다. 신용카드 거래할 때 인증만을 요구합니다. 이 자리에서도 논의한 게, 인증을 이야기한 겁니다. 전자문서나 전자계약에 들어가는 서명에 대해서는 일언반구도 없습니다. 인증과 서명을 분리하지 않거든요.
이걸 비 전문가는 모릅니다. 인터넷뱅킹에서 공인인증, 이걸 공인인증서의 모든 거라고 생각하는 겁니다.
(박성기) 개정안은 국민의 희생을 강요합니다. 공인인증기관 스스로 과실이 없다는 걸 입증해야 하는데요. 개정안에는 이런 조항이 없습니다. 그럼 나중에 문제가 생겼을 때 과실 없는 걸 누가 증명해야 합니까. 은행은 금융 전자거래법에 의거, 은행이 밝혀야 합니다. 쇼핑몰은 누가 밝혀야 합니까. 답답한 사람이 우물을 파야 합니다.
(박성기) 이번 전자서명법 개정안은 국민에게 금전적 부담을 줍니다. 사용자는 해당하는 인증서를 다 보유를 해야할 겁니다.
그리고 개정안에 모순이 있는 게, 3조 2항은 애매하게 해석 가능합니다. 사실 인증을 하지 말라는 겁니다. 해석하기 나름인데요.
=> 제3조(전자서명의 효력 등) ② 누구도 자신의 의사에 반하여 전자서명을 하도록 강요되지 아니 한다.
(박성기) 제3자 전문기관 검증 부분은 무정부주의 발상 아닌가요. 정부기관이 아니면 누구에게 검증을 받으라는 건가요? 6월 토론회에서 김기창 교수님이 제시한 게 이 자료입니다. (인쇄해 왔군요)
우리같은 공인인증기관이 제3자 공인인증을 하는 겁니다. 전혀 다른 자료입니다. 아직까지 세계적으로 루트CA에 대해서 제3자 공인인증을 받는 경우 없습니다.
(박성기) 은행에서 액티브X 많이 쓰는데요. 7개 중 단 한 개라고 했는데요. 국민은행과 신한은행의 안철수 연구소 보안 프로그램입니다. 안철수 의원께서 대선 공략으로 액티브X 폐지, 공인인증서 폐지 주장하셨죠. 안철수 연구소 보안프로그램, 액티브X로 깔립니다.
인터넷에 공인인증서, 액티브X를 비난하고 짜증내는 분 많은데요. 설치하는 프로그램 중 단 하나입니다. 더이상 공인인증서 때문에 짜증난다는 건, 공인인증서가 아니라 키보드 보안프로그램이나 v3같은 바이러스 프로그램, 그런 것들입니다.
(박성기) 15년 된 낡은 기술이라고 주장하는데요. 공인인증서는 해마다 기술 발전을 거듭합니다. 낡은 기술이라는 증거를 제시해주면 좋겠습니다.
(지금, 이니텍이 액티브X없는 공인인증 구현이란 기사를 보여주는군요.)
액티브X는 기업의 선택의 문제입니다. 일부러 드림위즈걸 캡처했습니다. 이찬진 사장님이 얼마전 트위터에서 현대카드 사장님에게 얘기했죠. 이찬진 사장님의 드림위즈에서는 액티브X를 왜 사용합니까? 그렇게 액티브X 없애라고 주장하는 분이. (드림위버 내려받는 화면을 캡처한 것 같습니다)
(박성기) 공인인증서가 죄인인양 공격을 하는데요. 모 회사가 지불 결제하는데 해외 서비스를 공략하는데 공인인증서가 문제가 됐습니다. 특수 목적을 위해서 사실을 왜곡해 공인인증서를 공격해서는 안 될 겁니다.
페이팔, 우리나라가 인증을 도입하는 데 보안에 취약하다고 하는데요. 안심결제나 ISP는 공인인증서와 작동 방식이 비슷합니다. 사고가 크게 일어났다는 얘기 듣지 않았습니다. 그런데 오픈넷이 안전하다고 주장하는 페이팔을 보십시오. 검색해보십시오.
(박성기)
공인인증서와 금융을 결부해 공인인증서를 공격하는데요. 해외에서 결제하지 못해 우리나라 쇼핑몰이 해외에 진출하는 데 장애가 있다고 하는데요. 외국쪽에선 공인인증서가 필요 없습니다. 국내는 30만원 이하 거래가 전체 거래의 90%를 차지합니다. (이 금액은 공인인증서 없이도 거래할 수 있지요)
외국으로 진출하고 싶은 쇼핑몰은 외국인이 결제하는 전용 모듈을 쓰면 됩니다. 이건 PG사 서비스의 방식의 문제입니다. 금융 당국과 신용카드사의 정책적인 문제이지, 공인인증기관과 공인인증, 전자서명법의 문제가 아닙니다.
(배대헌) 전자서명법은 각 나라 법으로 맞춰야 합니다 이게 해결이 안 되어 아시아 8개국이 공인인증을 호환하지 못했습니다.
(여러 나라가 공인인증서를 호환할 노력을 하는 중인데 법제정 문제로 더딜 뿐, 우리나라만 공인인증서를 쓰는 건 아니라는 군요.)
(박성기) 휴대폰 인증, 본인인증, 신용카드 결제할 때 VP가 서비스하는 ISP, 모두 비 공인인증입니다. 공인인증 때문에 다른 산업이 죽는다? 말도 안 되는 소리입니다.
갈라파고스 이론을 주장하는 분이 있습니다. 지금 공인인증 제도는 각 나라에 퍼졌습니다. 특히 아시아 pki 포럼은 8개국이 우리나라 것을 벤치마크하여 자국 것으로 만들어 서비스합니다. 중국, 일본도 마찬가지입니다. 스웨덴, 노르웨이 등이 금융 거래에 공인인증을 씁니다.
