지난 5월 20일 전자서명법 개정안이 국회 본회의를 통과했고, 공인인증서는 도입 21년 만에 사라질 운명이다. 단순히 은행 웹사이트에 한 번 들어가기만 해도 이것저것 뭔가 설치되고, 다른 은행에 들어가면 비슷한 게 또 설치된다. 악성코드를 탐색한다고 설치된 프로그램들은 악성코드처럼 컴퓨터를 느리게 만들고 서로 충돌하기도 한다. 모든 일의 원흉으로 공인인증서가 지목돼 왔다. 이른바 ‘공공의 적’으로 불리는 공인인증서가 어떻게 시작되었는지 살펴보고자 한다.
시작은 1999년으로 거슬러 올라간다. 이 시기에 우리나라뿐만 아니라 전 세계적으로 인터넷을 이용한 상거래가 늘어나면서, ‘전자서명법’이 만들어진다. 전자서명이란 실생활에서 중요한 거래 시 인감도장을 사용하는 것처럼, 디지털 데이터 상에서도 거래 내용의 진실성을 보장할 수 있는 디지털 인감에 해당하는 암호학적 기술이다. 이 전자서명에는 사람마다 자신만의 고유의 열쇠를 갖도록 하는 공개키 암호라는 기술이 사용되는데, 자신의 열쇠가 ‘진짜’임을 인증하는 데 필요한 것이 바로 ‘공인인증서’이다. 마치 인감 도장에 인감증명서가 따라가듯, 공개키 암호에 공인인증서가 함께 해 온 것이다. 이는 국제 표준화된 교과서적인 방식이고, 당시 보안 기술 관점에서는 다른 국가에 비해 선진적으로 앞서나간 것이었다.
하지만 한 가지 문제가 있었다. 당시 미국 법에 따르면 해외로 수출되는 상품은 높은 보안 기술을 적용할 수 없다는 강력한 보안 규제를 적용했고, 소프트웨어도 예외가 아니었다. 이로 인해 당시 대부분 사용하던 마이크로소프트 운영체제의 브라우저는 40비트 암호화만 가능했다. 40비트라는 것은 암호화를 하더라도 당시 보통 컴퓨터로도 하루면 답을 찾을 정도의 수준이었으니 이를 믿고 은행 거래까지 가능한 시스템을 만들 수는 없었다. 다행히 우리나라가 만든 128비트 Seed 암호가 있었고, 이는 당시에 국제표준이 됐다. Seed를 사용해 공인인증 시스템을 만들었으나, 문제는 브라우저 자체에서 Seed의 암호화/복호화를 지원하지 않으므로 어쩔 수 없이 별도의 프로그램을 설치해야 했다. 그리고 설치한 김에 로그도 만들고, 사용자 정보를 빼가는 스파이웨어도 탐색하는 등 이것저것 보안을 위한다고 설치되는 프로그램은 덤이었다. 브라우저에서 각종 필요한 프로그램을 설치하는 수단이 액티브엑스였으니, 모든 악의 뿌리인 액티브엑스는 이렇게 등장했다.
당시 선택은 어쩔 수 없는 필요악이었다. 그러나 이미 미국의 보안 규제는 사라졌고, 브라우저만으로 각종 암호화 기술이 잘만 작동하는 현재 상황에서 우리의 공인인증 시스템은 사람들의 원성의 대상이 되었다. 특히, 해외 직구 등으로 외국의 거래 방식을 직접 경험해 보면서 우리의 방식이 뭔가 잘못됐다는 인식이 퍼져나갔다. 기술 관점에서 공인인증 시스템에 문제가 있는 것은 사실이었으나, 그렇다고 외국에서 사용하는 방식 또한 기술적으로 전혀 문제가 없는 것도 아니었다.
어쨌든 이번에 개정되는 법을 통해 공인인증서는 사라지게 되었으나, ‘인증서’ 자체가 당장 사라지거나 사용이 금지되는 것은 아니다. 일단 ‘공인’은 사라졌으나 ‘인증서’는 당분간 우리와 함께 남아 있을 것이고, 이를 다른 ‘사설’ 인증서들이 대체하거나 새로운 인증 수단이 대체해 나갈 것이다. 우리에게는 개인 통신 장비의 확산으로 사용자 인증을 대체할 수단의 보급이 완벽한 수준이며, 이미 보안 기술적으로 쌓아놓은 신뢰 시스템도 많이 있다. 또, 이를 기반으로 새로운 혁신 기술들이 대거 등장할 것이므로 걱정할 것도 없다. 공인인증서여, 수고 많았다!