Internet & Security Focus 2013 3월호 23

FOCUS

최근 스마트폰의 보급이 활발히 이루어지고 있고, 스마트폰을 통한 전자자금이체도 일상화 되어

있는 상황이다. 이러한 스마트폰은 전화기 본연의 임무인 통화 기능 외에 게임이나 문자교환,

인터넷서핑, 인터넷뱅킹과 증권거래도 가능하게 해 준다. 이는 종래 개인용컴퓨터(PC)에서

경험하였던 상황이 이동할 수 있는 환경으로 변환된 것이라 할 수 있다. 하지만 스마트폰도

이동성이 월등할 뿐 한편으로는 PC이기에 여전히 여러 보안상의 취약점을 갖고 있어, 정부부처는

인터넷뱅킹이나 모바일증권거래에서도 공인인증서의 사용을 의무화 하고 있다. 하지만 이러한

공인인증서 의무화가 PC 사용자 뿐만 아니라 스마트폰 사용자들에게도 불편함으로 다가오고

있다. 더욱이 유독 우리나라에서만 공인인증서가 의무화되어 있어 국제표준에 맞지 않고,

이 문제로 인해 산업활성화에 장애가 되고 있다는 주장도 제기되고 있는 상황이다.

따라서, 본고에서는 이러한 스마트 환경에서의 공인인증서의 활용과 문제점을 검토해 본다.

스마트 환경에서의 공인인증서 활용과 문제점

FOCUS 2

이정현* (법학박사)

한국인터넷진흥원 법제분석팀 책임연구원 (hyunlee@kisa.or.kr)

* 본 연구는 필자의 2012년도 경희대학교 박사학위 청구논문(전자서명·인증제도에 관한 법적 연구)의 일부를 축약하고, 이후

연구결과를 반영하여 작성한 것임을 밝힌다.

Ⅰ. 서론

Ⅱ. 가상공간 상에서의 새로운 신원확인 인증수단

1. 현실공간에서의 신원확인 수단

2. 새로운 신원확인 인증수단의 필요성

3. 전자금융거래에서의 관련 법규와 공인인증서의 역할

4. 공인인증서 유료화 정책의 도입 및 종류 확정

5. 공인인증서의 시장지배적 지위

6. 디지털디바이드와 공인인증서 이용문제

Ⅲ. 모바일 환경에서의 공인인증서에 관한 법적 이슈

1. 액티브X와 공인인증서

2. 스마트폰과 공인인증서

Ⅳ. 결 론

Internet & Security Focus 2013 3월호24

FOCUS

Ⅰ. 서론

1999년 7월 「 전자서명법」이 제정·시행됨에 따라 은행이나 증권사의 객장에 가지 않아도

가정에서 자신의 컴퓨터를 이용하여 타인에게 금전을 송금하거나 증권거래를 할 수 있는 세상이

도래하였다. 이러한 세상을 맞이하게 된 데에는 ‘공인인증서’가 한 몫을 차지하고 있었기 때문이다.

공인인증서 도입 초기에는 공인인증서가 전자적인 매체이다 보니 육안으로 확인할 수 없고 만질

수도 없는 점으로 인해 활성화에 애로가 컸다. 하지만, 바쁜 현대인들에게 공인인증서만 있으면

은행이나 증권사 객장을 최종방문하지 않아도 되고, 시간과 장소의 구애를 받지 않는다는 이점이

부각되면서 공인인증서 사용의 폭발적 증가를 가져왔다. 그 결과로 2012년 12월말 현재

공인인증서 발급수가 2,838만 건을 넘어서고 있다.1) 2)

일반적으로 공인인증서를 소개할 때에 항상

비유하는 대상이 있다. 바로 ‘인감증명서’이다. 우리는

일상생활에서 각종 법률행위를 100년 가까이

인감증명서에 의존하여 살아왔는데, 이것을

인터넷이라는 가상세계에 그대로 옮겨와서 가능하게

해 주는 것이 공인인증서이다. 2009년에

행정안전부에서는 인감증명서의 사용 범위를 점차적으로 줄여나가 종국에는 폐지하겠다고 하는

발표도 하였는데,3) 여러 이유가 있겠지만 정보통신기술의 발달과 인터넷 이용의 증가로 더 이상

사람이 직접 이동하여 법률행위를 하는 방식은 불편하므로 이를 개선해야겠다는 욕구가 그 이유 중

하나가 될 수 있을 것이다.

사람과 사람이 직접 한 자리에 모여 서로 얼굴을 보고 신원을 확인하는 것이 종래의

방식이었다면, Cyber공간에서 상대방의 얼굴을 보지 않더라도 무언가 믿을 수 있는 정보를 통해

서로를 알아볼 수 있도록 한 것이 공인인증서라고 할 수 있다.

한편, 2009년 아이폰이 국내에 도입된 이래, 2013년 현재에는 스마트폰의 보급이 활발히

이루어지고 있고,4) 스마트폰을 통한 전자자금이체도 일상화 되어 있는 상황이다. 이러한

[그림 1] 공인인증서와 인감증명서 비교

1) 출처: 한국인터넷진흥원, 연도별 공인인증서 발급현황, 2013.1.

2) 통계청이 발표한 2013년도 2월 고용동향 자료에 따르면 15세 이상 인구가 4,188만 명이고, 경제활동인구는 2,490만

명이라고 한다. 공인인증서는 초등학생도 발급받을 수 있으나 실제 사용하는 사람은 경제활동을 하는 부류라고 할 것이므로,

우리나라의 경제활동하는 사람들 대부분이 공인인증서를 사용한다고 보아도 무방할 것이다.

3) 이에 따라 행정안전부에서는 2012년 12월 1일부터 본인서명사실 확인제도가 시행되었다. 관련법은 「 본인서명사실 확인

등에 관한 법률 」이다(2012.2.1.제정·공포).

Internet & Security Focus 2013 3월호 25

FOCUS

스마트폰은 전화기 본연의 임무인 통화 기능 외에 게임이나 문자교환, 인터넷서핑, 인터넷뱅킹과

증권거래도 가능하게 해 준다. 이는 2000년에 개인용컴퓨터(PC)에서 경험되었던 상황이 이동할

수 있는 환경으로 변환된 것이라 할 수 있다. 하지만 스마트폰도 손에 쥘 수 있는 작은 PC라 할 수

있기에 PC와 마찬가지로 여러 보안상의 취약점을 갖고 있다. 따라서 정부부처는 인터넷뱅킹이나

모바일증권거래에서도 공인인증서의 사용을 의무화 하고 있다.5)

하지만 이러한 공인인증서 의무화가 PC 사용자 뿐만 아니라 스마트폰 사용자들에게도

불편함으로 다가오고 있다. 더욱이 유독 우리나라에서만 공인인증서가 의무화되어 있어 국제표준에

맞지 않고, 이 문제로 인해 산업활성화에 장애가 되고 있다는 주장도 제기되고 있는 상황이다.6)

따라서 본고(本稿)에서는 이러한 스마트 환경에서의 공인인증서의 활용과 문제점을 검토하고

입법적 개선방안을 제시해 본다.

Ⅱ. 가상공간에서의 신원확인 확보수단

1. 현실공간에서의 신원확인 수단

현실거래에서의 거래 당사자의 신원확인 방식으로는 인감증명(印鑑證明)이나 주민등록등본

또는 법인등기부등본에 의한 방식이 현재 우리나라에서 이용되고 있는 일반적인 방법이다. 또한

거래의 내용을 확인하기 위해서는 「 공증인법」에 의한 공증인의 공정증서 작성이나 사서증서의

인증이 주로 이용되고 있다.

우선 인감증명에 대해서 살펴보면, 인감증명에 관하여 규정하고 있는 법률은 「 인감증명법」이다.7)

인감신고는 인감증명을 받고자 하는 증명청에 하게 되는데, 인감신고는 의무사항은 아니다. 다만

4) 방송통신위원회와 한국인터넷진흥원이 2012년 말 발표한 ‘2012 인터넷 이용실태 조사’에 따르면 만6세 이상 조사대상자 중

63.7%는 스마트폰 및 태블릿PC 등을 보유하고 있는 것으로 나타났다. : 방송통신위원회·한국인터넷진흥원, 2012년 인터넷

이용실태조사, 2012.12, <http://isis.kisa.or.kr>, [2012.3.12. 최종방문].

5) 공인인증서로 대표되는 전자서명·인증제도의 정책기관은 행정안전부이고 그 집행기관은 한국인터넷진흥원(KISA)이다.

KISA는 공인인증서를 발급하는 5개 공인인증기관(한국정보인증, 금융결제원, 코스콤, 한국전자인증, 한국무역정보통신)의

최상위인증기관으로서 공인인증기관을 관리·감독하고 정책을 개발하는 역할을 한다. 반면, 공인인증서의 활용은 어느 부처든

가능하다. 따라서 인터넷뱅킹이나 모바일증권거래 분야에서는 소관부처인 금융위원회(금융감독원)에서 해당분야의

공인인증서 사용을 의무화하고 있는 상황이다.

6) 류준영 기자, “[여의도칼럼]공인인증서를 폐기하라”, 이데일리, 2013.3.4일자,

<http://www.edaily.co.kr/news/NewsRead.edy?SCD=JA21&newsid=01275926602740040&DCD=

A00102&OutLnkChk=Y>, [2012.3.12. 최종방문].

Internet & Security Focus 2013 3월호26

FOCUS

이러한 인감신고를 통해서 추후 인감증명서를 발급받게 되면 이를 통하여 부동산거래시 신원확인

대조나 각종 신원조회에서 활용을 하게 된다. 인감증명서는 증명청에 신고된 인감과 같다는 것을

증명하는 서류이며, 시장·군수 또는 구청장이나 읍장·면장·동장 등이 발행하며, 문서의

작성자가 본인임을 증명하기 위하여 사용된다.

유의할 것은 인감의 신고는 신고인이 방문하여 하여야 한다는 것이다.8) 신고인이

질병·징집·복역 등 대통령령으로 정하는 사유로 인하여 방문할 수 없는 경우에는 서면으로

신고를 할 수 있는 단서가 있지만, 이러한 신고 및 인감증명서류의 제출절차 등은

전자서명법」상의 공인인증서 발급과 유사하게 적용되고 있다.

두 번째로 살펴보아야 할 것은 주민등록번호이다. 주민등록번호에 대해 정하고 있는 법은

「 주민등록법」이다.9) 「 주민등록법」은 시·군 또는 구의 주민을 등록하게 함으로써 주민의

거주관계 등 인구의 동태를 상시로 명확히 파악하여 주민생활의 편익을 증진시키고 행정사무의

적정한 처리를 도모함을 목적으로 하는 법률이다.

주민등록번호(住民登錄番號, Resident Registration Number)는 「 주민등록법」에 의해 부여되며,

대한민국에 거주하는 모든 국민에게 발급하는 주민등록증에 적혀있는 식별번호라 할 수 있다.

실생활에서는 신원확인을 위해 주로 주민등록증을 사용하며, 각종 문서상에서의 본인확인에는

주민등록번호를 기입하도록 하여 이 번호를 활용하여 해당 당사자의 권리관계 등을 파악한다.

또한, 대부분의 인터넷 웹사이트에서의 상품 판매나 서비스 제공을 이유로 회원가입시 본인확인

및 중복가입 확인, 그리고 성인인증을 위한 수단으로 사용되기도 한다. 그러나 이러한

주민등록번호는 개인을 쉽게 식별할 수 있어 정부가 아닌 (인터넷)사업자가 주민등록번호를

요구하고 수집하면서 주민등록번호 도용,10) 주민등록번호를 포함한 개인정보의 유출 등의 문제가

발생하게 되었다. 대표적인 예로 옥션의 개인정보 유출 사건과 SK커뮤니케이먼즈의

네이트·싸이월드 개인정보 유출 사건이 있다. 이러한 부작용을 줄일 목적으로 정부는

아이핀(i-PIN)이라는 주민등록번호 대체수단을 개발하였다.11) 하지만, 아이핀도 주민등록번호가

아이핀 제공 업체에 보관되기 때문에 미봉책에 불과하며, 문제의 근본적인 해결을 위해서는

민간에서의 주민등록번호 및 과도한 개인정보 수집이나 이용을 제한해야 한다는 의견이 있다.12)

7) 「 인감증명법 」은 1961년 9월 23일 제정되었다(법률제724호). 최근 개정은 2012년 3월 21일(법률 제11395호)에 있었으며,

본문 16개조 및 부칙으로 구성되어 있다.

8) 「 인감증명법 」 제7조(본인 신고의 원칙) 제1항.

9) 「 주민등록법 」은 법률 제1067호로 1962년 5월 10일 제정되어 같은 해 6월 20일 시행되었다. 그 후 2013년 현재까지

21차례개정되어 오고 있다.