(박성기) 공인인증서 파생 산업이 어마합니다. 인터넷 금융거래가 우리나라가 세계 최고입니다. 미래부 모 과장은 1년에 우리나라에서 거래되는 금융 거래가 1경 2천조원, 이라고 합니다. (이 수치는 확인해봐야할 것 같습니다.)
우리나라가 외국에 비해가지고 pki 기술이 상당히 앞서 있습니다. 이런 걸 전혀 언급하지 않고 낙후한 기술이다, 우물 안 개구리다, 이런 말씀하시는데요. 외국에 우리나라처럼 많은 인증 기술이 있는지 한 번 언급해 주시었습니까? 우리나라 자본 규모에서 인증 벤처 회사 많습니다. 단지 인증이라는 시장 규모가 작을 뿐입니다. 공인인증서는 전체 시장 규모가 1000억원도 안 됩니다. 800억원으로추정합니다. 모 국회의원은 2천억원이라고 얘기하시더라고요. 이 시장을 5개 인증 기관이 나눠서 합니다.
(박성기) 여태까지 언론에서 추측기사가 나왔습니다. 6월 이전 이 일이 벌어지는 줄 몰랐습니다. 이 업무를 하면서 기자분께서 저나 회사에 확인 전화를 한 게 몇 번 안됩니다. 이러니 여론 성토, 오보. 왜곡된 정보 때문에 이런 사태가 벌어졌다고 봅니다.
(박성기) (시장 환경을 바꾸려고 공인인증서를 폐지하는 걸로 얘기를 몰고가는 건 문제가 있다고 본다고 합니다.)
아, 바로 시작하는 군요. 이제 박성기 한국정보인증 부장이 얘기합니다.
(배대헌) 에펠탑은 프랑스 혁명 100주년 기념으로 만든 소형물이었는데요. 만국박람회가 끝나면 철거할 예정이었답니다. 모파상은 저 에펠탑을 싫어했습니다. 에펠탑을 보지 않으려고 에펠탑에 있는 식당에 가서 식사를 했다고 합니다.
(엉성하다고 얘기한 게 프랑스 파리의 상징이 됐습니다. 당시엔 비판을 받았지만, 오랜 시간이 흐르고 나서 사랑받는 명소가 된 에펠탑을 얘기하며, 90년대 후반 열악한 환경에서 나온 전자서명법이 나중에 다른 평가를 받을 수도 있다는 뜻으로 해석했습니다)
(배대헌)
공인인증서와 비공인인증서 이용 확대에 대한 문제가 또 다른 문제입니다. 기술발전 여건에서 발생한 상황이므로, 법률을 개정해야 하는데 어떻게 할지 방법을 논의하자는 게 제 생각입니다.
(배대헌) 전자서명을 하기 위해서 공인인증서로 당사자를 확인하고, 공인인증서에 있는 공개키를 가지고 확인하는 게 pki 기술의 실체입니다. 2005년 기술이 그 수준이었다면 향상된 수준으로 바꾸자는 겁니다.
사실을 사실대로 받아들이거나 구체적인 내용에 대해서 명확하지 않은 것을 탐색해서 명확하게 밝히는 노력은 필요합니다. 미국과 같은 나라처럼 기준 없이 당신들이 쓰고 싶은 대로 알아서 하라고 할 형편이었겠습니까? (전자서명 법 제정당시를 말하는군요)
(배대헌) 2013년 현재 전자서명법 실체는 2005년까지의 상황을 담고 있습니다. (오래 전 상황을 담고 있으므로 개정할 필요는 있다는 뜻으로 해석하겠습니다.)
제가 앞서 모두에서 전자서명법 개정의 찬성과 반대이냐하는 것과, 전자서명법 개정에 대한 천성과 반대는 다릅니다. 전자서명법 개정은 필요한 건 저도 마찬가지입니다.
현행 전자서명법을 발의된 안으로 개정하는 것은 문제가 있습니다.
(배대헌) 우리나라는 15년 동안 전자서명법을 9번 개정했습니다. MB정부 때 폐지하자는 논의가 있었죠. 실제 9번 법률 개정이 있었지만 내용을 개정한 건 4번입니다. 그중에서 2008년과 2010년 개정은 별로 특별하지 않습니다. 2001년과 2005년이 의미가 있습니다.
(배대헌 교수님은 말씀이 아주 빠르시네요. 말의 속도를 제 타이핑 속도라 따라가지 못하겠습니다. 독자 여러분은 감안하고 봐주시기 바랍니다.)
(배대헌) 자, 2010년대 2G, 3G, 4G폰이 나왔습니다 .페이저, 시티폰을 사용하던 우리가 4G란 기술을 씁니다. 이렇게 환경이 급격하게 변화면 규범도 바뀌어야 합니다.
90년대 디지털 서명에 대한 노의가 있었습니다. 이제까지 법학은 일본법을 따라왔습니다. 1999년 전자서명법을 제정할 때 일본은 2000년대 우리나라 법을 따라 제정했습니다. 상당히 선도적인 법입니다.
(배대헌) 디지털 환경이 어떻게 변화하였는지 보죠. 1990년대 우리가 소위 인터넷이 아주 상업용으로 활성화한 96년, 97년. 그때를 되돌아 보죠. 초고속망을 구축하는 데 45조원이 필요한데 정부는 1조원을 낸다, 라고 했습니다. 여러분 허리 춤에 페이저를 붙이고 다녔고 공중전화 박스 옆에서 셀폰과 같은 전화를 썼던 시티폰이란 게 있었습니다. PC를 일반인이 쓰게 하려고 저가로 보급하는 상황이었습니다.
