[일간투데이 송호길 기자] "'공인인증서 폐지' 문제는 정부·산업계·학계·시민단체 등 관계자가 모두 모여 1박 2일간 진행한 해커톤에서 모두 합의했어요. 해커톤 같은 자리가 과거에도 있었다면…."
이 교수는 이날 연구실에서 가진 본지와의 인터뷰에서 "회의 시작부터 공인인증서 폐지를 놓고 찬성론자와 반대론자가 첨예하게 대립했다. 하지만 그날 밤 11시가 넘는 시간까지 허심탄회한 토론을 이어가다 보니 자기 전 다 같이 맥주 한잔할 수 있었다"며 2차 해커톤 당시를 떠올렸다.
제2차 해커톤에서 공인인증서 의제리더를 맡은 그는 산업계와 시민단체, 학계, 정부 및 공공기관 등 각각의 의견을 취합하고 합의 단계에 이르기까지 중심 역할을 했다.
이 교수는 다양한 이해관계자의 현장 의견을 수렴하고 사회적 합의를 거치기까지의 중요성을 강조했다. 우리나라가 4차산업혁명에 대응하려면 사회적 논의가 필요한 주제를 지속적으로 발굴하고 제도를 과감하게 혁신해야 한다는 것이다.
이어 그는 "공인인증서가 폐지되면 정부는 중립적인 자세로 우수한 민간 기술을 적극 지원하면서 인증 시장이 성장할 수 있도록 본보기가 돼야 한다"고 강조했다.
그러면서 "첨단 기술이 접목된 인증수단이 다양화되면 사용자의 선택권이 확대되고 시장 규모가 커지는 등 국내 발전에 기여할 수 있을 것"이라고 부연했다.
금융거래나 본인 인증을 위한 수단으로 사용되는 공인인증서가 이르면 올해 전면 폐지될 전망이다. 지난 1999년 전자서명법으로 도입된 현행 공인인증서 제도는 시간이 지나면서 다양한 첨단 인증 기술의 등장으로 국민의 전자서명수단 선택권을 넓혀야 한다는 목소리가 확산돼 왔다. 또 공인인증서가 시장독점을 초래하면서 전자서명의 기술·서비스 발전을 저해한다는 지적도 높았다.
이에 따라 과학기술정보통신부는 지난해 9월부터 관계부처 협의, 전문가 토론회 및 이해관계자 의견수렴을 통해 현장의 다양한 의견을 반영해 올해 1월 규제혁신토론회에서 공인인증서 제도 폐지 방침을 발표했다.
이어 지난 2월 관계부처를 비롯해 각계 전문가 및 다양한 이해관계자가 참여한 4차산업혁명위원회 규제·제도 혁신 해커톤과 법률전문가·이해관계자 검토회의 등을 거쳐 법 개정안을 마련했다.
지난달 30일 과기정통부는 공인인증서 제도 폐지를 주요 내용으로 하는 '전자서명법' 개정안을 발표했으며 국회 통과를 앞두고 있다.
다음은 이 교수와의 일문일답.
- 문재인 대통령의 공약이었던 '공인인증서 폐지'가 올해 이뤄질 전망이다. 왜 진작 공인인증서를 폐지하지 못했다고 보는가.
"그동안 정책적으로 폐지한다는 이야기는 있었지만, 실제 실행으로 옮기는 일에는 제약이 많았다. 예를 들면 전자서명법에는 공인인증서 의무 사용을 명시한 60여개의 법령이 있는데 그 법령을 개정하지 않는 이상 쉽게 폐지할 수 없었다."
- 정부는 지난 2003년 공인인증서 적용을 의무화했다. 당시 공인인증서를 도입하자는 목소리가 높았는데 현재로선 그 반대의 이야기가 많다. 그 배경은 무엇이라고 보는가.
"공인인증서 도입 초기에는 PKI(공개 키 기반구조) 기술이 유용하게 사용됐다. 이 기반은 국가 민원서류 발급 서비스나 금융서비스, 인터넷뱅킹, 전자상거래 등 다양한 분야에서 활용했다. 하지만 현재에는 새로운 인증 기술과 전자서명 관련 기술이 많이 발전하고 있는 데다 산업도 다양해졌다. 전자계약 서비스 시장 규모가 커지고 있고 인증기술 중에서도 파이도(FIDO) 등 스마트폰을 이용한 인증, 생체인식뿐만 아니라 사회관계망서비스(SNS)를 통해 통신사가 제공하는 확인기능 등 쓸 수 있는 기술들이 많아졌다. 이런 상황에서 공인인증서만 사용하기에는 배경이 맞지 않는다는 요구가 커진 것이다."
- 액티브X는 공인인증서 사용시 필수로 설치해야 해 골칫거리였다. 정부가 공인인증서와 액티브X 사용을 강제함으로써 보안 책임을 국민에게 떠넘긴다는 지적이 많다. 향후 다양한 사설인증서가 나와도 또 다른 보안프로그램을 설치해야 하는 거 아닌가.
