주민번호와 카드번호 2자리를 암호화하는 현재 보안 수준에서는 신용카드로 맘놓고 쇼핑몰에서 물건을 사기가 쉽지 않다.
그래서 인터넷 뱅킹이나 사이버 증권거래에 이어 전자상거래 인증 수단으로도 전자서명 공인인증서(이하 공인인증서)를 쓰는 게 추진되고 있다.
9일 업계에 따르면 금융감독원은 전자상거래 안전성을 높이기 위해 신용카드사가 온라인 가맹점과 거래할 때 이용자 인증수단으로 공개키 기반구조(PKI) 기반의 공인인증서를 사용하는 것을 추진하고 있다.
전자상거래 인증에 공인인증서를 도입하는 것은 사실 인터넷 뱅킹이나 사이버 증권거래와 달리 아직까지 검토 수준이기는 하다. 인터넷 뱅킹은 9월 신규발급분부터 공인인증서를 쓰기로 했고 사이버 증권거래는 내년 2월부터 본격적으로 공인인증서를 적용키로 이미 확정된 상태이다.
이에 따라 자체 전자상거래 인증 프로그램(비자안전지불서비스, 3-D Secure)을 갖고 있는 비자코리아 등은 벌써부터 촉각을 곤두세우고 있다.
도입여부가 결정난 것도 아니고 시기 역시 확정되지 않았지만, 우리 정부의 공인인증서 활성화 의지가 그 어느 때보다 높기 때문에 관련 업계로서는 서둘러 대책 마련에 부심하고 있는 것이다.
특히 민원서비스혁신(G4C)사업 등 행자부의 전자정부 사업과 정통부의 연내 1천만 공인인증서 보급 정책 등과 맞물리면서, 각종 금융거래에 공인인증서를 쓰는 일이 사실상 강제사항으로 굳어지고 있어 더 그렇다.
하지만 전자상거래 인증에 공인인증서를 도입하는 것은 ▲지금까지 최고의 보안성 높은 기술기준을 제시했으며, 공인인증서 활성화에도 도움이 된다는 긍정적인 시각과 함께 ▲국제적인 추세와 동떨어져 있는데다, 지나치게 정부 주도로 이뤄지고 있어 SSL이나 생체, 디바이스 인증 등 다른 사설 인증 기술에 대한 역차별이라는 지적도 동시에 제기되고 있다.
이에 따라 비자코리아는 정부안이 현실적이지 못하다는 의견을 제시함과 동시에, 지난 2년여 동안 준비했던 ‘비자안전지불서비스’에 대한 사업계획을 조정하는 것도 검토하고 있다. 또 정부안이 공인인증서 적용으로 결정날 경우를 대비해서 기존 패스워드 기반 외에 PKI 기술을 ‘비자안전지불서비스’의 인증기술로 도입하는 것도 모색하고 있다.
◆ 전자상거래 인증에 공인인증서 도입 검토
금융감독원 김인석 실장은 “전자상거래 인증수단으로 공인인증서를 도입하는 것을 검토하고 있다”고 말했다.
그는 “아직은 검토단계지만 공인인증서 활성화 시책을 담은 전자서명법 에서 최고의 보안성을 가진 것으로 입증된 PKI 기반의 공인인증서를 보안이 소홀한 전자상거래의 인증수단으로 사용하는 데 무리가 없다고 본다”고 말했다.
최종적인 결정과 내부 결제 순서가 남아 있지만, 전자상거래 인증에도 공인인증서를 쓰는 일이 본격적으로 논의되고 있는 셈이다.
정책적인 결정 외에 기술표준화도 PKI 기술 중심으로 논의되고 있다.
한국전자지불포럼 인터넷지불분과위원회를 중심으로 PKI(공개키기반구조) 기반의 인증기술인 ‘PKCS11’ 방식을 인터넷상에서의 인증기술기준으로 잡으려는 움직임이 진행되고 있다.
전자지불포럼 조영휴 사무국장은 “전자통신연구원과 함께 ‘PKCS11’ 방식으로 인터넷상에서의 지급결제 인증 표준을 개발하고 있다”며 “연내 표준안 개발이 어느 정도 완료될 것”이라고 말했다.
◆도입효과는 논란
공인인증서가 인터넷 뱅킹과 사이버 증권거래, 그리고 전자민원서류 발급에 이어 쇼핑몰에서 물건을 구입하는 데까지 쓰인다면, 국민들은 한 번 발급받은 공인인증서로 여러가지 다양한 서비스를 이용할 수 있을 것이란 기대감도 크다.