그 당시 우리가 무엇을 할 수 있었는가. 우리가 디지털 서명법을 세계 최초 법이라고 하는 유타 주 법을 가지고 연구했습니다.
(배대헌) 일반적으로 대면하는데 온라인과 같은 비대면 서명은 거래 내용이 변경됐는지, 제3자가 개입하는지 확인할 수 없어 보강해 확인할 필요가 있습니다. 왜 비대면 거래를 우리가 중요시하는가, 현대 거래법에서 두 가지 중요하게 다루는데 하나가 거래의 신속과 안전입니다. 온라인은 거래 신속이 잘 구현되지만, 안전은 구현되지 않습니다.
(배대헌) 문서에 서명하는 것과 전자문서에 서명하는 것은 같은 것으로 혼동하는데요. 전자서명은 암호이고 서명은 거래 내용이 변경되지 아니했고, 거래 당사자가 누구이고, 그 내용을 내가 확인했다는 표시입니다.
서명의 기능과 효과가 전자서명에도 그대로 드러나야 한다는 게 전자서명의 숙제였습니다.
(배대헌) 전자서명은 엄밀히 말해 암호입니다. 암호에 관한 논의를 하는 겁니다. 그것이 이전에 있어서 서명과 온라인 네트워크 상 거래할 때 당사자 의사를 어떻게 표현할 것인가가, 오프라인 상 서명을 온라인에서 띄게 하려고 전자서명이라고 이름을 붙였습니다.
우리나라에 digital signature가 먼저 들어왔는데 지금은 electronic signature라고 씁니다. 전자서명은 종이에 서명하는 것과 같은 효과를 내려고 만든 게 법학자의 관심을 끌었습니다.
최재천 의원이 5월 발의한 전자서명법 개정안입니다. 오늘 토론회에서 이 내용이 여러 차례 나오는군요. 대한민국국회 홈페이지이며, 아래 URL로 이동하면 파일을 내려받을 수 있습니다.
http://likms.assembly.go.kr/bill/jsp/BillDetail.jsp?bill_id=PRC_D1A3N0P5U2L8K1H3C4E1H2C4B0Z3U2
(배대헌) 죄송합니다. 개인적인 이야기를 먼저 말했습니다.
저는 97, 98년 전자서명과 그에 대한 내용을 글을 쓰고 책도 내고 정부에 의견을 냈습니다. 전 전공이 민법과 지적재산에 관한 겁니다.
(배대헌) 2000년 과제에 대한 결론을 금융위원회에서 관심을 보였다면 제가 정부 정책에 영향력이 있겠죠. 혹은 그렇지 않다면, 사실과 다른 내용을 공개적으로 이야기하는 건 잘못 말하는 데에 대한 자기 책임이 필요합니다.
그 과제를 마친 건 2000년 입니다. 전자금융거래법은 2006년 4월 제정됐습니다. 6년이나 지나고 나서 제 과제 결과를 금융위가 받아들였다면, 그것이 제가 공인인증서를 강제하게 하는 행위에 마치 주된 역할을 해서 우리나라가 공인인증서를 금융기관에 강제한 핵심 포인트로 생각할 수 있는가, 이점은 명확하게 의미를 전달해야 하지 않을까 싶습니다.
(배대헌) 사실 98년 12월 통과될 걸 기대하다가 99년 2월 전자서명법이 통과됐습니다. 그러고 나서 기술적 내용의 이루나라에선 파격적인 내용을 담아 일반인이 그 내용을 잘 알지 못해, 그때는 인터넷진흥센터(지금의 인터넷진흥원)이 전자서명법 활용도를 높일 연구 용역을 저에게 부탁한 적이 있습니다.
연구용역에 관련한 것이 2000, 공인인증서를 통해서 당시 금융실명제의 당사자 확인이 필요한 내용은 그것을 통해서 확인이 가능하겠다, 다시 말해 금융실명제법상 실명제는 당사자가 누구인지 구별하지 않지만 통장의 소유주를 확인합니다 .그 내용보다 더 분명한 것이 공인인증서를 활용하는 것이다, 그렇게 하면 좋겠다는 내용의 용역을 KISA에 받아, 제가 연구했습니다.
그걸 김기창 교수가 잘 찾아서, 절 유명하게 만들려고 유튜브에 이 얘기를 해주고 다른 사이트에 실명을 거론하면서까지 해주었습니다. 관심가져 주는 것은 나쁘지 않다고 생각합니다.
이제 배대헌 경북대학교 교수가 발언을 시작합니다. 그동안 플로어에서 발언권을 달라고 손 드는 분이 몇 분 있었나 봅니다. 사회자가 기다려달라고 했습니다.
(김기창) 금융실명제를 하므로 공인인증서를 써야 하나. 한국만 유독 보안 또는 인증 기술, 본인 당사자 확인 기술에 대해서 정부가 개입해서 이 기술 반드시 써야 한다, 마치 도장 찍듯이 반드시 전자서명해야 한다… 이건 세계 어디에도 유래가 없습니다.
이건 우리나라 보안 기술 업계의 자생력을 지난 13년간 갉아먹고 보안 기술 업계가 혼자 서고 국제적으로 당당하게 나서서 국제 무대에서 경쟁하는 걸 못하게 하지 않았나…
한국은 3천만 국민에게 인증서를 발급했으나 기술 자생력은 없고 정부 눈치 보고, 정부가 보안 컴플라이언스가 생길 시장 자체를 말살하고, 정부가 OK해주겠다, 점검해주겠다라고 합니다.
(김기창) 역사적인 시각을 가질 필요가 있습니다. 어째서 다른 나라 어디에서도 강제하지 않는, 강제 규정, 강제 체제가 시작했는가를 생각하면 실마리가 보일 겁니다.