Internet & Security Focus 2013 3월호 27

FOCUS

2. 새로운 신원확인 인증수단의 필요성

앞서 이야기한 사항을 다시 정리하면 다음과 같다.

실생활(오프라인환경), 즉 대면(對面) 거래에서는 보통 개인의 신원을 확인하는 수단으로 보통

개인의 신원을 밝히는 수단과 이에 대응하는 고유한 정보인 인증 요소(authentication factor)를

통해 자신이 적법한 사용자임을 인증하게 된다. 대면 거래에서는 보통 그 수단으로 주민등록증 등

신분증이 이용되며 사진과 본인 안면을 비교하는 절차를 통해 인증이 이루어진다.

반면 온라인환경, 비대면(非對面) 거래에서는 신분증 대신 ID나 카드 등으로 신원을 제시하고

핀(PIN : Personal Identification Number(개인식별번호))번호나 비밀번호 등으로 이를 인증하게 된다.

인터넷을 이용할 때 일반적으로 특정 사이트에 회원가입시 ID와 비밀번호를 입력하여 자신에게

온 이메일을 읽는다든지 자신의 블로그(Blog)나 홈페이지를 사용하게 된다. 이러한

인터넷서비스제공자와의 계약에 의한 회원가입형태로 만들어진 ID·비밀번호 방식은

아직까지는 그 안의 내용물의 유출이 중요한 경우가 드물기 때문에 현재까지 일반적으로

활용되고 있다.

하지만, 금융거래에서는 이러한 ID·비밀번호방식만으론 많은 보안상의 허점이 발생되게 된다.

약간의 허점만으로도 곧 금전적 손실을 불러일으킬 뿐 아니라, 고객 정보 유출, 은행의 신뢰성

약화 등 간접적인 손해 또한 막대하므로 신원확인이라는 것은 매우 중요한 절차이다. IT 발전에

10) 우리나라에서는 주민등록번호 생성기를 사용하거나 다른 사람의 주민등록번호를 도용 시에는 「 주민등록법」 위반으로 3년

이하의 징역이나 1천만원 이하의 벌금에 처해지게 된다(제37조, 2006. 9. 25. 시행) ; 주민등록번호 부정 사용 등으로

처벌되는 경우는 다음과 같다.

1. 주민등록번호 부여방법으로 거짓의 주민등록번호를 만들어 자기 또는 다른 사람의 재물이나 재산상의 이익을 위하여

사용한 자

2. 주민등록증을 채무이행의 확보 등의 수단으로 제공한 자 또는 그 제공을 받은 자

3. 주민등록 이중신고금지를 위반한 자나 주민등록 또는 주민등록증에 관하여 거짓의 사실을 신고 또는 신청한 자

4. 거짓의 주민등록번호를 만드는 프로그램을 다른 사람에게 전달하거나 유포한 자

5. 거짓이나 그 밖의 부정한 방법으로 다른 사람의 주민등록표를 열람하거나 그 등본 또는 초본을 교부받은 자

6. 주민등록전산정보자료를 본래의 목적 외의 용도로 이용·활용하여서는 안된다는 규정을 위반한 자

7. 주민등록업무관련자로서 보유 또는 이용목적 외의 목적을 위하여 주민등록표를 이용한 전산처리를 하거나, 누설하지

말아야 한다는 규정을 위반한 자

8. 다른 사람의 주민등록증을 부정하게 사용한 자

9. 법률에 따르지 아니하고 영리의 목적으로 다른 사람의 주민등록번호에 관한 정보를 알려주는 자

10. 다른 사람의 주민등록번호를 부정하게 사용한 자.

11) 아이핀(i-PIN : Internet Personal Identification Number)이란 인터넷 상에서 주민번호를 대신하여 아이디와 패스워드를

이용하여 본인확인을 하는 수단이다. 아이핀 아이디와 패스워드를 이용하면 웹사이트에서 주민번호를 이용하지 않아도

회원가입 및 기타 서비스 이용이 가능하다. 자세한 사항은 한국인터넷진흥원

<http://i-pin.kisa.or.kr/kor/about/effect.jsp> 참조, [2013.3.22. 최종방문].

12) 유윤정 기자, 민변, 옥션發 해킹파문.."아이핀, 대안이 될 수 없다", 아시아경제, 2008. 4. 25일자.

<http://www.asiae.co.kr/news/view.htm?idxno=2008042507141438354>, [2013. 3. 22. 최종방문].

Internet & Security Focus 2013 3월호28

FOCUS

따라 해킹기법도 비약적으로 발전하고 있으며 각종 명의도용이나 해킹기술을 이용한 금융재산의

탈취 등 온라인 기반의 금융사고 위험성이 어느 분야보다 빠르게 높아지고 있다. 따라서 이러한

위험으로부터 자신의 정보와 재산을 보호하기 위해서는 좀 더 강력한 신원확인 수단이 필요하게

되었다. 이에 대응하기 위하여 안전하고 신뢰할 수 있는 금융 보안 및 인증 기술이 요구되고 있다.

금융기관이나 전자거래업자, 이용자는 다양한 인증수단 중에서 주로 인증수단의 보안성과 관련

비용, 이용 편리성을 고려하여 선택한다. 기술적인 측면에서는 우열은 분명히 있지만, 금융기관의

경우에는 안전성을 강화한 인증수단들을 주로 선택하여 고비용이고 편리성이 떨어지더라도 이를

선호한다. 반면 이용자 측면으로 갈수록 편리성을 추구하는 경향이 강하기 때문에 상대적으로

저비용의 보안성이 떨어지는 방식을 선택하게 된다. 효과적인 인증수단의 조건으로는 고객

수용성(customer acceptance), 신뢰성(reliability), 사용자 수 증가에 대응할 수 있는

확장성(scalability), 미래의 시스템 변경에도 쉽게 호환이 가능한 상호운용성(interoperability) 등이

있다.13) 한편 외부적인 요소로서 관련 법규도 인증수단의 선택에 직접적인 영향을 미친다.

인증수단은 그 특성에 따라 지식형태, 소유물, 생체정보 등 세 가지로 분류하는 것이

일반적이다(아래표 참조). 지식형태는 가장 기본이 되는 인증수단으로, 별도의 기기가 필요하지

않으므로 비용이 저렴하고 이용이 편리하여 전자금융거래 초기에 많이 도입되었다. 그러나

보안성이 취약하여 현재에는 주로 다른 수단과 함께 인증의 한 과정으로써 사용되고 있다. 한편

우리나라의 전자금융거래에서 널리 사용되고 있는 공인인증서와 같은 신뢰성 있는 제3자(Trusted

Third Party)에 의한 인증을 분류에 포함시켜 네 가지로 구분하기도 한다.

구분지식형태

(what you know)소유물

(what you have)생체정보

(what you are)

종류 비밀번호, PIN번호, 그림 등 스마트카드, 휴대폰, HSM등 지문, 홍채, 안면, 음성 등

장점- 별도의 HW/SW 필요없음(저비용)- 사용, 변경, 대체 용이- 사용자의 거부감이 적음

- 사용, 변경, 대체 용이- 복제, 수정이 어려워 비교적 안전

- 정확한 본인인증- 도난, 분실, 수정 등의 위험성 없음- 사용이 편리

단점- 해킹에 취약- 명의도용이 간단- 개인의 기억력에 크게 의존

- 도난, 분실 위험- 추가 기기휴대의 번거로움으로 이용자 거부감 유발

- HW/SW가 필요(고비용)- 생체정보 저장에 따른 Privacy 문제로 이용자 거부감 높음

13) 미국 연방금융감독위원회(FFIEC), Authentication in an Internet Banking Environment, FFIEC, 2005. 10.

<http://www.ffiec.gov/pdf/authentication_guidance.pdf>, [2013.3.12. 최종방문].

<표1> 인증수단의 분류

출처 : 김보라, “비대면 지급결제서비스에서의 본인인증수단 현황과 전망”, 지급결제와 정보기술, 제36호, 금융결제원, 2009.4, 60면.

Internet & Security Focus 2013 3월호 29

FOCUS

가장 다양한 인증수단이 도입되고 있는 분야는 인터넷뱅킹이지만, 지급결제의 전자화가 급격히

진행되고 사이버 사기수법이 고도화됨에 따라 CD/ATM기기, 텔레뱅킹·모바일뱅킹, 전자상거래,

오프라인 가맹점 등 전반적인 전자거래분야에 새로운 인증수단이 개발 및 도입되고 있는

실정이다. 이에 따라 이용자 측면에서는 다양한 거래시에 그에 적합한 인증수단을 기억해

내야하거나 휴대해야 하거나 하는 불편이 생겨 이를 통합할 수 있는 새로운 인증수단의 도입이

중요해지고 있다.14)

3. 전자금융거래에서의 관련 법규와 공인인증서의 역할

1980년대 후반 PC뱅킹과 함께 은행창구에 최종방문하지 않아도 은행업무를 볼 수 있게하는

‘홈뱅킹’시대가 시작됐다. 당시 하이텔, 천리안 등의 통신망을 이용하여 은행전산망에 접속하여

예금이나 자금이체 등의 서비스를 이용할 수 있었고, 1992년에는 전화를 이용한 텔레뱅킹이

등장하였다. 이 당시에 신원확인 수단은 주로 ID와 비밀번호, 계좌번호와 계좌비밀번호 정도였다.

당시 비밀번호 유출이나 도청 등의 위험성은 존재하였지만 이용자가 적고 비교적

폐쇄망이었기 때문에 활용이 가능하였다.15)

1999년 7월 신한은행을 필두로 시작된 인터넷뱅킹에서는 공개키기반구조(PKI)의 전자서명 개념을

도입하여, 비밀번호의 취약점을 보완하고자 하였다. 초기에는 은행별로 사설인증서를 발행하였으나,

정부의 노력으로 2002년 9월에는 인터넷뱅킹이 온라인 증권거래는 2003년 3월부터 해당 서비스

이용시에 공인인증서를 의무적으로 사용하도록 추진되었다. 한편 2004년에는 「 전자금융거래법」 및

「 전자금융감독규정」에 따라 모든 전자금융거래에서는 공인인증서를 사용하도록 의무화가

추진되었는데 전자금융거래에서의 공인인증서 사용 의무화는 당시 「 전자서명법」의 주무부처인

정보통신부가 아니라 금융감독위원회(금융감독원)에서 주도하였다.16)

공인인증서는 「 전자서명법」을 통해 법적 효력을 지니는 강력한 인증수단으로, 사용자는

인증서와 함께 인증서 암호를 입력하는 것만으로 간단히 본인인증이 가능하므로 편리하다. 앞서

14) 김보라, 앞의 글, 61면.

15) 김보라, 앞의 글, 61면.

16) 「전자금융거래법」 제21조 (안전성의 확보의무) ②금융기관등은 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록

전자금융거래의 종류별로 전자적 전송이나 처리를 위한 인력, 시설, 전자적 장치 등의 정보기술부문 및 전자금융업무에 관하여

금융위원회가 정하는 기준을 준수하여야 한다. ③금융위원회는 전자금융거래의 안전성과 신뢰성을 확보하기 위하여

「전자서명법」 제2조 제8호의 공인인증서의 사용 등 인증방법에 대하여 필요한 기준을 정할 수 있다. 「

전자금융감독규정」(2004) 제7조(공인인증서 사용기준) 모든 전자금융거래에 있어 「 전자서명법」에 의한 공인인증서를

사용하여야 한다.

Internet & Security Focus 2013 3월호30

FOCUS

서론에서 밝힌 바와 같이 2010년 12월말 현재 발급된 공인인증서가 23,712천 건을 넘어섰으며

2008년 조사된 공인인증서 이용의 경제적 효과는 연간 411억원에 이른다.17)

공인인증서와 함께 현재 인터넷뱅킹 인증의 한 부분을 담당하고 있는 수단이 보안카드이다.

보안카드는 비밀번호의 약점을 보완할 수 있는 쉽고 저렴한 인증방법이며, 카드 형태로 휴대가

용이하여 텔레뱅킹(Telebanking) 때부터 부분적으로 사용되어 왔다.18)

2004년부터 인터넷뱅킹에서 보안카드 사용이 의무화 되었으나, 각 금융기관의 보안카드를

모두 휴대해야 하는 번거로움 때문에 PC에 보안카드 이미지를 저장해 놓은 파일이 유출되거나

해킹프로그램 등을 이용하여 사이버 사기에 사용되기 도 하였다.