또 PKI기반의 전자서명 인증 기술은 보안전문가들도 인정하는 가장 완벽한 기술인 만큼, 보안성이 높다는 평가도 받고 있다.
한국정보보호진흥원 암호기반기술팀 심경아 박사는 “PKI 기반의 인증 기술과 비자의 안전지불서비스 같은 SSL기반의 인증기술은 모두 나름대로의 보안성을 갖고있다”며 “하지만 SSL 기반기술은 이용자와 쇼핑몰간에 암호통신을 하면서 지불결제 정보만 암호화하는 반면, PKI 기반 기술은 카드 사용자만이 신용카드 정보를 볼 수 있도록 본인 인증기능을 제공하는 등 보다 나은 보안성을 구현한다”고 말했다.
하지만 이와 달리 미국 등 선진국에서도 도입하지 않은 전자상거래 공인인증을 정부가 나서서 강제한다면, 이는 국제적인 호환성을 무시한 조치란 지적도 일고 있다. 반대론도 강한 것.
비자코리아 관계자는 “PKI 기반 기술의 경우 아직까지는 우리나라를 중심으로 몇몇 국가만 활성화돼 있을 뿐, 대부분의 국가가 SSL기반의 비자안전지불서비스를 표준으로 받아들이고 있는 상황”이라며 “일본의 신용카드 브랜드인 JCB는 물론 자체 인증 프로그램(SPA)을 갖고 있는 마스터카드에서도 '비자안전지불서비스'를 채택키로 하는 등 사실상의 국제표준으로 가고 있다”고 말했다.
또 “우리나라의 경우 한미 외환, 삼성, LG, 신한, 하나, 국민, BC 등 주요 카드사와 삼성몰, 롯데닷컴, 한솔CSN, 인터파크 등 대형 13개 쇼핑몰에서 비자안전지불서비스를 도입키로 했으며 SK텔레콤 등 통신사도 비자안전지불서비스를 도입하는 것을 검토하는 등 도입이 붐을 이루고 있다"고 말했다.
이미 주요 카드사와 쇼핑몰에서 '비자안전지불서비스'가 대세로 굳어지고 있는 만큼, 지금에 와서 정부정책이 바뀐다면 카드사들이 국제거래와 국내용으로 이중투자를 해야 한다는 것이다.
생체인증 업계 관계자도 “정부가 전자서명법에선 기술의 진보를 수용하고 있으면서도, 금감원에서 경영평가시 IT부문에 공인인증 도입 여부를 포함시키는 방식으로 PKI 기반의 공인인증만 강제한다면, 기술적인 역차별이 우려된다"며 일괄적인 공인인증서 적용 정책을 비판했다.
그는 또 "정부는 다양한 인증기술을 기업들이 자유롭게 도입하도록 하되, 보안성 심의를 통해 부실화를 막고 사고시 가맹점과 카드사, 이용자간에 생길 수 있는 논쟁을 불식시키기 위한 기준을 만드는데 힘써야 할 것"이라고 말했다.
이와관련 '비자안전지불서비스'는 신용카드 브랜드(비자)와 발급사를 인증주체로하고 사고시 책임을 카드발급사가 지도록 돼 있으며, 공인인증서비스는 정부가 지정한 공인인증기관을 인증주체로 하고, 사고시 책임을 법에 따라 공인인증기관이 지도록 돼 있다.
또 생체 등 다른 사설인증 수단은 이를 제공하는 솔루션업체나 구축한 기업을 인증주체로 하고, 사고시 책임은 개별 약관에 따라 이뤄진다.
하지만 한 전문가는 “비자 역시 EMV카드의 인증기술로는 SSL과 전자서명이 결합된 SET방식을 추진하는 등 PKI 기술의 진보성을 알고 있는 상황”이라며 "비자안전지불서비스가 글로벌스탠더드라는 주장은 국제 금융 표준을 좌지우지하려는 다국적 기업의 야심일 뿐이며, 공인인증서를 중심으로 하는 국가간 상호인정협약이 무르익어가는 분위기를 감안할 때 이런 내용은 크게 신경쓸 일이 못된다”고 밝혀 전문가 사이에서도 의견이 크게 엇갈리고 있다.
김현아 기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기