전자서명법 자체는 강제 규정이 전혀 없습니다. 전자서명법이 통과된 직후, 2000년 KISA가 발주한 연구용역을 배대헌 교수님과 연구원 4분이 수행한 것을 보면요. 거기에 금융실명제라는 게 있으니 공인인증서는 반드시 금융거래에 사용되어야 한다는 아이디어가 중요한 부분으로 이해했습니다. 그런 논리는 보안 기술 논리는 전혀 아닙니다.
금융실명제라는 것이 법률 제도이지, 보안 기술 이슈가 아닙니다. 기술 이슈는 제도적으로 강제할 필요가 없죠. 영국도 미국도, 금융실명제는 세계에서 다 하는 겁니다. 금융실명한다고 하여서 공인인증서가 반드시 사용되어야 한다는 것은 법률 논리적으로 전혀 안맞습니다.
(김기창) 공인인증서라는 것의 사용을 어떤 정부 기관도 강제하지 않고 카드사이든 개별 결제 대행사가 이게 좋다 싶으면 쓰고, 별 거 아니다 싶으면 안 써도 되는 환경이 한국에 처음부터 있었다고 생각해봅시다. 공인인증서 저장 위치가 npki라는 폴더에 저장해서 어떤 웹브라우저도 인식을 못하고 그래서 플러그인이 필요하고 그렇게 해서 생기는 온갖 기술 문제나 복잡함, 열악함… 이런 건 특정 은행이나 특정 카드사의 문제였을 거예요.
(김기창) 한국 밖에서 거리를 두고 보면 한국의 보안 기술은 자생력이 없습니다. 즉 정부에 기대어 정부가 ‘공인’자를 붙여주길 기대하고 인증하길 바라고 금융위원회라는 정부 기구가 어떤 기술을 쓰도록 강제하길 바랍니다. 한마디로 기술 경쟁력이 없다는 겁니다. 기술 자생력이 없고 홀로 설 자신감 자체가 없습니다.
인터넷은 15년 됐습니다. 중요한 인류의 경제활동 변화가 e커머스라는 건데 그 시작부터 한국은 정부에 기대어 법령의 강제력에 의존해서 보안이 사실상 자생력을 스스로 포기한 그런 상황이 한국에서는 다른 어떤 대안을 경험할 기회가 없었습니다.
영국의 보안 전문가도 정부 눈치를 보거나 정부에 기대는 사람이 없습니다. 오로지 자기와 계약한 상대방, 상대방에게 안전하고 안 뚫리는 서비스를 제공하느냐, 계약상의 의무를 준수하느냐가 중요한 겁니다.
영국에 있는 김기창 고려대학교 교수가 얘기를 시작합니다. (음질 좋군요)
(김기창) 인증서에 사용된 알고리즘, 서명거래 원리 등은 당연한 기본이죠. 그런데 한국 상황이 이상하게 꼬이는 건 기본적인 기술 이슈 때문이 아닙니다. 전 지금 영국에 와 있는데요. 아주 편리하게 항공권이든 숙박이든 다 예약하고 갔습니다. 부킹닷컴, 익스피디아닷컴 등 전부 외국 회사입니다. 그런데 어떠한 인증서를 요구하지 않았습니다. 돈 쓰기 쉽게 다 만들어뒀습니다. 이용자도 편리하고요. 그런 과정에서 회사가 세계 고객을 상대로 장사합니다. 왜 한국 기업은 못하느냐, 그게 안타깝습니다.
그런데 지금 막, 배대헌 경북대학교 교수님이 사회자에게 이의를 제기했습니다.
전자서명법을 개정하자, 말자라는 거에 대한 게 아니라, 전자서명법 개정안에 관한 찬성과 반대,라고 명확하게 표현해달라고 부탁했습니다.
자, 이제 양복 재킷을 벗는 모습이 나왔습니다. 박성기 부장과 배대헌 부장이 열기 때문인지 재킷을 벗었습니다.
사회자는 이동산 페이게이트 이사와 김대영 충남대학교 교수가 발표를 시작하는 김에 전자서명법 개정안을 찬성하는 쪽 얘기부터 들어보겠다고 합니다.
아, 이 자리를 10시까지 빌려놨고 햄버거도 준비했다고 합니다.
(김대영) 전 개정안의 방향은 잘 돼 있다고 생각해요. (최재천 의원이 발의한 전자서명법 개정안을 말합니다.)
(김대영) 전자서명법 개정안에 대해서 여러가지 공격이 많아요. 제가 이해한 건 이런 거예요. 공인인증서를 없애라고 한 적은 없어요. 금융위원회인지 감독원인지가 위임받은 권리를 남용하여 특정 기술을 강요하는 것을 막으려고 하는 겁니다.
그리고 개정안을 두고 KISA를 없애려고 한다고 하는데요. 개정안을 보면 KISA 외에 복수의 기관을 두는 걸 허용해달라는 취지로 이해하고 있습니다.
(김대영) 같은 인증을 받더라도 기왕이면 정부와 관련한 KISA에서 인증을 받고 싶어하겠죠. 그런데 KISA를 정점으로 하여 전부 KISA로만 인증을 받는 건 잘못됐습니다. 공인인증이라는 게 전문가 그룹인 KISA를 유일한 빅브라더로 만들고 있습니다.
(김대영) KISA를 최상위 인증기관으로 인증하는 건 잘못됐습니다. 그걸 인증하는 기관은 누구일까요? 미래부? 정통부? 그들이 인증하는 절차가 신뢰성 있는 거냐, 그걸 어떻게 알죠? 인증 위원회에 있는 분이 얼마나 전문성이 있을까요?
