대통령이 공인인증서라는 보안기술 수단을 직접 거론하면서, 공인인증서 사용을 강요해온 금융감독 당국의 잘못된 규제를 공개적으로 지적하고 교정을 주문하는 것은 매우 이례적이다. 물론, 원론적으로야 대통령의 처사에 이런저런 꼬투리를 잡을 수는 있을 것이다. 국가나 사회의 무수한 문제나 쟁점들이 모두 이런 식으로 대통령이 직접 언급해야 비로소 교정과 개선의 실마리가 생긴다면, 그것이야말로 심각한 문제일 수도 있다.
하지만 공인인증서로 인해 그동안 누적된 폐해와 고충은 워낙 극심하고 특이해서 대통령의 비상한 조처에 대한 원론적 비판은 오히려 뜬금없는 교조주의적 호사에 가깝다. 1990년대에 순진한 포부와 의욕으로 시작한 공인인증서 사업은 불행하게도 지난 십수년간 국내 보안기술을 낙후시키고, 인터넷 기업의 세계시장 진출을 가로막아 왔으며, 전자금융거래의 안전을 심각하게 위협하고 있다. 이유는 간단하다. 더 앞선 보안기술들이 하루가 다르게 나오고 있고, 기발하고 다양한 사업 모델이 혁신적 결제 기술과 결합하여 세계 시장에서 경쟁하고 있는데 한국 기업들은 공인인증서를 사용해야 한다는 15년 전의 족쇄에 묶여 있기 때문이다.
안전하고 좋은 기술은 강요할 필요가 없다. 보안기술일수록 더욱 그렇다. 경제협력개발기구(OECD) 회원국 보안전문가들이 마련한 ‘오이시디 암호정책 가이드라인’에도 “암호 기법의 개발과 제공은 개방적이고 경쟁적인 환경에서 시장을 통하여 결정되어야 한다. 그래야 기술변화 속도에 뒤지지 않을 수 있고 이용자의 수요와 정보통신망 보안에 대한 공격기법의 진화에도 적시에 대응할 수 있게 된다”고 되어 있다.
시도 때도 없이 터지는 초대형 정보유출 사고는 정부의 잘못된 보안기술 규제가 한국의 보안기술 수준을 총체적으로 하향 평준화하고 낙후시켜 왔음을 반증한다. 정부가 보안기술 선택에 개입하여 이래라저래라 강요할 경우, 정부가 하라는 것만 하면 보안이 될 거라고 착각하는 낮은 수준의 보안 인력이 양산된다. 정부가 하라는 것만 하면, 사고가 터져도 면책되는 현재의 상황에서는 더 높은 수준의 보안 전문인력을 고용할 이유도 없다.
대통령의 지적이 공인인증서에 한정된 것이라고 오해하거나, 외국인에게 공인인증서 사용 예외를 인정해주면 해결될 것이라고 생각한다면, 그것은 오해이거나 악의적으로 사안을 왜곡하는 것이다. 공인인증서가 담당할 수 있는 부분은 보안의 극히 작은 일부분이다. 정부가 보안기술 전반에 개입해서 이런저런 기술 규정을 만들고, 규정에 적힌 것만 해두면 아무리 큰 사고가 터져도 책임을 면하는 현재의 잘못된 규제 체제는 국내 보안기술의 경쟁력을 약화시키고 보안시장의 침체를 낳고 있다. 보안기술에 대한 정부의 규제 전략이 근본적으로 바뀌지 않으면, 앞으로 더 큰 보안사고는 한국에서 계속 터져 나올 것이고, 박근혜 대통령을 포함한 온 국민의 신상정보와 신용카드 정보는 물론이고 질병정보 등 민감한 사생활 정보가 더욱 광범하게 전세계로 유통되는 최악의 사태가 올 것이다.
구체적으로 어떻게 바뀌어야 하는지에 대해서 두가지만 언급한다. 첫째, 공인인증서를 대체할 ‘대안’이 뭐냐고 묻는 태도에서 벗어나야 한다. 기술 대안을 정부가 제시해야 한다는 생각 자체가 바로 구시대적 관치보안 발상이다. 대안은 업계가 스스로 채택할 수 있도록 정부는 더 이상 보안기술에 개입하지 말아야 한다. 둘째, 정부는 금융소비자 보호라는 본연의 임무에 충실해야 한다. 보안기술 선택권은 금융회사에 온전하게 부여하는 대신, 사고에 대해서는 금융회사가 법에 따라 철저하고 신속하게 배상하도록 감독해야 한다. 그렇게 하면 금융회사들은 자발적으로 보안기술에 투자할 이유가 생기게 된다.
김기창(고려대 법학전문대학원 교수/오픈넷 이사)
* 위 글은 한겨레에도 기고하였습니다.
0 Comments