"공인인증서가 폐지되면 인증 시장은 자율경쟁 체제로 전환돼 민간 전문기관의 진입장벽은 낮아진다는 것을 의미한다. 기존보다 더 우수하고 편리하며 보안성을 높이는 다양한 인증서가 나올 것이다. 사설·공공 인증 기관들은 금융소비자를 보호하기 위한 서비스를 제공해야 할 의무가 있다. 소비자들은 더 편하고 안전한 보안기술을 제공하는 기관의 인증방식을 선택할 것으로 예상한다. 물론 인증수단은 다양해지겠지만, 시중은행 등 서비스제공자가 채택한 인증수단 내에서만 사용할 수 있다는 제약은 여전히 있다. 하지만 인증수단으로 공인인증서를 강제하는 현재와는 달리 다양한 인증수단을 선택할 수 있게 된 것이 이번 전자서명법 개정의 핵심이다."
- 전자서명제도가 지정제에서 평가제로 바뀐다. 그 의미는 무엇인가.
"앞으로 민간 전문기관의 기술 보안성 및 서비스 기준을 만족하면 공인인증서와 동등한 법적지위를 받을 수 있게 된다는 의미다. 이렇게 하면 보안업계에서 가격 경쟁력을 갖춘 기술을 시장에 내놓게 되고, 소비자들은 이를 자율적으로 선택할 수 있게 된다. 결과적으로 이런 변화는 국내 보안 시장을 활성화하는 계기가 된다. 사용자의 편의성을 고려하지 않으면 시장에서 도태될 수밖에 없기 때문에 안전하게 사용할 수 있는 기술만이 살아남을 수 있을 것이다."
- 민간 전문기관이 시장에서 동등하게 경쟁할 수 있도록 제도적 여건을 조성하려면 정부는 어떤 역할을 해야 하는가.
"우선 법제도 측면에서 강조하고 싶다. 법은 특정 기술을 강제하는 것이 아닌 기술 중립적이어야 한다. 4차산업혁명 시대에 어떤 변화가 있을지 단언하기 어려운 상황에서 시장 활성화를 위해 업체 간 경쟁 유도가 필요하다. 좋은 기술이 있으면 먼저 가치를 인정하고 신속하게 도입할 수 있도록 해야 한다. 신생업체들은 우수한 기술을 개발했음에도 그동안 시장에서 받아주지 않았다. 금융기관이나 정부가 보수적인 태도를 취했기 때문이다. 보안 산업을 육성한다는 관점에서 예산을 들여 민간 기관의 우수한 기술을 도입해 좋은 사례를 만들어주는 것이 정부의 역할이다. 규제를 많이 하는 것보다는 새로운 기술 경쟁을 유도하고 뒤에서 지원해주는 것 또한 중요하다."
- 민간이 시장에서 경쟁함으로써 기대되는 경제적 효과는.
"시장 활성화는 물론 국내 보안수준을 높이는 데 큰 도움이 예상된다. 전 세계적으로 통용되는 인증 서비스와 더불어 전자상거래나 핀테크 기술을 응용한 다양한 서비스가 활성화될 수 있을 것이다. 정책적인 결정보다는 기술적인 관점으로 볼 때 시장 규모를 키우면서 국제적인 경쟁력을 강화할 수 있을 것으로 본다."
- 현재 사용하고 있는 공인인증서는 사용하지 못하게 되는지 궁금해하는 국민이 많다. 향후 혼선이 예상된다.
"계속 사용할 수 있다. 공인인증서는 없어지는 게 아닌 '공인인증'으로서의 특권적 지위만 박탈하는 것이다. 현행 인증서를 이용하고 있는 국민들이 제도개선으로 불편함을 겪지 않도록 연착륙 방안을 마련해야 한다. 정부 전자민원포털(민원24)·국세청 홈택스 등 공공서비스부터 시범 사업을 추진하는 것이 국민들이 체감하는 데 효과적인 방안이라고 생각한다."
■이희조 교수는.
포항공대(POSTECH 컴퓨터공학과를 졸업하고 포항공대 대학원에서 석사 및 박사학위를 취득했다. 지난 2000년부터 2001년까지 미국 퍼듀대학교 컴퓨터학과와 보안센터인 CERIAS에서 박사후연구원으로 인터넷 보안에 관해 연구를 수행했다. 2001년부터 2003년까지 안철수연구소에서 보안분야 최고기술책임자(CTO)를 역임해 통합 보안제품의 기획과 개발을 담당했으며 2004년부터 현재까지 고려대 컴퓨터학과 교수로 재직 중이다.
현재 IoT(사물인터넷) 소프트웨어보안 국제공동연구센터(CSSA) 센터장으로 미국·영국·스위스와 국제공동연구를 통해 보안취약점 자동분석 서비스 IoT큐브(IoTcube)를 개발하는 등 IoT기기와 다양한 서비스의 보안성을 높이는 데 기여하고 있다.
▲1989∼2000년 POSTECH 컴퓨터공학과 학사·석사·박사 ▲2000∼2001년 미국 Purdue CERIAS 박사후 연구원 ▲2001∼2003년 안랩 CTO ▲2010∼2011년 미국 CMU CyLab 방문교수 ▲2006∼현재 국가 Cyber Security 정책 자문위원 ▲2016년 ISLA Award 아시아태평양 최고상 수상(Community Service Star) ▲2015∼현재 IoT 소프트웨어보안 국제공동연구센터 (CSSA) 센터장