신뢰라는 건 뮤추얼 신뢰가 돼야 하는 거지, 빅브라더가 도장을 찍으면 신뢰가 있고 아니면 아니다하는 건 인터넷 문화와 백프로 대치되는 거예요.
(김대영) 금융위원회가 국내 전체 보안 환경을 실질적으로 지배합니다. 우리나라 국내 전체 보안환경을 가이드하고 이끌고 유도하는 건 금융 전문가가 할 일이 아니고 인터넷 보안 전문가가 할 일입니다. 실질적으로 금융전문가가 합니다. 전 잘 모르지만, 금융위원회나 감독원은 당연해도 금융보안연구소의 결제권이 있고 힘이 있는 사람이 누굴까 상상해보세요.
우리나라 보안은 금융카르텔이 잡고 있습니다.
(김대영) 우리나라 컴퓨터 보안 환경을 가이드하고 이끌어야 하는 건, 보안 전문가겠죠. 지금은 먹이사슬 때문에 실질적으로 금융위원회가 특정 기술을 강제합니다. 그건 월권입니다. 금융위원회가 할 거는, 은행은 적절한 보안 인증을 신뢰성 있는 기관에서 받아오라, 라고 주문하면 되지 공인인증서를 쓰라고 하는건…(아닙니다.)
그리고 보안 인증을 왜 금융하는 사람이 합니까?
(김대영) 근본적 상황 개선 없이는 한국은 인터넷 보안 최악 후진국으로만 남을 겁니다.
(김대영) 우리나라 PC가 숙주가 되는 걸 모르고. 공격하는 소스 사이트 보면 1/2위가 미국 중국입니다. 우리나와 같은 작은 나라가 숙주 3위입니다. 미국이나 중국은 큰 나라이고요.
(김대영) 금융과 관계없는 환경이 윈도우 일색으로 돼 있고, 그것도 액티브X에 오픈된 상태죠. 우리나라 거의 모든 컴퓨터 환경이 액티브X에 노출돼 있습니다. 우리나라가 공격을 많이 당하는 이유 중 하나가 이겁니다. 그렇게 안 해도 공격을 당할 판에, 한국은 해커에게 더 없이 좋은 놀이터예요. 그리고 숙주이고.
(김대영) 공인인증서가 시험절차에 들어가면, 지금 바뀌었는지 모르겠지만요, 그 시험 절차가 처음부터 액티브X로 구현돼 있어요. 그러니까 액티브X로 구현하지 않으면 인증시험을 통과하지 못하는 거예요.
(김대영) 공인인증서와 전혀 관계 없는 얘기에요. 윈도우는 논 스탠다드 폴리시 입니다. 우리나라만 하여간 그렇게 꼬여서 컴퓨터 환경이 아주 이상하게 돼 있습니다. 왜 그러냐고 보면 우리나라는 먹이사슬이 있어서입니다. 처음에 꼬였고, 그거에 의해서 이상한 시장이 형성이 됐고, 이미 그걸 10년 하며 생태계 내에서 돈 버는 사람이 있고 칼을 휘두르는 사람이 있고 칼을 휘두르며 즐기는 사람이 있고 국민은 무식하고 김기창 교수와 같은 사람은 사회 불만 세력으로 보죠.
(김대영) 문제는 공인인증서 때문에 시작했지만, 그걸로 인해 공인인증서나 은행 거래와 관계없는 모든 사이트가 전부 윈도우 베이스로 돼 있습니다. 우리나라 모든 웹 개발 환경이,
아, 우리나라 프로그램은 건설보다 더 한 먹이사슬로 돼 있죠. 착취적인 환경인데요.
그 열악한 사람이 뭘하느냐, 제일 싼, 쉽게 구하는 윈도우즈 툴로 개발을 해요.
(김대영) 한국 후진적인 웹환경 잘 알지만, 툭하면 뭘 내려받아 설치하세요 입니다. 윈도우즈가 아니면 돌아가지 않게 돼 있어요. 살면서 비싼 맥을 사놓고도 윈도우를 깝니다. 윈도우도 새 버전을 깔면 액티브X가 동작하지 않죠.
(김대영) 공인이라는 딱지를 붙인 공인인증서라는 것이 우리나라 표준웹 환경을 방해하고 왜곡하는 주범이다,라고 정리를 했습니다. 대부분 법보다 프랙티스가 문제입니다. 법은 별 일이 없는 것처럼 돼 있어 보여요. 8,90% 문제는, 시험을 받으러 가면 그 시험 절차가 어떻게 됐느냐가 더 큰 문제죠.
뿌리를 캐자면 전자서명법을 한두 줄이라도 고치지 않고서는 나머지 한 80% 정도 프랙티스를 고칠 수가 없습니다. 그래서 전자서명법을 고치려고 하는 겁니다.
(김대영) 어느 한 OS에 걸려 있는 것, 이건 절대 피해야 하고 아주 나쁜 거죠. 우리나라가 바로 그런 환경입니다. 그래서 갈라파고스 비유를 하는데요. 딱! 우리나라가 그런 환경이에요. 우물안 개구리죠. 우리가 무시하는 루마니아만 해도 모든 정보를 보고 여관 예약하고 회의하고 모든 걸 할 수 있어요. 그런데 인터넷 강국이라는 우리나라는 외국 사람이 조금만 환경이 다르면 우리나라 들어와서 쇼핑할 수 없습니다.
(김대영) 유독 우리나라만 아주 기형적인 웹환경입니다. 표준 웹환경이 아닙니다. 우리나라만! 북한에 사는 사람은 어떻겠어요? 이게 잘못됐다고 못 느끼죠. 표준웹이란 용어로 말씀드리는 건, 쉽게 말해 플랫폼 프리. 오퍼레이팅 시스템에 무관하게 윈도우이든 매킨토시이든요.