2005년 인터넷뱅킹 첫 해킹 사고19)가 발생하면서 보안에 대한 우려가 제기되자

금융감독원에서는 ‘전자금융거래 보안 종합대책’을 통해 사고 예방에 나섰다. 특히 위험성이

노출된 보안카드와 공인인증서를 보완하기 위하여 OTP(One Time Password)20)와

HSM(Hardware Security Module)21)의 사용을 장려하고, 본인인증수단에 따라 보안등급을

설정하여 이 등급에 따라 거래한도를 차등화 하도록 하였다. 그리고 2007년에는 이를 보완하여

거래한도 및 이용수단을 일부조정하여 시행하고 있다(아래표 참조).

17) 이해춘 외 2, 공인인증서 이용의 경제적 효과에 관한 연구, 한국정보사회진흥원, 2008.7.

18) 일반적으로 사용하는 보안카드는 35칸에 4개씩의 숫자가 배열되어 있는 일종의 난수표로, 계좌이체를 할 때 무작위로

요구하는 숫자를 입력함으로써 인증이 이루어진다. 또한 카드 상단에는 10자리의 보안카드번호가 있는데, 이는 공인인증서

재발급 등 특수한 경우에 인증수단으로 사용된다.

19) 2005년 5월16일 Key stroke방식의 해킹 프로그램을 통해 인터넷뱅킹 ID, 비밀번호, 공인인증서비밀번호, 보안카드 등을

알아내 계좌에서 5천만원을 불법인출하는 사건이 발생하였다. 이는 단순한 비밀번호도용이 아닌 본격적인 인터넷뱅킹

해킹사고의 첫 번째 사례이며, 보안카드의 보관 및 사용·관리, 공인인증서의 발급·보관 과정의 문제점을 재검토하는

계기가 되었다. : 이민종 기자, “인터넷뱅킹 해킹 당했다…국내 첫 사고발생”, 파이넨셜뉴스, 2005.6.3일자.

<http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=014&aid=0000177855>,

[2013.3.12. 최종방문].

20) One-Time Password(일회용비밀번호)는 매번 OTP발생기가 만들어내는 무작위의 비밀번호로 이용자를 인증하는

방법이다. 현재는 은행·증권사·저축은행 등 50여개 금융기관에서 OTP발생기를 발급하고 있으며, OTP통합인증센터를

통해 하나의 OTP발생기를 여러기관에서 인증수단으로 사용이 가능하다.

21) HSM(Hardware Security Module:보안토큰)은 전자서명생성키 등 비밀정보를 안전하게 저장, 보관할 수 있고 기기 내부에

프로세스 및 암호연산장치가 있어 전자서명키 생성, 전자서명 생성 및 검증 등이 가능한 하드웨어 장치를 말한다.

한국정보통신기술협회(TTA)정보통신용어사전.

Internet & Security Focus 2013 3월호 31

FOCUS

거래이용수단 보안등급거래한도(개인)

1회 1일

OTP발생기+공인인증서

1등급 1억원 5억원공인인증서HSM+보안카드

공인인증서+보안카드+2채널 인증

공인인증서+보안카드+휴대폰단문메시지 2등급 5천만원 2억5천만원

공인인증서+보안카드 3등급 1천만원 5천만원

4. 공인인증서 유료화 정책의 도입 및 종류 확정

정부는 2000년부터 전자거래의 안전성과 신뢰성을 확보할 수 있다는 취지로 2001년부터 공인인증서

1,000만 이용자 확보정책을 추진하게 되었다.22) 그 후로 이에 따라 양적 성장은 달성했으나, 그로 인해

다양한 성격의 공인인증기관이 혼재되어 시장질서의 미확립 등 부작용이 발생되었다. 특히 무료로

보급된 공인인증서를 유료화하지 않는 경우 공인인증기관의 생존이 곤란하다는 문제에 봉착함에 따라

개인용 공인인증서의 유료화를 추진하게 되었다.23) 개인 공인인증서 발급 유료화 관련하여 당시

정통부, 금감원, 행자부, 소비자단체 등 관련기관간 이견사항이 발생하여 결국 국무조정실이

조정(안)을 제시하였다(2004. 8. 20). 이에 따라 준정부기관인 (구)한국전산원을 제외한 5개

공인인증기관은 범용 공인인증서의 수수료를 4,400원/년(부가세 포함)으로 책정하여 신고하게 되었다.

공인인증서는 「 전자서명법」에 따라 공인인증기관이 자율적으로 용도와 범위 등을 정하여

자유롭게 요금을 산정할 수 있으나(제15조 제4항), 국무조정실 결정에 따라 아래 도표와 같이

공인인증서의 종류가 결정되었으며, 전자민원 서비스와 같은 경우 국민편의를 위하여 모든

공인인증서에 기본적으로 무료 제공될 수 있도록 하였다.24)

이렇게 되어 현행 공인인증서는 개인과 법인을 대상으로, 이용범위에 제한이 없는 ‘범용’과

이용범위에 제한이 있는 ‘용도제한용’ 인증서로 발급된다.

22) 당시 공인인증서의 1장당 가격은 1만원으로 책정되어 있었으나 우선은 시장이 정착하는 것이 급선무라는 정책적 판단에 따라

1천만 이용자 확보시까지 무료로 발급하는 것을 공인인증기관간 합의하여 추진하였다.

23) 당시 2005. 2월말 현재 공인인증서 총 발급건수는 1,000만여 건이며, 개인용이 922만 건으로 92.2%, 법인용이 77만

건으로 7.8%를 점유하고 있다. 개인용의 대부분은 인터넷뱅킹, 사이버증권거래용으로 현재까지는 금융권이 유일한

시장이며, 법인용은 인터넷뱅킹, 전자입찰 등의 용도로 쓰이고 있다.무료발급 인증서의 비중이 전체시장의 90%이상을

차지하게 되었고, 이에 따라 6개 공인인증기관중 2개 기관(준정부기관, 비영리법인)을 제외한 민간 공인인증기관은

적자운영에 따른 재정적인 한계에 봉착하게 되었다. : 홍준형, “공인인증시장의 공정경쟁 환경 조성을 위한 법제도 개선방안”,

『 바람직한 「 전자서명법」의 개정 방향 』 마련을 위한 토론회 자료집, 2005. 4, 3~7면.

24) 다만, 조달민원인 경우에는 조달이나 입찰 등에 개인이나 사업자 등이 입찰하는 목적으로 폐쇄적으로 활용되므로 무료에서

제외하고 특수목적용으로 취급하였다.

<표2> 보안등급별 거래한도

✽ 법인은 1등급 보안유지 의무화

출처 : 금융감독원, 전자금융거래 이용수단 보안등급별로 이용한도 차등화 브리핑자료, 2007.12.5.

Internet & Security Focus 2013 3월호32

FOCUS 종류 이용범위

수수료(원)

개인 법인

범용 모든 전자거래업무 4,400 110,000

제한용

은행용 •은행, 보험, 신용카드, ✽전자민원 무료 별도계약

금융투자용 •증권, 보험, 전자민원 무료 별도계약

신용카드용 •신용카드, 전자민원 무료 별도계약

기타(특수목적용) •공인인증기관과 전자거래사이트간 협의에 의해 조정 별도계약 별도계약

종류 요금 발급받는 방법

범용 인증서 4400원(VAT포함)

은행, 상호금융기관, 우체국 또는 증권회사에 온라인 계좌를 보유한 자는 홈페이지에 로그인 하여 발급(이때 해당 기관에서 발급받은 보안카드, 계좌비밀번호 등이 필요)공인인증기관의 홈페이지에 안내되어 있는 등록대행기관을 최종 방문하여 발급신분증 지참 필요, 신청인 본인이 직접 방문하여야 함

은행/카드/보험용 인증서

가입자는 무료발급(해당 대행기관이 인증기관(금융결제원 등)에 요금을 대납)25)

은행, 상호금융기관, 우체국 등에 방문하여 인터넷뱅킹을 신청하고 해당기관 홈페이지에 로그인하여 발급(이때 해당 기관에서 발급받은 보안카드, 계좌비밀번호 등이 필요)

증권/카드/보험용 인증서

가입자는 무료발급(해당 증권사가 인증기관(코스콤)에 요금을 대납)

증권사에 방문하여 온라인 증권거래 계좌를 개설하고 증권회사 홈페이지에 로그인하여 발급(이때 해당 증권사에서 발급받은 보안카드, 계좌비밀번호 등이 필요)

종류 요금 발급받는 방법

범용 공인인증서 11만원(VAT포함) 공인인증기관의 홈페이지에 안내되어 있는 등록대행기관을 방문하여 발급 또는 공인인증기관 직원이 인증서 신청인을 내방하여 신원확인을 수행하고 인증서 발급도 가능(방문서비스). 별도의 수수료가 부과될 수 있음

국세청 전자 세금계산서용 공인인증서26)

계약에 의함

특수목적용 공인인증서

25) 공인인증서를 발급하는데 있어 가입자는 무료로 인증서를 발급받지만 은행과 금융결제원, 증권사와 코스콤과는 인증업무

실시에 따른 비용전액을 각각 은행이나 증권사들이 회비기준에 의거 사후에 정산하여 분담한다. 이로 인하여

공인인증서비스만을 전업으로 하는 공인인증기관간 공인인증시장에서의 공정경쟁문제가 발생되었으며 아직 뚜렷한 해결책은

없는 실정이다. 이에 대한 것은 본 논문과 거리가 있으므로 생략한다. 자세한 사항은 홍준형, 앞의 글, 3~18면 등 참조.

26) 일종의 특수목적용 공인인증서로서 국세청에 세금계산서를 제출함에 있어 전자적으로 처리하는 경우 사업자의 신원확인을

위해 발급하는 인증서이다.

<표3> 공인인증서 종류별 이용범위 및 수수료

<표5> 법인용(개인사업자용) 공인인증서의 종류·요금·발급방법

<표4> 개인용 공인인증서의 종류·요금·발급방법

✽ 신용카드범위는 2006년경 은행용 발급자의 불편민원을 수용하여 정통부에서 은행용에 추후 포함

출처 : 한국인터넷진흥원 자료(2005).

출처 : 한국인터넷진흥원 자료(2010).

출처 : 한국인터넷진흥원 자료(2010).

Internet & Security Focus 2013 3월호 33

FOCUS

위 구분체계는 공인인증서를 사용할 수 있는 이용범위로 구분하고 있을 뿐 아니라, 사용자가

아닌 공급자(은행 등) 위주의 서비스 구분체계로써 급변하는 IT서비스 융·복합화 시대에

적합하지 않다. 「자본시장과 금융투자업에 관한 법률」 제정(2007.8.3)으로 사용자는 증권사에서

은행업무, 금융투자 업무를 모두 수행할 수 있으나 현행 이용범위 구분체계로 은행계좌 소유자는

은행용 인증서를 사용하여야 한다. 또한, 행정·공공기관의 전자민원 업무 확대로 용도제한용

인증서로 이용 가능한 업무범위를 명확화 할 수 없다. 아울러, 국민 대다수가 사용하고 있고

비용적으로 효율적인 공인인증제도를 도입하고자 하는 전자거래서비스(휴대전화 인터넷 개통,

웹사이트 회원가입 등)는 증가하고 있지만 보급된 공인인증서의 약88%가 용도제한용

인증서로써 전자거래 전반에 사용하지 못하는 문제로 공인인증제도 효율성이 저하되는 문제도

발생되고 있다. 특히, 공인인증서 이용범위 또는 용도에서 벗어나 부정하게 사용할 경우

「전자서명법」 제32조 제3호에 따라 1년 이하 징역 또는 1천만원 이하의 벌금에 처하게 돼

공인인증서 이용 확대를 제한하고 있다.27)

5. 공인인증서의 시장지배적 지위

2010년 스마트폰의 이용증가와 함께 스마트폰을 통한 전자금융거래를 함에 있어 공인인증서를

의무적으로 사용하여야 하는 문제가 불필요한 규제로 대두되었다.28) 최근 스마트폰 환경에서

공인인증서가 전자거래에 제약을 가져다 준다는 이유로, 혹자는 갈라파고스 정책29)이라고 이제는

27) 앞으로 계속적인 협의를 통하여 그 이용범위를 확대하는 정책의 도입이 필요하다고 본다. 현재 국민 대다수가 사용하는

개인용 용도제한용 공인인증서와 개인용 범용인증서는 그 사용범위를 살펴 볼 때, 용도제한용 공인인증서가 범용인증서의

범위의 대부분을 차지하고 있다. 하지만, 휴대전화의 인터넷 개통이라든지 웹사이트의 회원 가입 등의 경우에는 용도제한용

공인인증서의 용도 범위 외의 업무이므로 개인은 별도로 범용 공인인증서를 자신의 비용을 들여 구입하여야 한다. 하지만

그러한 소소한 분야에 자신의 비용을 들여서 범용공인인증서를 사용하는 경우는 극히 드물 것이다. 따라서 현재 무료로

보급되어 있는 용도제한용 공인인증서의 범위를 범용 공인인증서의 범위로 확대하거나, 범용 공인인증서를 개인에 한해서는

무료로 발급받을 수 있도록 함으로써 가입자 편의를 증대하는 정책적 전환이 고려된다. 아울러 그동안 개개인으로부터

받아온 범용 공인인증서의 발급비용은 그간 개개인의 신원확인을 개인이 갖고 있는 공인인증서를 활용하여 신원확인시스템

구축 비용을 절감하여온 전자거래업체로부터 징수받는 방안도 강구된다. 이렇게 함으로써 최종 소비자인 국민은

공인인증서를 무료로 발급받아 서비스를 향유할 수 있게 되고, 공인인증기관은 상호 경쟁을 통하여 인증이 필요한

전자거래업자로부터 수익을 창출할 수 있을 것이며, 전자거래업자는 그간 편승효과를 누려왔던 사항에 대해 소정의 비용을

지불함으로써 공인전자서명분야의 발전에 기여할 수 있을 것이라고 본다.