지금 할 수 없이 모바일 환경으로 가면서 강제적으로 표준 웹환경으로 전환하지 않을 수 없는 게 있지만, 다 전환이 안 된 것 같고요.
(김대영) 저는 이렇게 접근하고 싶습니다. 저는 모든 문제를 표준웹에서 접근해 말하고 싶어요. 그게 우리나라에서는 공인인증서라는 키워드로 노출이 되고 있는데요. 근본적인 문제는 표준웹!
(김대영) 제가 말씀 드리기 전, 이 문제는 기술에 관한 문제이지만, 단순히 기술 문제인 것만은 아닙니다. 기술자가 기술을 더 안다고 하여 사회에 올바른 안을 내놓을 수 있는 건 아닙니다. 팩트를 아느냐, 모르느냐에 그치지 않고 이 사람이 가치 기준이 있느냐를 봐야 합니다. 사명의식이랄까요.
(김대영) 부끄럽게도 IT 하는 사람 자체, 인터넷 보안 전문가 자체에서는 오히려 이 문제에 대해서 앞에 나서가지고 골리앗과 싸우지 않았습니다 그런데 어느날 김기창이란 사람이 나온 걸 봤습니다. 100% 기술적인 거에 동의하느냐를 떠나서 근본적인 문제를 사회 문제로 만든 데에 공헌이 있습니다. 사실 기술자가 해결해야 했는데 부끄럽게 생각합니다.
(김대영) 충남대학교 정보통신대학교수입니다. 저는 인터넷프로토콜을 하는 사람입니다. 이 문제에 관심을 두게 된 건 87년 미국에서 매킨토시를 써서 그런 것 같습니다. 우리나라의 환경이 너무나 세계 어디에서 찾아볼 수 없는 이상한 환경으로 완전히 돼 있고 국민 대부분이 그걸 너무나 당연한 것으로, 무지하게 알고 있고 또 그 상황을 주도하는 그룹이 무책임하게 하고 있는 걸 봤습니다.
토론회 참석자가 돌아가며 토론회에서 다루고 싶은 얘기를 꺼내고 나서 공방이 오갈 거로 보입니다. 토론회장 뒤쪽을 보니 진행요원이 아닌데도 서서 듣는 분이 보이네요. 정말 모처럼 청중이 많은 토론회를 왔습니다.
(이동산) 공인인증서 인프라는 우리가 잘 다듬어놔서 잘 활용할 가치가 충분히 있다고 생각합니다. 문제는 클라이언트 이용환경입니다.
보안컴플라이언스는 전체 보안에 대한 얘기입니다. 컴플라이언스 시각에서 보면 설치 과정에서 문제점이 액티브X와 같은 플러그인을 설치할 때 문제점이 드러납니다. 정보보안을 잘 했다가 폐기를 못해서 개인정보가 유출되는 예도 있습니다. 설치 과정에 문제가 있다면 전체 보안컴플라이언스에서 보면 취약점이 있습니다.
보안을 얘기할 때는 보안 체계, 넓은 범위를 가지고 얘기를 해야 하지 않을까 생각합니다. 그런 공감대가 확산하면 좋겠습니다.
(이동산) 기타 다양한 전자금융 요구사항을 공인인증서와 이를 사용한 플러그인으로 확대가 되어 잘못된 방향으로 간 거 아닌가 생각합니다. 인증방법평가위원회에 우리도 평가를 받았습니다. 비용이 되게 많이 듭니다. 저희와 같은 작은 회사가 3천만원, 6개월 대기, 평가 주체는 금융기관이 아닌 곳은 2개 기관에 신청해야 하는 문제를 직접 느끼고 있습니다. 평가가 끝나면, 이게 다 끝난 게 아니고 그 다음에 호환성 심의하는 단계가 또 남아 있습니다. 이건 다뤄볼 만한 주제라고 생각합니다.
(이동산) 전자서명법은 저희와 직접적으로 부닥치는 문제는 아닙니다. 금융쪽 주제를 훨씬 직접적으로 접합니다. 공인인증서의 지금과 같은 기형적 사용을 금융권이 초래하지 않았나.
(이동산) 공인인증서 국제 표준 관련해 많이 참여합니다. 국제 표준화에 맞춰 우리가 준비해야 할 게 뭐가 있는지 생각해봐야 할 것 같습니다.
(이동산) npki 폴더는 지속 가능하지 않다고 생각하고, 웹표준에서는 html5 웹스토리지, 클라우드에 저장하는 것들이 우리가 고려할 만한 해법 중 하나가 되지 않을까 생각합니다.
액티브X를 얘기하면서 액티브X만 안 쓰면 되지 않느냐고 생각하는 분을 만난 적이 있습니다. 제가 생각할 때는 우리가 액티브X 문제는, MS디펜던시를 해소라려는 겁니다. 근본적인 해결 방법은 웹표준으로 접근해야 한다고 생각합니다.
(이동산) 제가 볼 때는 지금 사실 플러그인이나 이런 것들이 공인인증서에 사용되고, 그것이 사용되는 중요한 원인 중 하나가 인증서 저장 비치, 이런 것들이 중요한 원인이라고 생각합니다. 지금은 저장 위치가 npki 폴더 등인데요.
먼저, 이동산 페이게이트 이사가 발표합니다.
토론은, 이동산 페이게이트 CSO, 김대영 충남대학교 교수, 이경호 고려대학교 교수, 이정현 한국인터넷진흥원 책임연구원, 배대헌 경북대학교 교수, 박성기 한국정보인증 부장, 김기창 고려대학교 교수가 함께합니다.
시작할 때 모습입니다. 지금은 이보다 사람이 더 많습니다.
잠시 포토타임~을 갖고 패널 소개를 했습니다. 영국에서 김기창 교수와 화상으로 연결했습니다. 현장 열기가 후끈하다고 생각하는 건, 이곳에서 저뿐인 걸까요.
(이동훈) 이런 건 팩트를 갖고 말해주면 감사하겠습니다. 여기까지 이해해주시면 토론에서 패널이 말하는 걸 충분히 이해할 거로 생각합니다.
(수업 끝입니다.)
(이동훈) 제 입장입니다. 얼마 전 저는 인증방법평가위원회 위원장이었습니다.
인증방법평가위원회는 다양한 인증방법을 쓰게 하자는 겁니다. 나군, 가군이 있는데 가군은 인증서 쓰는 것과 동일한 거 쓰면 통과하고 나군은 그보다 약합니다.
(인터넷에) 다양한 인증방법을 마켓에서 쓰는데 너무 딴지를 걸어서 활성화가 안 됐단 글이 올라와요. 저를 개인적으로 비난하고요.
이동훈 교수가
다시 말씀드리지만, 저는 어느 편도 아닙니다..
라고 조금 전 한 말에 좌중에서 웃음이 나왔습니다. 이 교수님은 ‘무슨 말인지 알겠죠?’라고 중간중간 묻는데요. 정말 수업시간 같습니다.
(이동훈) 공인인증서, 몇 십년 전 후진 기술을 쓰고 있지 않느냐고 하는데요. 그런데 전자서명으로 인증하는 프로세스, 그 기술은 상당히 높은 기술입니다. 전자서명이 보안성이 낮다고 하는데요. 어딜 봐도 공인인증서의 보안 등급에 대한 얘기는 없습니다.
(이동훈) 모바일에선 액티브X가 없어지고 있습니다. 웹표준 쪽에서는 액티브X 없이 공인인증서를 추진하고 있지요.
(이동훈) 저도 액티브X를 찬성하는 쪽이 아닙니다. 공인인증서와 액티브X 문제는 분리되면 좋겠습니다. PC에서 전자금융거래할 때 액티브X를 7개 정도 깐대요. 공인인증서를 액티브X없이 구현하면 7개 중 하나만 사라집니다. 공인인증서 때문에 액티브X가 필요하지만, 액티브X의 주범이 공인인증서라는 건 과다합니다. 액티브X에 대한 논쟁은 따로 할 필요가 있습니다.
(이동훈) 전자서명은 최고의 기술이라고 학문적으로 판단하고 있습니다.
(이동훈) 여러분이 하는 전자서명, 이것은 기술적으로 상당히 안전한 겁니다. 전자서명을 누가 위조하려면, 여러분 인증서는 2048비트를 씁니다. 전자서명을 위조하려면 제로와 112비트의 1을 다 맞춰야 합니다. 2의 112승개에서 정확히 하나를 집어내야 합니다. 이것은 10이 한 40개 있다는 거죠. 살아서 정확한 값을 얻기 어렵습니다.
(이동훈) (지금 벌어지는 논쟁을 짚어본다고 합니다.)
전자서명 기술과 그에 따른 것은 보안관리로 따로 떼어서 말하겠습니다. 아무리 단단한 돌이 있어도 그 돌을 연결하는 시멘트가 잘못되면 어떤 문제가 생깁니다. 저는 보안관리가 아니라 기술에 대해서 얘기했습니다.
(이동훈) (최재천 의원이 발의한 전자서명법 개정안을 따져보는 것 같군요.)
공인인증기관 지정하는 걸 허가제에서 등록제로 변경한다. = 이 얘기는 놓쳤습니다.
개정이 되면, 미래부 장관이 정하는 인증업무 수행기준을 준수하고, 전문성을 가진 독립적인 제3자의 점검을 정기적으로 받아야 합니다. 그렇지 않고 일반 인증서는, 인증업무 수행기준을 따르지 않아도 인증업무가 가능하다는 내용이 있습니다.
(이동훈)
전자서명을 하면 문서에 백만원이라고 쓰인 걸 천만원으로 고쳤는지를 확인할 수 있습니다. 그런데 기술적으로 말하면, 분명히 말하겠지만, 찬반이 아닙니다. 일반 전자서명과 공인 전자서명의 구분을 없앤다고 법안이 발의됐는데, 그럼 전자서명의 기능: 서명후 문서가 변경됐는지,를 확인할 수 없습니다.
이런 건 기술적으로 수정이 필요하겠죠. (법안에 대한 얘기)
(이동훈)
공인전자서명과 일반 전자서명이 있습니다. 공인전자서명은 우리가 서명을 할 때, 인증서를 남이 가져다가 내 서명이 맞는지 확인하려면 여러가지 네트워크가 필요합니다. 그게 PKI입니다. 일반 전자서명이라고 하면, 법적으로 서명, 서명날인 또는 기명 날인 효력이 있다고 합니다.
일반 전자서명이라고 하면 상당히 범위가 넓어져요. 전자패드 서명, 이미지화 된 서명 혹은 공인인증기관이 발급하지 않고 사설기관이 발급한 전자서명도 일반 전자서명 범위에 들어갑니다.
(이동훈) 많이 논란이 되는 건 전자서명법이죠.
= 이제부터 전자서명법 얘기를 합니다.
지금은, 이후 진행되는 끝장 토론회를 위해, 예습하는 시간과도 같습니다.