28) 김준배 기자, “공인인증서만 의무 사용 금융산업 발전 가로막아”, 전자신문, 2010.3.15일자,

<http://www.etnews.com/news/detail.html?id=201003120194>, [2013.3.12. 최종방문].

29) 갈라파고스 증후군(신드롬)[Galapagos Syndrome] 또는 갈라파고스 현상, 잘라파고스(Jalapagos; Japan과 Galapagos의

합성어)라고도 부른다. 세계시장의 추세와 동떨어진 채 자신들만의 표준을 좇다가 고립을 자초했다는 뜻으로, 1990년대 이후

일본 제조업 특히 IT산업이 자국 시장에만 안주한 결과 경쟁력이 약화되어 세계시장에서 고립된 현상을 설명하며 등장한

용어이다. 네이버 백과사전, <http://100.naver.com/100.nhn?docid=925765>, [2013.3.12.최종방문].

Internet & Security Focus 2013 3월호34

FOCUS

폐기해야 하는 장애물이라 주장한다.

스마트폰, 소액결제 등 전자거래서비스도 다양해지면서 다양한 보안 방법을 고민해야 한다는

의견도 제시되고 있는 바,30) 이러한 종합적인 상황으로 인해 국내 공인인증서 의무사용규정은

완화되어 그와 동등한 보안성을 지닌 인증방법으로 공인인증서를 대체할 수 있게 되었다.31) 그에

따라 금융기관은 정부가 인정하는 인증평가기관에서 인증방법의 평가를 거친 후 적합한

인증서비스를 국민에게 제공할 수 있다.

2011년에는 금융감독원을 중심으로 공인인증서를 대체할 새 전자금융거래 인증기술을 평가하는

작업도 추진하였으나, 아직까지는 공인인증서를 대체할 확실한 보안기술은 등장하지 않고 있다.32)

공인인증서의 대체수단으로 거론되는 SSL33)과 OTP의 경우에는 전자서명의 기본기능인

부인방지 기능이 없고, 현재 한국에서 부인방지 기능과 함께 본인 확인, 거래완결성 등 3가지

요소를 만족하는 것은 공인인증서밖에 없다.

국내 인터넷뱅킹의 거래 규모와 이용 형태 및 관련사고 규모를 고려해보면 공인인증서는

안전한 수단임이 입증되고 있다. 국내 인터넷뱅킹의 거래 규모는 일평균 29조

4,577억원(이용건수 일평균 2,800만건, 2010년 현재)인데 이러한 것이 가능하게 하는 기초에는

공인인증서가 자리잡고 있다.

국내 인터넷뱅킹은 타행간에도 실시간 계좌이체가 가능하나, 미국의 경우 대부분 실시간

이체는 자행(自行)이체만 가능하고 타행 이체에는 1~3일이 소요된다. 게다가 국내 인터넷뱅킹

사고 규모는 연간 3억원 미만 수준에 불과하여 외국과의 비교시 큰 차이를 보인다(아래 표 참조).

국가 대상기간 사고금액 보안수단

한국34)2008년 1억5천만원(총8건)

암호통신+보안카드(OTP)+공인인증서2009년 1~8월 2억3천만원(총14건)

미국35) 2009년 3분기1억2천만 달러

(한화환산 약1,380억원)SSL(암호통신)+OTP

30) 안전한 전자금융거래를 위한 정책 토론회 - 금융서비스 결제 유형별 안전성 기준 및 검증-, 국회의원 김을동 의원실, 2010.5. 10.

31) 자세한 사항은 ‘스마트폰과 공인인증서’를 논하는 부분에서 다룬다.

32) 이유지 기자, “공인인증서 대신할 새 전자금융거래 인증기술 도입 여건 ‘활짝’”, 디지털데일리, 2011.7.1일자,

<http://www.ddaily.co.kr/news/news_view.php?uid=79768>, [2013.3.12. 최종방문].

33) SSL(Secure Socket Layer) : 인터넷 프로토콜(Internet protocol)이 보안면에서 기밀성을 유지하지 못한다는 문제를

극복하기 위해 개발. 현재 전세계에서 사용되는 인터넷 상거래시 요구되는 개인 정보와 크레디트카드 정보의 보안 유지에

가장 많이 사용되고 있는 프로토콜. 최종 사용자와 가맹점간의 지불 정보 보안에 관한 프로토콜. 네이버 백과사전,

<http://100.naver.com/100.nhn?docid=719199>, [2013.3.12. 최종방문].

<표6> 국가별 인터넷뱅킹 사고 규모

Internet & Security Focus 2013 3월호 35

FOCUS

영국

2009년36) 5,970만 파운드(한화환산 약1,084억원)

SSL(암호통신)+OTP

2010년37) 4,670만 파운드(한화환산 약 848억원)

위의 국가별 인터넷뱅킹 사고 규모를 분석하여 보면, 한국의 경우 인터넷뱅킹으로 발생한

사고는 2008년에 총 8건에 1억5천만원, 2009년 1월부터 8월까지는 총 14건에 2억3천 만원의

사고금액을 나타낸다. 우리나라는 미국이나 영국과 달리 보안수단으로 공인인증서와 OTP(또는

보안카드38)를 사용하며 인터넷뱅킹시 암호화통신을 사용하도록 하여 보안체계를 구축하고 있다.

반면, 미국이나 영국은 SSL암호통신에 OTP를 사용하여 국내에서 사용하는 공인인증서를

사용하지 않는다. 그러나 미국의 경우 2009년 3분기만을 놓고 볼 때, 한화환산 약1,380억원,

영국의 경우에도 한화 환산 848억원의 인터넷뱅킹사고가 발생하였다. 물론 경제규모를

감안하여야 하겠으나 국내 인터넷뱅킹의 거래 규모가 2010년 현재 일평균 29조 4,577억원인 점을

본다면 의미있는 수치라고 판단된다.

결국 이러한 것들의 중심에는 공인인증서라는 인증수단이 강력한 보안수단으로 위치를 하고

있기 때문이며, 공인인증서 사용에 따른 안전성과 신뢰성이 확보되고 있음을 알 수 있다.

6. 디지털 디바이드와 공인인증서 이용문제

공인인증서의 이용과 관련하여 디지털 디바이드 문제도 언급할 필요성이 있다. 디지털

디바이드(Digital Divide), 우리나라 말로는 ‘정보격차’로 해석될 수 있다.

디지털 경제가 부르는 계층간 불균형을 뜻하는 정보격차는 ‘정보접근’과 ‘정보이용’이 가능한

자와 그렇지 못한 자 사이에 경제적 사회적 격차가 심화되는 현상을 가리키는 말로, 90년대 중반

미국에서 개념이 정리되었다.39)

이러한 정보격차는 소득, 교육, 지역에 따라 점점 심화되고 있다. 중산층 이상 가정의 자녀들은

인터넷 환경에 노출돼 있는 반면, 저소득층 가정에서는 인터넷을 배울 기회가 부족하기 때문이다.

34) 2009년 금융감독원 국정감사 제출 자료 참조.

35) 미국 연방예금보험공사(FDIC:Federal Deposit Insurance Corporation)의 RSA Conference 발표자료, 2010.3.

36) UK Payment<http://www.banksafeonline.org.uk/faqs/faqs_13.html>, [2013.3.12, 최종방문].

37) Financial Fraud Action UK 보도자료<http://www.financialfraudaction.org.uk/Publications/#/54> ; 2010년

인터넷뱅킹 손해는 4,670만파운드로 2009년 대비 22%가량 감소된 것으로 나타남. [2013.3.12, 최종방문].

38) OTP : One Time Password(일회용 비밀번호)에는 OTP생성기 뿐만 아니라 보안카드도 포함된다. 이상민,

“인증방법의 현황과 향후 전망”, 지급결제와 정보기술, 2011.10월호, 43~44면.

39) 시사용어사전, 2005년판.

Internet & Security Focus 2013 3월호36

FOCUS

정보사회가 고도화됨에 따라 지식과 정보의 장악에 있어 선진국과 후진국간, 사회 주류와

소외계층간 격차는 더욱 벌어지고, 권력의 편중현상은 오히려 심화되는 양상을 보이고 있다.40)

공인인증서의 이용은 앞서 공인인증서 발급추세에서 알 수 있다시피 경제활동인구는 대부분

사용하는 것으로 파악되고 있으나, 인터넷을 배울 기회가 적은 노년층이나 소외계층의 경우에는

아직도 공인인증서 사용에 두려움을 느끼고 직접 대면거래를 선호하고 있는 것으로 판단된다.

따라서 향후의 전자서명기술 발전에 따라 이러한 사회소외계층에 대한 전자서명 이용 접근

방법에 대한 고려도 이루어져야 할 것이다.41) 특히, 향후 바이오인식(바이오인식)기술의 전자서명

기술 도입을 하고자 하는 경우에는 전연령과 계층의 거부감해소와 사회적 합의가 선결과제로

제시될 것으로 본다.

Ⅲ. 모바일 환경에서의 공인인증서에 관한 법적 이슈

1. 액티브X와 공인인증서

1) 액티브X에 종속된 원인

액티브X(ActiveX)는 미국의 마이크로소프트(Microsoft)사(社)가 선마이크로시스템즈(Sun

Microsystems)의 자바(Java) 기술에 대항하기 위해 개발하였다. 윈도95와 윈도NT에서 비주얼C++,

비주얼베이식, 자바와 같은 개발도구와 표준 프로그래밍 언어를 이용해서 만든 다양한 일반

응용프로그램들과 웹사이트를 연결시켜 준다. 다양한 개발툴(tool)을 이용함으로써 양방향

웹서비스를 제공할 수 있다.

자바 애플릿(applet)42)은 거의 모든 플랫폼(platform)43)에서 실행할 수 있지만 ActiveX 구성

요소는 공식적으로 마이크로소프트의 인터넷 익스플로러(Internet Explorer) 웹 브라우저(Web

browser)와 마이크로소프트 윈도 운영 체제에서만 동작한다.

컴퓨터 바이러스와 스파이웨어(Spyware)와 같은 악성 코드(code)는 ActiveX 컨트롤을

40) 우리나라에서도 이러한 문제를 해결하기 위해 「정보격차해소에 관한 법률」이 2001년 제정되었으며, 정보격차해소를 위한

전담기관으로 '한국정보문화진흥원'이 설립되었으나, 2009.8.23. 법률 개정에 따라 동법은 「국가정보화기본법」에 흡수

통합되었다.

41) 전자서명기술은 미국에서 탄생하고 유럽의 독일 등 선진국이 제도를 확립하였으나, 실제 전자서명체계를 구축하는데에는

보안상의 이유, 관련 투입자본의 소요 범위, 국민의 IT인식수준, 금융기관 등의 규모와 종류에 따라 통일체계 구축이

곤란하다고 파악된다. 결국 우리나라와 같이 정부주도하에 소규모 국가에서 전자서명체계는 용이하게 구축될 수 있을 것으로

관측한다.

Internet & Security Focus 2013 3월호 37

FOCUS

이용하면 악성 사이트로부터 뜻하지 않게 설치될 수 있다는 문제점으로 마이크로소프트사도

ActiveX의 사용 자제를 권고하였으나, 2000년대 초반 웹사이트들은 대부분 인터넷 익스플로러

전용으로 제작되고 덩달아 액티브엑스도 남용되기 시작하였다. 액티브엑스가 남용된 원인으로는

2000년을 전후하여 한국의 정보화 교육을 통해 많은 웹프로그래머를 양산하였는데, 이때

액티브엑스를 통한 프로그래밍 방식이 집중 교육되었고, 이때 교육받은 사람들이 웹개발의

주류가 되었기 때문이다.44) 결국 인터넷 익스플로러를 대다수의 국민이 사용하고 이에 따라

공인인증서를 이용하여 인터넷뱅킹 등의 업무를 하기 위해서는 액티브X기술을 활용한

공인인증서 구동 프로그램을 내려받아 설치하는 것만을 채택하게 된 것이다. 다른 자바기술을

활용한 공인인증서 구동방법도 있으나 전자거래 사업자의 측면에서는 인터넷 사용 전체인구의

1%만을 위해 개발비를 투입할 필요는 없기 때문에, 계속적으로 특정 웹브라우저 중심의

공인인증서 구동 프로그램을 내려받아 설치하는 방식만을 사용하였다. 결국 액티브X의

남용원인은 인터넷 인프라의 발달과 표준을 간과하고 사용자 편의성만을 추구하는 경향을 꼽는다.