(이동훈)
이건 논란이 많이 되는 얘기입니다. 여러분이 인증서를 쓸 때 인증서 창이 뜨고 패스워드를 쓰죠. 여러분, 인감 도장은 상당히 안전하게 보관을 하지요. 그런데 여러분 전자서명할 때 서명키를 안전하게 보관해야 한다고 어디에 떴는지 한 번도 확인해보지 않지요. 여러분이 서명할 때 쓰는 인감도장, 전자서명 정보는 여러분의 패스워드로 여러분의 인감도장을 암호화해서 저장합니다.
(이동훈)
공인인증서는 제 서명을 확인할 때 사용하는 정보는 이걸 쓰세요라고 하는 인증서입니다. 흔히 인감과 같다고 말하지요.
(이동훈) 내 공개키는 내 서명이 맞는지 확인하기 위한 정보입니다. 공개키는 인증기관의 인증서에 담습니다. 그걸 인증서라고 합니다. 사설 기관에서 인증을 하면 사설 인증서, 국가에서 공인한 기관이 하면 공인인증서라고 합니다. 여러분이 은행 거래를 위해서 인증서를 받잖아요. 여러분이 서명을 하면 여러분 서명이 맞는지 다른 사람이 확인하기 위한 서명 검증용 공개키입니다.
(이동훈) 전자서명은 OTP와 똑같은 방식입니다. OTP방식과 전자서명을 사용하는 건 학문적으로 똑같은 방법입니다. 논의할 때는 전자서명법이나 공인인증서를 할 땐, 전자서명이 인증에 사용되는 걸 반대할 건지, 계좌이체하거나 할 때 부인을 못하게 할 때 쓸 것인지 생각해야 합니다.
(명확한 뜻을 알고 얘기하자는 말씀이겠죠.)
(이동훈) 제가 이경훈 교수님에게 계좌 이체를 했어요, 그리고 제 전자서명을 부칩니다. 전자서명을 부치면 행위를 부인하지 못하는 게 있습니다. 간단하게 말하면, 거래의 무결서을 보장합니다. 전자서명이란 놈은, 본인확인을 위해 쓰이고 무결성과 부인봉쇄를 위해 쓰입니다.
(아, 간단하지 않군요…)
(이동훈) 그런데 혹시 우리가 공인인증서하면 착각하는 게 있습니다. 전자서명에만 쓰인다고 착각하는데요. 전자서명으로 하는 서비스는 크게 2가지가 있습니다. 여러분이 은행 웹사이트 들어갈 때 아이디 패스워드 대신에 인증서 사용하지요. 그건 이 사람이 맞는지 확인하는 인증 작업입니다. 인증서로 검증을 하는데 제가 만약 앞에 있는 이경호 교수님이 맞는지 확인하고 싶어요. 당신이 맞는지 사인을 해보십시오, 하는 거죠. 이경호 교수님이 아닌 사람은 사인을 못할 거에요. 네트워크에선 사인을 할 수 있는지 알아보는 겁니다.
(이동훈) 전자서명은 무결성 기능이 있습니다. 서명을 하면 그 이후에는 서명 받은 문서의 한 귀퉁이도 고칠 수 없습니다. 서명할 땐 저만 아는 비밀 값이 있습니다. 서명을 하고 나면 검증을 해야하는데 여러분 인증서에 있는 정보로 합니다. 제가 서명을 하면 제 인증서를 여러분에게 사실 다 보여줘야 합니다. 그래야 제 서명이 맞는지 거명할 수 있습니다. 그 검증하는 정보를 공개키라고 합니다.
(이동훈) 자필서명은 종이에 서명을 하는 겁니다. 종이에 서명을 하면 내용이 달라도 서명은 같습니다. 전자서명이란 건, 내용이 달라지면 전자서명 값도 달라집니다. 그만큼 전자서명을 하는 시점과 여기 안에 있는 말이 전자서명을 하기 전에 나온 건지, 후에 고쳐진 건지 알 수 있습니다.
(이동훈) 보안하면, 보안으로 제공하는 서비스가 크게 4가지 있습니다. 보내는 메시지를 누가 듣지 않을까하는 도청에 대한 위험(기밀성), 그리고 본인확인(인증), 10만원을 보내는데 100만원으로 바꾸지 않나 하는 (무결성), 제대로 오갔는지 (부인봉쇄).
(전자서명과 인증서와 전자서명법 개정안, 기술로 풀 수 있는 공인인증서에 대한 논쟁, 이렇게 3가지를 설명한다고 합니다.)
(이동훈) 편하게 들으시기 바랍니다. 학교에서 강의를 할 때 인증서 관련 기초 기술을 여러분에게 먼저 소개해서, 토론 내용을 쉽게 이해할 사전 강의라고 생각하면 되겠습니다.
바로, 이동훈 고려대 정보보호대학원 교수가 발제를 시작합니다.
(아, 지금 스카이프 로그인 소리가 스피커로 흘러나왔습니다. 원격 참가한다는 김기창 교수와 연결할 준비를 하는 모양입니다.)
(임종인) 오늘 기술적 관점과 다양한 관점에서 여러 의견이 정말 끝장 토론회답게 자유롭게 개진돼, 건전한 논의하는 계기가 되면 좋겠습니다.
고려대학교 백주년기념회관 지하1층 국제원격회의실 좌석이 꽉 찼습니다. 군데군데 비었지만, 서 있거나 뒷편에 앉은 사람까지 더하면 빈 자리는 없을 것 같습니다.
임종인 고려대학교 정보보호대학원 원장이 인사말을 하고자 무대에 올랐습니다.
아이허브 추천제품 위장관련 / 마스틱검 / 매스틱검 / mastec gum...
9시 50분께 토론회가 끝나고 나서도 댓글이 달리네요. 라이브블로깅은 끝났지만 댓글은 열어둡니다.
긴 시간 지켜봐 주시고 의견 남겨 주신 모든 분들께 감사드립니다.