이는 공인인증서 이용환경이 당시의 시대상황과 업체의 최소비용에 의한 개발선호 등에 맞물려

특정 웹브라우저에 종속되는 결과를 가져오게 되었다고 본다. 일부는 공인인증서가 다른

웹브라우저를 사용하지 못하게 하는 주범으로서 퇴출되어야 한다고 주장하는 사람이 있지만,

이는 이러한 사회환경에서 피치 못하게 발생된 문제점이었다고 판단된다.

현재 대부분의 은행과 정부 민원서비스가 MS사의 액티브X 기반을 이용하여 공인인증 서비스를

제공하고 있어 다른 웹브라우저에서 사용이 어려운 것은 사실이나, 공인인증서는 국제표준을

준용하기 때문에 MS사의 인터넷 익스플로러 이외에 애플(Apple)사의 사파리(Safari),

모질라(Mozilla)재단의 파이어폭스(Firefox) 등 모든 웹브라우저에서 사용이 가능하다. 더구나

공인인증서 기술규격은 특정 기술에서만을 이용될 수 있도록 요구하고 있지 않아 기술

중립적으로 기술되어 있다. 즉, 웹 브라우저가 제공하는 기능을 통해 로그인이 가능하다.45)

42) 애플릿이란 작은 응용프로그램을 의미한다. 월드와이드웹(www)이 나오기 이전에는, 마이크로소프트 윈도우와 함께

기본으로 제공되던 작은 프로그램들, 예를 들어 메모장(notepad.exe)이나 페인트(pbrush.exe) 등도 “애플릿”이라고

불린적이 있었다. 웹 상에서는 자바와 같은 객체지향 프로그래밍 언어를 써서 웹 페이지와 함께 사용자측으로 보내질 수

있도록 작게 만든 프로그램을 애플릿이라고 부른다. 자바 애플릿은 애니메이션이나, 간단한 계산 그리고 사용자가 서버에

별도의 요청을 하지 않고서도 수행할 수 있는 단순한 작업들을 수행할 수 있다.

<http://terms.co.kr/applet.htm>, [2013.3.12, 최종방문].

43) 컴퓨터와 관련하여 플랫폼이라는 용어는 응용프로그램이 실행될 수 있는 기초를 이루는 컴퓨터 시스템을 의미한다.

<http://terms.co.kr/platform.htm>, [2013.3.12, 최종방문].

44) 이홍석 기자, “[밀착취재] 윈도비스타 보안의 핵 ‘액티브X’ 디지털데일리, 2007.1.29일자,

<http://www.dt.co.kr/contents.html?article_no=2007012902010151713002>, [2013.3.12, 최종방문].

45) 2010년말 현재 조달청, 국세청, 시티은행, 하나은행, 기업은행, 홍콩상하이은행, 삼성증권 등이 비(非)액티브X 기술로 구현한

공인인증서 소프트웨어가 보급되어 적용되어 있다.

Internet & Security Focus 2013 3월호38

FOCUS

2011년에는 인터넷 익스플로러 웹브라우저의 점유율이 82%대까지 하락하고,46) 국회에서도

다양한 웹브라우저에서 공인인증서를 사용할 수 있도록 하는 법안도 발의되기도 하였다.47)

2013년 현재에는 인터넷 익스플로러 웹브라우저의 점유율이 71.12%까지 하락한 상황이다.48)

2) 다양한 웹 브라우저의 이용을 꾀하는 방안 검토

(1) 「 전자서명법 」 및 「 전자정부법 」 개정안의 내용

다양한 웹브라우저에서 공인인증서를 사용할 수 있도록 하는 법안과 관련하여, 2010년 3월

25일 조승수 의원이 대표발의한 「전자서명법」 일부개정안과 「전자정부법」 일부개정안이 같은 해

3월 26일 국회 행정안전위원회에 회부되었다.

제안이유를 보면, 공인인증기관의 인증업무가 인터넷 익스플로러에서만 이용이 가능하고 다른

기업에서 만든 웹브라우저에서는 이용이 불가능하여 정보통신시장에서 특정기업의 독점이

심화되고 있으므로, 공인인증기관이 인증역무를 제공하는 때에는 인증서 이용 기능을 구비한

인터넷 웹 브라우저에서 가입자 또는 가입신청자가 인증역무를 차별 없이 이용할 수 있도록

하려는 것이었다.

아울러 「전자정부법」 일부개정 법률안도 행정기관의 홈페이지가 특정기업에서 제작한 인터넷

익스플로러에서만 이용이 가능하고 다른 기업에서 만든 인터넷 브라우저에서는 이용이

불가능하여 정보통신시장에서 특정기업의 독점이 심화되어 우리나라의 정보통신기술의 발전을

해치고 있다고 지적하였다. 따라서 행정기관에서 인터넷을 활용하여 전자정부서비스를 포함한

행정정보를 제공할 경우, 국민이 3종 이상의 최신 인터넷 웹 브라우저에서 차별 없이 이용할 수

있도록 명문화가 필요하다는 내용이다(안 제16조 제3항).

2010년 현재 인터넷 익스플로러(Internet Explorer, 마이크로소프트)의 국내 웹 브라우저

시장점유율이 94.5%에 달하여 민간부문뿐만 아니라 공공부문까지 대부분의 인터넷서비스가

46) 2011.11.7일 인터넷 조사업체인 스탯카운터에 따르면 세계 웹 브라우저 시장에서 익스플로러의 비중은 지난 달

40.18%까지 떨어졌다. 수년 전만해도 90%가 넘었고 2010년 8월에도 50%대의 점유율을 유지했지만 1년여 만에 10%

포인트 이상 점유율을 까먹은 것이다. 같은 기간 구글의 웹브라우저인 크롬은 10.76%에서 무려 25.0%로 애플의 사파리는

4.23%에서 5.93%까지 증가했다. 크롬은 2위인 모질라 파이어폭스(26.39%)자리까지 위협하고 있다. 반면, 스탯카운터에

따르면 2011.11월 현재 국내 웹 브라우저 시장에서 익스플로러의 점유율은 82.92%. 90%대 밑으로 떨어지긴 했지만,

크롬(9.75%)이나 파이어폭스(4.92%), 사파리(1.8%)와는 차이가 현저하다.

<http://gs.statcounter.com/#browser-KR-monthly-201111-201111-bar> [2011.11.20 최종방문].

47) 이러한 법률안은 제18대국회의 임기만료로 2012년 5월 29일에 모두 폐기되었다.

48) 2012년 9월에는 65.88%까지 인터넷익스플로러의 점유율이 떨어지고 구글크롬의 점유율이 22.65%까지 상승하기도

하였으나 다시 회복세로 돌아서서 70%대를 유지하고 있는 추세이다.

<http://gs.statcounter.com/#browser-KR-monthly-201202-201302>, [2013.3.12, 최종방문].

Internet & Security Focus 2013 3월호 39

FOCUS

인터넷 익스플로러에 최적화되어 파이어폭스(Firefox, 모질라), 크롬(Chrome, 구글),

사파리(Safari, 애플), 오페라(Opera, 오페라) 등 다른 웹 브라우저로 접근했을 경우 웹 호환성이

매우 낮은 실정이다. 이에 따라 다른 웹 브라우저 이용자들은 인터넷 익스플로러에 최적화된

공공기관의 웹 사이트에 접근하기 어려울 뿐만 아니라 인터넷 금융결제에 필요한

전자인증서비스도 제공받기 어려운 문제가 있다. 반면, 세계 웹 브라우저 시장에서 인터넷

익스플로러의 점유율은 2010년말 현재 57%로 국내에 비해 낮을 뿐만 아니라, 다른 웹 브라우저의

점유율이 지속적으로 증가하고 있는 추세이다. 특히 유럽의 경우 우리나라보다 인터넷

익스플로러에 대한 의존도가 훨씬 낮으며, 대부분의 공공기관이나 은행 등 금융기관에서 웹

브라우저와 관계없이 누구나 차별 없이 서비스를 이용할 수 있도록 하고 있다고 한다.49)

정부 역시 이러한 문제점을 인식하고 전자정부 웹호환성 준수지침을 마련하여 개선을 위한 노력을

해 나가고 있고50), 공인인증기관 역시 ‘07년에 마련된 지침51)에 따라 단계적으로 개선하였다.

개정안은 웹 브라우저의 호환 의무화를 법제화함으로써 국내에서도 누구나 웹 브라우저와

관계없이 공공기관의 홈페이지는 물론, 인터넷 금융결제, 스마트폰 공인인증까지 자유롭게

이용할 수 있도록 보편적 정보접근권을 보장하고, 국내 IT 산업이 다양성을 확보하는데 기여할

것으로 기대하고 있다. 반면, 「전자서명법」과 「전자정부법」 양 개정안은 동일한 취지임에도

불구하고, 전자정부법 개정안은 “3종 이상의 최신 인터넷 웹 브라우저”로, 「전자서명법」 개정안은

“웹 브라우저의 종류에 상관없이”로 하여 그 규제범위 및 적용례를 달리하고 있으며,

「전자정부법」 개정안의 경우 “법 시행 후 최초로 구축하는 인터넷 홈페이지부터” 개선하도록

적용례를 두고 있는바, 웹 호환성 개선 범위를 어디까지로 할 것인지에 대해서는 동 규제를 통한

이용자 편익과 공급자 부담을 비교형량하여 결정할 필요가 있을 것으로 본다.52)

(2) 검토의견

아쉽게도 위의 법률안들은 18대 국회의 임기만료와 더불어 함께 폐기되었다. 하지만 그 내용은

추후에도 다시 발의가 가능하므로 검토의 여지는 충분하다고 생각된다.

49) 국회 행정안전위원회 수석전문위원, 「전자서명법」 일부개정법률안과 「전자정부법」 일부개정법률안에 대한 검토보고서, 2011. 2.

50) 전자정부서비스 호환성 준수지침(09. 8. 19 제정, 10. 6. 24 개정)에 따라 전자정부지원사업을 통해 각 부처의 기존 웹사이트

개선을 추진하여 09년에는 홈택스, 나라장터 등 22개 부처 47개 사이트의 개선을 완료하였고, ‘10년에는 31개 웹사이트

개선이 완료되었거나 완료 예정에 있으며, ‘11년부터 신규 구축되는 모든 웹사이트의 표준 준수를 의무화 하고 있다.

51) 자바 기반의 공인인증서 가입자 소프트웨어 구현 가이드라인(정보통신부, 한국인터넷진흥원, 2007.12.)에 따라 일부

인증기관에서 자바 기술로 구현한 공인인증서 가입자 소프트웨어를 개발·보급하고 있다.

52) 국회 행정안전위원회 수석전문위원, 앞의 글 참고.

Internet & Security Focus 2013 3월호40

FOCUS

우선 「전자정부법」에 대하여 살펴보면, 「전자정부 웹호환성 준수지침」을 마련하여 개선을 위한

노력을 해 나가고 있고, 전자정부 사이트 구축을 함에 있어 3종 이상의 최신 인터넷 웹 브라우저로

접근이 가능토록 하고 있으므로 국민의 보편적 정보접근권을 보장하는 측면에서 적극 수용되는

것이 바람직하다.

반면 「전자서명법」 개정안은 이와 궤를 같이 하지 않는다. 개정안은 공인인증기관에

웹브라우저의 종류에 상관없이 사용자가 인증역무를 제공받을 수 있도록 인증서 이용기능

구비의무(안 제7조 제3항 신설)를 부과하고 있으나, 공인인증기관은 전자거래시 공인인증서를

이용할 수 있도록 ‘공인인증서 가입자 소프트웨어’53)를 제공할 뿐이며, 실제적으로 다양한

웹브라우저에 호환될 수 있도록 할 수 있는 권한을 갖는 자는 인터넷서비스를 제공하는 자, 즉,

인터넷서비스제공자(ISP)로서 인터넷쇼핑몰, 은행, 증권사 등이라 할 것이다.

또한, 공인인증기관에 웹 브라우저의 종류에 상관없이 인증역무를 제공받을 수 있도록 의무를

부과하는 취지는 공인인증기관이 공인인증서의 발급 및 서비스 제공사업자로서

특정웹브라우저에 치중되는 것을 막겠다는 것으로 판단된다. 그러나 실제 웹브라우저를 선택하는

것은 소비자(2013년 2월 현재 우리나라 인터넷 이용자의 71.1%가 인터넷 익스플로러(IE)

사용)이며, 소비자에게 공인인증서를 이용한 전자결제, 전자금융거래 서비스 등을 제공하는 자는

인터넷서비스제공자이므로 제3자인 공인인증기관에 대한 의무부과는 법 개정의 실익이 적다.

따라서 아무리 공인인증기관에 그러한 의무를 부과한들 공인인증기관이 그러한 권한을 갖지

못하므로 실효성을 갖지 못하는 법안이라 할 수 있다.

공인인증기관에 웹 브라우저의 종류에 상관없이 인증역무를 제공받을 수 있도록 의무를

부과한다는 것은 공인인증기관이 공인인증서 가입자 소프트웨어를 현재 인터넷 익스플로러

웹브라우저에만 운용되도록 한 것을 확대하여 사파리, 크롬, 파이어폭스 등 다른

웹브라우저에서도 운용될 수 있도록 하라는 의미로 밖에 해석되지 않는다. 이에 대해서는 이미

한국인터넷진흥원이 『 자바 기반의 공인인증서 가입자 소프트웨어 구현 가이드라인』을 2007년

12월 제시하여 인터넷 익스플로러 환경에서는 ActiveX기반으로 소프트웨어가 설치되나, 다른

웹브라우저는 자바에 의해서 설치가 가능토록 하고 있다. 본 ‘가이드라인’을 통해 사용자

측면에서는 다양한 운영체제와 웹브라우저 상에서 공인인증서 서비스를 이용할 수 있는 환경

기반이 갖춰질 수 있으며, 개발자(인터넷서비스제공자) 측면에서는 자바 기반의 공인인증서

가입자 소프트웨어를 구현함에 있어서의 요구사항과 구현예시를 안내 받음으로써 개발기간의

53) 공인인증서 가입자 소프트웨어 : 공인인증서비스를 이용하고자 할 때 해당 이용자의 PC에 설치되는 소프트웨어.

Internet & Security Focus 2013 3월호 41

FOCUS

단축과 개발이슈에 대한 이견을 최소화 할 수 있다. 따라서 본 가이드라인에 기초하여

인터넷서비스제공자가 다양한 웹브라우저에 호환될 수 있는 홈페이지를 구축하고 전자금융거래

등의 서비스를 하도록 유도하는 방안이 필요하다 할 것이다.

정부차원에서 웹호환성을 유도하는 정책을 추진하고 민간으로 하여금 특정 웹브라우저 종속을

방지하게 하는 노력이 필요함은 사실이나, 민간이 특정 웹브라우저에 치우치지 않고 다양한

웹브라우저를 사용할 수 있도록 법률로 규정하여 의무화하는 것은 달성하고자 하는 규제의

목적에 비해 규제로 인한 영업의 자유 등 사익(私益)의 침해가 과도하여 행정법의 일반원칙인

비례의 원칙54)을 위반할 수 있으므로 주의가 필요하다 할 것이다.

한편, 스마트폰 보급 확산에 따라 인터넷서비스제공자는 서비스의 편리성을 강화하기 위해 웹

브라우저 방식 보다는 전용 프로그램 방식을 선호하고 있는 바, 웹 브라우저 방식을 법률로 규제할

경우 공인인증기관의 가입자 소프트웨어를 사용하여 공인인증서 등록업무를 대행하고 있는 은행,

증권사 등 민간 사업자의 영업자유를 과도하게 침해할 수 있다.55) 더욱이, 특정 스마트폰56)의

경우에는 기술적으로 동시에 하나 이상의 프로그램을 실행할 수 없기 때문에 웹 브라우저(사파리

등)에서 공인인증서 가입자 소프트웨어를 사용할 수 없는 기술적 한계도 존재한다.57)

기술적으로도, 웹 브라우저는 웹 페이지를 사용자에게 출력하는 것이 기본 기능으로 현재 모든

웹 브라우저는 전자서명을 지원하지 않는다. 다만, 최근 W3C58) 등 국제 표준단체에서 웹

브라우저의 기술적 한계를 극복하기 위해 전자서명 등 일부 기능을 추가하고자 하는 표준화

활동이 전개되고 있다. 이에, 국제 표준화 동향 및 웹 브라우저에 전자서명이 기본 기능으로

구현되는 동향을 주시하면서 법제화하는 것이 바람직하다고 본다.

2. 스마트폰과 공인인증서

1) 모바일 환경에서의 공인인증서 활용 관련 법적 문제점

(1) 스마트폰에서의 공인인증서 사용의무화 연혁

54) 비례의 원칙 : 행정의 목적과 그 목적을 실현하기 위한 수단의 관계에서 그 수단은 목적을 실현하는 데에 적합하고 또한

최소침해를 가져오는 것이어야 할 뿐만 아니라, 아울러 그 수단의 도입으로 인해 생겨나는 침해가 의도하는 이익·효과를

능가하여서는 아니된다는 원칙(대법원 판례 1997.9.26, 96누10096).

55) 공인인증기관 가입자 소프트웨어는 공인인증기관이 제작·배포하고 각 인터넷서비스제공자가 가입자에게 설치토록 하는

것이 원칙이나 은행, 증권사 등의 경우에는 자체적으로 개발한 가입자 소프트웨어를 설치하기 때문이다.

56) 애플사(社)의 아이폰(iPhone).

57) 기업은행, 하나은행, 신한은행, KB증권, 동양증권, SK증권 등은 아이폰에서 웹 브라우저 방식이 아닌 전용 프로그램

방식(앱(app)방식)으로 전자금융서비스를 제공한다.

58) W3C(World Wide Web Consortium)는 웹 표준을 제정하는 등 웹의 장기적인 발전을 위해 1994년에 창립된 인터넷 관련

국제 컨소시엄.

Internet & Security Focus 2013 3월호42

FOCUS

2010년경에는 스마트폰의 폭발적인 사용증가에 따라 스마트폰을 활용한 인터넷뱅킹서비스도

도입되었다. 스마트폰은 손안의 작은 컴퓨터로 불릴만큼 IT기술의 발전에 따라 장소의 구애없이

이동중에도 3G59)통신환경이나 와이파이(Wi-Fi)60)환경에서 인터넷뱅킹을 하기를 원하였다.

2009년부터 대한민국에서는 스마트폰 열풍이 서서히 불기 시작했고, 2009년 11월 아이폰

발매와 동시에 스마트폰의 수요와 공급이 폭발적으로 증가하기 시작했다. 이에 따라 스마트폰을

이용한 무선인터넷 사용이 증가하였지만, 국내 전자상거래의 경우 과도한 ActiveX 사용과

전자금융거래에서의 공인인증서 필수 사용 등으로 인해 전자상거래 서비스 자체가 제한받는

상황이어서 이에 따른 사용자의 전자상거래와 금융 서비스 관련 요구도 점점 증가하게 되었다.

결국 2010년 3월 7일 행정안전부는 금융거래시 공인인증서만 보안 프로그램으로 인정하고

있는 규제를 폐지하기로 하였다. 이로 인해 액티브X가 실행되지 않는 스마트폰에서도 인터넷

뱅킹이 가능하게 되었다.61) 이에 따라 금융감독원, 방송통신위원회 등은 종전의

법령(전자금융감독규정)을 수정하거나 가이드라인 등을 제시하여 스마트폰에서 전자상거래가

가능하도록 추진을 하게 되었다. 국무총리실 주관 민관협의체에서 결정된 ‘전자금융 인증방법

가이드라인’에 따라 공인인증서 의무사용 규제가 완화되었고(2010.5.31), 금융위원회는

전자금융감독규정을 개정하여 공인인증서 외 인증방법의 허용 및 인증방법평가위원회 설치

근거를 마련하였다(2010.6.30).

아울러 방송통신위원회는 2010.5.31. 국무총리실, 금융위원회 등 관계부처와 공동으로

전자금융거래시 공인인증서와 병행하여 사용할 수 있는 인증방법에 대한 안전성 가이드라인을

확정·발표하였다. 공인인증서 의무사용 규제가 스마트폰 등 새로운 인터넷 환경에 적용되기

어렵고 사용절차도 복잡하다는 지적에 따라, 다른 보안기술도 병행하여 사용할 수 있도록

2010.3.31. 정부와 한나라당이 합의한 「 전자금융거래시 공인인증서 의무사용 규제완화 방안」의

후속조치로 이루어졌다. 이로 인해 2010년 4월부터 공인인증서를 사용하지 않고도 스마트폰을

이용한 30만원 미만의 소액결제가 가능하게 되었다.62) 당시 발표에서는 2010년 하반기 부터는

59) 국제전기통신연합의 3세대 이동통신기술 규격으로 2G 헤르츠의 주파수를 사용하며, 전송속도가 2Mbps에 달하여 동영상을

주고받을 수 있다. : 3G[3Generation] 네이버 백과사전, [2013.3.12, 최종방문].

60) 무선접속장치(AP)가 설치된 곳의 일정 거리 안에서 초고속 인터넷을 할 수 있는 근거리통신망(LAN)이다. WiFi(와이파이),

무선랜[wireless lan] 네이버 백과사전, [2013.3.12, 최종방문] ; 와이파이(Wi-Fi)는 와이어리스 피델리티(Wireless

Fidelity)를 의미한다. 전파나 적외선 전송 방식을 이용하는 근거리 통신망. 보통 ‘무선 랜(LAN)’이라고 한다. 무선 랜을

하이파이 오디오처럼 편리하게 쓸 수 있다는 뜻에서 '와이파이(wi-fi)'라는 별칭으로 쓰이게 되었다. 국립국어원 신어자료집,

<http://korean.go.kr/09_new/dic/word/word_refine_view.jsp?idx=23821>, [2011.12.3, 최종방문].

61) 장진모 기자, “모든 스마트폰서 인터넷뱅킹 된다”, 한국경제, 2010. 3. 7일자.

<http://www.hankyung.com/news/app/newsview.php?aid=2010030766241>, [2011.12.3, 최종방문].

Internet & Security Focus 2013 3월호 43

FOCUS

e-뱅킹과 30만원 이상의 전자결제에도 공인인증서 이외의 인증방법이 적용될 수 있도록 한다고

하였으나 2013년 3월 현재까지 공인인증서 이외의 대안은 소개되지 않고 있다.

(2) 공인인증서 외의 대체 인증수단

실제 스마트폰에서의 공인인증서 탑재의 불편함63)으로 인하여 공인인증서를 사용하지 말자는

의견까지 등장하였다.64) 이에 따라 전자적 환경에서의 인증수단으로 지문, 음성 등 바이오인식과

SSL, OTP 등 다양한 인증방식이 거론되고 있다.

금융감독원은 2011. 1월 인증방법 세부 기술평가기준을 확정해 발표하고 금융권 및 전자거래

업체들을 대상으로 공인인증서 외 인증방법에 대한 기술 평가 기준 설명회를 개최하였으나,65)

해당 인증 제품들은 아직까지 독자적으로 공인인증서의 수준에 맞는 기술적 안전성 요건을

충족할 수 없다는 결론에 이르렀다. 바이오인식 솔루션만으로는 인증방법 평가위원회에서 원하는

기술적 안전성 요건을 충족할 수 없고, 다른 기술들과 결합해야 한다. 결합하더라도 기술 요건에서

제시한 공인인증서에 준하는 보안등급을 받기 위해서는 부인방지 기능을 제시해야 하는데, 이와

관련된 기술이 공인인증서 외에는 없기 때문에 그것을 충족하기가 어렵다.

이에 따라 업계에서는 이론상 공인인증서에 준하는 등급을 받을 수 있는 인증수단은

일회용비밀번호(OTP)방식뿐이라고 평가하고 있다. 그러나 OTP방식도 대칭키 방식을 사용, 현재

공인인증서에서 사용하고 있는 공개키 방식이 아니기 때문에 현존하는 방식 중 공인인증서에

준하는 2등급 인증 방식은 전무하다는 분석이 나온다. 금융권도 다양한 인증 방법을 마케팅 및

사용자 편의성 증대 차원에서 활용할 수 있다는 점에서 긍정적이지만, 지난 10년 간 거의

대부분의 금융권이 공인인증서를 주된 인증 수단으로 사용해 왔으며 새로운 모델을 제시하지

않는 이상 새로운 인증방법을 도입하기는 곤란하다는 입장이다.

62) 김지선 기자, “‘공인인증서 대안’ 논의 급물살 다양한 스마트폰 OS에 적용 필수… 새 인증방법 관심”, 디지털타임스,

2011.8.16일자.

<http://www.dt.co.kr/contents.html?article_no=2011081702010960746003>, [2013.3.12. 최종방문].

63) 김성환 기자, “스마트폰 공인인증서 “짜증 폭발””, 파이넨셜뉴스, 2011.6.12일자.

<http://www.fnnews.com/view?ra=Sent1201m_View&corp=fnnews&arcid=00000922333543&cDateYear=2011&c

DateMonth=06&cDateDay=12>, [2013.3.12. 최종방문].

64) SBS뉴스, 스마트폰 '공인인증서 의무화' 논란…존폐 기로, 2010.3.29일자.

65) 금융감독원, 전자금융거래 인증방법 안정성 기술평가기준 설명회, 2011.2.23.

Internet & Security Focus 2013 3월호44

FOCUS

2) 모바일 환경에서의 공인전자서명인증제도 개선에 관한 입법론

(1) IT 환경 변화와 인증제도의 변화 요구

기존의 전자거래를 위한 기술은 이제 인터넷과 무선통신 등과의 결합을 통하여 언제 어디서나

정보를 활용할 수 있는 유비쿼터스 컴퓨팅(ubiquitous computing) 환경으로 변화되고 있다.

이제는 유비쿼터스 컴퓨팅이란 또한, 유·무선 인터넷 환경의 급속한 확산과 디지털 기술의

발전을 통하여 기존 컴퓨터와는 개념이 전혀 다른 소형화·다양화된 정보기기가 속출하게

되었다. 최근의 스마트폰 이용증가는 수년 전부터 시작된 유비쿼터스 컴퓨팅 환경의 도래와

맞물려 있다. 이에 따라 언제 어디서나 고품질의 멀티미디어와 음성·데이터, 유·무선 통신 및

통신·방송망 융합 서비스에 접근할 수 있는 차세대 통합 네트워크를 구축하여 스마트폰뿐만

아니라, 인터넷 전화·IPTV 등과 같은 다양한 부가서비스를 효율적으로 제공할 수 있는 시대에

직면하고 있다. 향후 유·무선 통합 및 유비쿼터스 컴퓨팅 환경에서는 전자거래를 위한

공인인증서 사용시 지문, 홍채 등 바이오인식기술을 사용한 인증도 요구된다.

이러한 전자거래 환경 변화에 따라 다양한 인증방식이 요구되고 있으므로 분야별로 인증의

종류 및 적용 범위에 따라 보안성과 책임성 등에 대한 법·제도적 차원의 기반 요구도 증대되고

있다. 한편, 국제사회에서는 지역별로 혹은 이해관계별로 통합된 단체를 조성하면서 자국의

이익을 도모하고 있다.

과거 아시아에서는 한국을 포함한 아시아PKI포럼이 활동하고 있었으나 한국을 제외한 다른

나라들이 전자서명이 활성화 되지 않고, 또 당초 원하였던 아시아 국가간 전자서명 상호연동정책

추진도 어렵게 되어 2000년대 중반 해체되었다. 반면 유럽 국가들은 EU를 통해 계속적으로

자국의 이익을 도모하고자 하고 있다. 이에 전자서명 관련 국내 및 외국의 법·제도 그리고 정책을

파악하고, 국내 정책 현황에 적용 가능한 점을 찾아보며, 국내 「 전자서명법」제의 개선 및

정비방향을 검토하여 유비쿼터스 환경에서의 인증, 새로운 컴퓨팅 환경에서의 매체 확장들에

대비한 새로운 법안을 검토할 필요성이 제기되고 있다.

(2) 미국의 새로운 신원확인 및 인증 전략

미국에서는 ‘사이버공간에서 신뢰할 수 있는 신원을 위한 국가전략’(National Strategy for

Trusted Identities in Cyberspace: ‘NSTIC’로 약칭)을 2010년 6월 25일 발표하였다.66) NSTIC은

전국적인 민간부문 디지털 신원 시스템을 구축하려는 정부주도의 이니셔티브이다. 이

이니셔티브의 주무부서는 미국 상무부 및 미국 국립표준기술연구소(NIST)이며, 보건복지부,

국토안보부, 재무부, 연방 조달청 및 재향군인회의 밀접한 협력을 받고 있다. NSTIC의 기원은

Internet & Security Focus 2013 3월호 45

FOCUS

1998년 5월에 공표된 대통령훈령인 PDD63(Presidential Decision Directive 63)까지 거슬러

올라간다. 이 정책은 2003년에 안전한 사이버공간을 위한 국가전략(The National Strategy to

Secure Cyberspace)으로 개정되었다.

사이버 공간에서 미국인을 위한 안전한 온라인 ID를 만들 수 있다는 전제하에 올바른 규제 체계

내에서 시행되는 이상적인 NSTIC 신원 생태계는 온라인에서 높은 수준의 신원보증을 확립하여

사용자와 서비스 제공자 사이의 신뢰를 증가시킬 수 있을 것이며, 보다 안전한 온라인 거래를

확립할 수 있고, 혁신과 새로운 서비스를 창출하며 프라이버시와 익명성을 향상시킬 수 있을

것이라고 한다. 아울러 사용자 편의성을 증가시키고 서비스제공자의 비용을 절감할 수 있다는

장점을 갖는다고 한다.

이에 대하여 미국의 보안회사인 Identity Finder67)는 백악관 및 상무부가 온라인 거래의

보장수준을 개선하는 체계를 확립하는 정책에 대해 환영하면서 NSTIC정책이 기술, 정책 및

법규를 통해 다루어야 하는 기술 독립적인 프라이버시 및 보안 취약점 들을 지적하고 있다. 본

보고서68)에 따르면 NSTIC가 올바로 실행되면 프라이버시가 개선될 것이라고 전망한다. 목표를

명시한 NSTIC는 프라이버시를 핵심원리로 정하고 있으나, 프라이버시를 보장하는 법규에

대해서는 명확하게 언급하지 않음을 지적한다. 그래서 NSTIC를 시행하는 법규가 없다면

공인인증서와 같은 온라인 신원확인증서가 아무리 강력하다 하더라도 분실하거나 도난 등을

당하는 경우 과다한 신원 도용이 가능하게 될 것이라고 보았다. 또한 시장의 힘으로 인해

1)사용자들 사이에 통제력, 프라이버시 및 보안성에 대해 잘못된 느낌이 형성될 수 있고 2)

사용자들의 개인정보를 암암리에 수집하는 새로운 수단이 가능하게 될 수 있으며, 3) 사람의

신원을 상품화하는 새로운 시장이 형성될 가능성이 높다고 지적한다.

만일 NSTIC가 프라이버시, 보안성 확보 및 보안성이 있는 신원확인 방법에 관한 비전을

성공적으로 실현하려면 NSTIC의 구현수단으로서 다음과 같은 연방법규의 제·개정이

필요하다고 본다.

•신원 생태계의 모든 참여자들이 공정한 정보처리 원칙 및 기본을 준수하는 프라이버시와

66) 사이버공간에서의 신뢰받는 신원을 위한 국가전략 최종버전(2011년 4월 15일)으로 연결되는 링크는

http://www.nist.gov/nstic에 있다.

<http://www.whitehouse.gov/sites/default/files/rss_viewer/NSTICstrategy_041511.pdf>, [2013.3.12. 최종방문].

67) 아이덴터티 파인더는 뉴욕에 본사를 두고 있는 보안전문회사. <www.identityfinder.com>, [2013.3.12. 최종방문].

68) Aaron Titus, Todd Feinman, David Goldman, NSTIC’s Effect on Privacy and Security, Identity Finder, 2011.4.15,

<www.identityfinder.com/us/Files/IDF-NSTIC-WP.pdf>, [2013.3.12. 최종방문].

Internet & Security Focus 2013 3월호46

FOCUS

보안 프로토콜을 구현하는 법적·기술적 표준을 준수하게 하는 연방법규

•기업들이 사람의 신원을 상품화하지 않게 하는 인센티브를 부여하는 연방 법규

•프라이버시 및 데이터 사용 정책을 수립할 때 개인의 불평등한 협상력을 보정하는 연방법규

•신원 제공자에게 「 공정신용보고법(Fair Credit Reporting Act)」과 유사한 요구사항을

적용하는 연방법규

•개인들이 자신의 신원 매체를 올바로 보호하여 신원도용을 피하는 방법을 교육하는 연방법규

•소비자 및 지지자들이 NSTIC 정책개발에서 의미있는 영향력을 행사하게 하는 연방법규

이러한 미국의 ‘사이버공간에서 신뢰할 수 있는 신원을 위한 국가전략’에서는 종전 PKI기술에

근거한 전자서명인증제도에서 탈피하여 새로운 신원확인 수단의 도입을 제시하고 있으나 관련

법규의 입법에 대해서는 미흡한 정책이라는 비판을 받는다. 따라서 입법론자들이 사이버

상에서의 프라이버시 보호를 위해 사용될 법규의 제정을 서두르도록 촉구하고 있는 상황이다.

(3) 현행 공인전자서명인증제도 개선에 관한 방안 모색(입법론적 접근)

세계 여러 나라가 전자서명법제를 보유하고 있고 우리나라만큼은 아니지만 전자거래에서 국가별로

다양한 전자서명을 활용하고 있다. UNCITRAL에서는 「 전자서명모델법」까지 제정하여 기술중립주의에

입각한 전자서명입법모델도 제시하였으나 PKI기술 이외의 다른 바이오인식기술 등을 활용한

전자서명정책은 등장하지 않고 있다. 미국의 경우에는 이와는 별도로 새로운 신원확인인증수단을

강구하는 정책까지 마련하고 그 구체적인 법적 방안도 조만간 등장할 것으로 보인다.

우리나라도 다가오는 유비쿼터스 사회에서의 다양한 전자서명 및 인증을 포괄하는 통합적인

디지털 인증기반을 구축하기 위하여 통합인증제도에 대한 도입·운영을 검토하여야 할 시점이다.

1999년부터 구축·운영되고 있는 전자서명인증체계를 기반으로 향후 통합인증체계로 전환하기

위한 법적·제도적·정책적 검토를 통하여 현재 운영중인 전자서명인증제도, 관련 설비 및 인력

등을 최대한 활용하여 새로운 인증제도로의 전환이 필요하다.

또한 국가 차원의 효율적인 인증기반 관리를 위하여 관련 부처 및 기관이 참여하는 국가 인증기반

관리기구를 구성·운영할 필요가 있다. 차세대 인증기술 및 암호 기술 관련 사업을 지속적으로

추진하여 최신 기술 흐름을 파악함으로써 인증체계 운영사업에 반영하는 방안은 인증 및 암호

기술의 변화를 충분히 예측하여 장기적 운영이 가능한 인증기반을 구축하는데 기여할 것이다.

차세대 인증기술에 기반한 통합인증 제도의 발전을 위하여는 통합적 디지털인증 로드맵 개발이

필요하며, 이와 동시에 통합인증체계 운영을 위한 법·제도 기반 마련 및 응용서비스의 개발을

병행하여야 할 것이다.

Internet & Security Focus 2013 3월호 47

FOCUS

유비쿼터스 컴퓨팅 환경에서 전자거래인증을 통합·관리할 수 있는 법률은 (가칭)「 전자서명

및 통합인증에 관한 법률」이다. 이 법안은 전자거래에서 이용될 수 있는 다양한 개체인증 및

거래인증의 안전성 및 상호연동성을 보장해 주는 실질적인 수단이 될 수 있다. 개체인증에는

사용자인증, 디바이스(device)인증, 센서(sensor)인증 등을 들 수 있으며, 거래인증에는 디지털

콘텐츠 거래인증, 전자공증 등을 규정할 수 있을 것이다. 디지털 콘텐츠 거래인증이란

온라인상에서 제작업체, 유통업체, 소비자간 거래되는 디지털 콘텐츠의 거래내역과 사실을

온라인 콘텐츠 거래인증기관이 확인 및 증명하는 행위이므로 참여 주체간 권리와 의무에 대한

사실확인의 과정이 존재한다.69)

또한 법안에는 전자거래의 규모나 금액별로 전자거래의 등급을 규정하고, 각 등급별로

공인인증서의 손해배상책임에 대한 분류기준을 담을 수 있을 것이다.70)

69) 이에 대해서는 이미 2002년 제정된 「 온라인 디지털 콘텐츠 산업발전법」에 거래인증으로 등장하여 현재

「 콘텐츠산업진흥법」에 흡수·규정되어 있다. 제21조(콘텐츠 거래사실 인증사업의 추진)

① 문화체육관광부장관은 온라인으로 유통되는 콘텐츠 거래의 투명성·공정성·효율성을 확보하고 우수 콘텐츠의 유통을

촉진하기 위하여 콘텐츠 거래사실에 관한 자료를 보관하고 거래사실을 확인·증명하는 콘텐츠 거래사실의 인증사업을

실시할 수 있다.

② 문화체육관광부장관은 법인으로서 대통령령으로 정하는 기술인력·재정능력·시설·장비 및 그 밖에 필요한 요건을 갖춘

자 중에서 콘텐츠 거래사실 인증사업의 수행기관(이하 “인증기관”이라 한다)을 지정할 수 있으며, 인증기관을 지정하였을

때에는 이를 고시하여야 한다.

③ 인증기관은 인증업무를 개시하기 전에 다음 각 호의 내용을 포함하는 인증업무규정을 작성하여 문화체육관광부장관에게

신고하여야 한다.

1. 인증업무의 종류

2. 인증업무의 수행방법 및 절차

3. 인증업무의 이용조건 및 이용요금

4. 그 밖에 인증업무의 수행에 관하여 필요한 사항으로서 문화체육관광부령으로 정하는 사항

④ 문화체육관광부장관은 인증기관이 다음 각 호의 어느 하나에 해당하는 때에는 그 지정을 취소하거나 6개월 이내의 기간을

정하여 업무의 정지를 명할 수 있다. 다만, 제1호에 해당하는 때에는 지정을 취소하여야 한다.

1. 거짓이나 그 밖의 부정한 방법으로 인증기관의 지정을 받은 때

2. 정당한 사유 없이 1년 이상 계속하여 인증업무를 하지 아니한 때

3. 제2항에 따른 지정요건에 적합하지 아니하게 된 때

4. 제3항의 인증업무규정을 위반하여 인증업무를 처리한 때

⑤ 문화체육관광부장관은 콘텐츠 거래사실 인증사업을 추진하기 위하여 필요한 경우 콘텐츠사업자나 인증기관 등에 예산의

범위에서 행정적·재정적 지원을 할 수 있다.

⑥ 인증기관은 콘텐츠 거래사실 인증사업을 수행할 때에는 콘텐츠사업자의 거래정보와 이용자의 개인정보를 다른 사람에게

제공 또는 누설하거나 해당 목적 외의 용도로 이용하여서는 아니 된다.

⑦ 제1항부터 제6항까지에서 규정한 사항 외에 콘텐츠 거래사실 인증사업의 추진에 필요한 사항은 대통령령으로 정한다.

70) 미국의 Verisign업체에서는 인증서를 발급하는데 클래스(Class)를 4단계로 나누어 발급의 용이성과 용도를 구분하고, 각

단계별로 손해배상액의 금액을 차등하고 있다.

Internet & Security Focus 2013 3월호48

FOCUS

아울러 현재 정부와 민간부분으로 구분되어 있는 GPKI와 NPKI를 통합하여 하나의 기본법에서

종합적으로 관리하는 체계를 구성할 수 있다.71) (가칭)「 전자서명 및 통합인증에 관한 법률」은

전자거래의 익명성, 추적성 보장 및 권한 관리를 위한 전자인증서 사용의 제도적 근거 마련이 될

수 있다. 이를 바탕으로 전자정부에서는 정보의 중앙집중화에 의한 역기능을 방지하기 위하여

정부의 전자거래 정보에 대한 가명(pseudonym)인증서, 익명(anonym)인증서의 사용방안을

마련하고, 불법적인 행위의 발견시 사용자를 추적할 수 있는 추적기능을 부여하는 근거를 마련할

수 있을 것이다. 따라서 (가칭)「 전자서명 및 통합인증에 관한 법률」에는 전자거래에서의 사용자

정보호호를 위하여 가명인증서, 익명인증서 등의 사용체계를 확립하고 이를 이용한

전자거래인증체계의 구축의 근거조항을 담는 방안도 고려된다.

또한 암호이용의 투명성과 안전성을 확보하고 이용자 보호 및 암호이용의 역기능에 대비한

조항도 고려할 만하다. 현재 정부 및 민간에서는 전자거래 정보의 종류에 따라 사용할 수 있는

암호의 등급을 규정하고 등급별 암호사용 기준을 마련하고 있다. 미국의 경우에는 민간에서

자율적으로 암호 알고리즘을 개발·사용할 수 있을 뿐만 아니라, 정부기관의 정보보호를 위하여

민간주도로 개발된 차세대 표준 암호 알고리즘(AES)을 정보의 중요도에 따라 키의 길이를

달리하여 사용하는 규정을 명시하고 있다. 우리나라에서도 정부 및 공공기관의 정보 암호화에 대한

관리 및 유사시 키복구를 위한 관련제도의 마련이 필요하며, 암호기법의 부정사용으로 인한 피해를

최소화하기 위하여 범죄 등 부정한 암호기법 사용에 제한을 두는 근거조항을 (가칭)「 전자서명 및

통합인증에 관한 법률」에 두는 방안을 고려할 수 있을 것이다.

차세대 인증법제로 고려할 수 있는 (가칭)「 전자서명 및 통합인증에 관한 법률」의 기본적인

제정방향은 다음 세 가지로 요약할 수 있을 것이다.

첫째, 이 법안은 통합적인 전자 인증을 지원하는 통합인증체계를 구축·운영하는 법적 근거가

되어야 할 것이다. 즉, 통합인증기관 신뢰성 인증을 지원하는 최상위인증기관을 운영하고,

통합인증기관을 지정 및 갱신 관리하며, 통합인증기관 안전운영 여부에 대한 정기적인 점검에 관한

법적 근거를 수립하여야 할 것이다. 아울러 현재의 공인인증기관과 같은 인증기관이 필요하고

등록대행기관과 같이 전국적인 인증수단 발급을 위한 네트워크가 구축되어야 할 것이다.

둘째, 이 법안은 사용자 중심의 안전하고 편리한 인증서비스 이용환경을 지원할 수 있어야 할

것이다. 따라서 현재 공인인증서 헬프데스크와 같은 소비자 고충처리센터 운영을 통한

71) 배대헌, “정부조직 개편에 따른 전자서명의 통합 및 관련법의 개정 논의”, 한국정보사회진흥원, Vol.15, No.4, 2008, 87~104면.

Internet & Security Focus 2013 3월호 49

FOCUS

인증서비스 가입자 및 이용자 지원, 인증서 관련 분쟁 조정 기능 수행, 통합인증서비스 이용자

지원 기능으로 확대 등의 조항을 고려하여야 한다.

마지막으로 이 법은 인증기반 관련 협의체 운영 등 국가차원의 조정 및 관리 기능 수행할 수

있는 근간이 되어야 한다. 특히 금융분야에서의 전자인증서 활용에 따른 정책의 2원화를 방지하기

위한 조정기능과 PKI기술 뿐만 아니라 전자서명기술 발달에 따른 다양한 기술을 수용할 수 있는

관련 실무자 및 관리자 협의기구 운영, 국가차원의 전자서명기술의 채택, 조정·관리, 국가차원의

통합인증기반 조정·관리 등의 설립근거를 고려할 수 있을 것이다.

덧붙여 2013년 신정부 출범과 더불어 공인인증분야에서의 글로벌 스탠다드가 언급되고 있음에

이를 짚고 넘어가지 않을 수 없어 첨언하여 본다.

우리나라의 공인전자서명·인증제도는 하루 아침에 어디서 뚝 떨어진 제도가 아니다. 1998년

1999년 당시 외국의 전자서명법제를 참고하여 만든 글로벌 스탠다드 법제도이다.

지면관계상 모두 자세히 언급하기는 곤란하지만, 해외의 전자서명법제를 살펴보면, 국제기구인

UN국제상거래법위원회(UNCITRAL)가 제정한 「 전자서명모델법」이라든지 유럽연합(EU)에서 제정한

‘전자서명입법지침’ 등이 각국의 모델법으로서 역할을 하였다. 세계최초의 「 전자서명법」인 미국

유타주(州)의「 전자서명법」과「 연방전자서명법(E-Sign법)」, 「 연방전자거래기본법(UETA)」도 있다.

또한 우리나라 「 전자서명법」 제정에 많은 영향을 준 독일의 「 전자서명법」 및 일본의 「 전자서명 및

인증에 관한 법률」 등은 우리나라의 「 전자서명법」과 기본 틀이 유사하다. 하지만 외국과 우리나라가

다른 점이라면, 우리나라는 정부의 적극적인 주도로 공인인증서를 하나의 사이버상에서의 가장

확실한 신원확보수단과 보안성을 충족시켜주는 꽃으로 만개(滿開)시켰다는 점이다. 더욱이 외국의

한 분야에서의 한 인증서 정책과는 확연히 구별되는 범용공인인증서의 도입으로 그 활용도는 큰

차이를 보인다고 할 것이다.72)

이렇게 잘 키운 공인전자서명제도를 국민의 불편이 따르고 외국 시스템을 따르더라도 별

문제가 없다는 주장으로 하루아침에 폐기되어야 하는 제도로 지목되는 것은 문제가 있다. 물론

외국 시스템처럼 편리하게 공인인증서를 사용하지 않아도 되는 분야가 있음에도 굳이 공인인증서

의무화를 강제하는 부분은 제거되는 것이 적극 검토되어야 할 것이다. 이 점이 신정부의

국정목표와도 부합되는 것이 아닌가 판단된다.

72) 무료로 발급되는 용도제한용공인인증서라 할지라도 인터넷쇼핑몰 등에서의 신용카드결제, 보험, 전자민원 등의 서비스를

제공받으므로 외국의 1 인증서 1용도와는 차원이 다른 시스템이다.

Internet & Security Focus 2013 3월호50

FOCUS

Ⅳ. 결론

1999년 「 전자서명법」 제정 후 전자서명·인증제도가 우리나라에 도입된지 벌써 10여년이

흘렀다. 가상공간에서 당사자가 비대면(非對面)으로 거래를 할 때, 상대방을 확인하지 못하게

되거나 문서의 위·변조가 쉽게 될 수 있다는 취약성을 극복하기 위하여 전자서명과 인증이

필요하다는 것도 주지의 사실이 되었다.

반면, 최근 스마트폰 사용이 급증하면서 외국에서는 잘 사용되지 않고 우리나라에만 독특하게

적용되어 전자거래의 불편을 가중하고 있다는 이유를 들어 공인인증서 무용론도 대두되고 있다.

하지만 1999년에 「 전자서명법」이 제정된 이래, 10년이 넘는 기간 동안 전자서명·인증제도의

안정적인 운영을 이루어냈다. 우리는 부지불식간에 공인인증서를 실생활에서 친숙히 사용하고

있었기에 불필요한 장애라는 이유로 쉽게 내칠 수 없게 되었다. 더욱이 외국과 달리 선진화된

초고속망과 고사양 컴퓨터의 보급으로 새로운 IT관련 문제점이 세계 어느 나라보다 먼저

발생하는 한국에서 공인인증서만큼 거래의 안전성과 보안성을 보장해 주는 장치가 아직까지

등장하지 않고 있기에 더욱 그 존재가치가 크다.73)

공인인증서가 경제활동인구의 대부분이 사용할 만큼 널리 퍼져있지만, 전자서명은 기술적인

분야이다 보니 기본적인 이해부족으로 인해 공인인증서를 둘러싸고 있는

‘공인전자서명·인증제도’에 대한 법적인 문제점이 많이 발생되고 있다.

여러 문제점이 지적되고 있으나 본고에서는 스마트환경에서의 공인인증서 활용과 문제점을

중심으로 논의를 전개하였다.

현재 공인인증서가 우리생활 깊숙이 자리 잡고 있으나 보안성을 강조하다보니 편리성을

추구하는 측에서의 불편이 계속적으로 지적되고 있다. 지급결제의 전자화가 급격히 진행되고

사이버 사기수법이 고도화됨에 따라 CD/ATM기기, 텔레뱅킹·모바일뱅킹, 전자상거래, 오프라인

가맹점 등 전반적인 전자거래분야에 새로운 인증수단이 개발 및 도입되고 있는 실정이다. 이에

따라 이용자 측면에서는 다양한 거래시에 그에 적합한 인증수단을 기억해 내야하거나 휴대해야

하거나 하는 불편이 생겨 이를 통합할 수 있는 새로운 인증수단의 도입이 중요해지고 있다. 하지만

아직까지는 공인인증서가 가장 안전하다는 입장이 다수를 차지하고 있어 일부 보안성을 크게

73) 이호기 기자, “인터넷 속도 한국이 계속 1위-美 전문업체 보고서”, 머니투데이, 2013.1.24일자,

<http://www.mt.co.kr/view/mtview.php?type=1&no=2013012412011543908&outlink=1>, [2013.3.12. 최종방문].

Internet & Security Focus 2013 3월호 51

FOCUS

요구하지 않는 분야인 경우만 공인인증서의 사용이 줄어들 것으로 전망된다. 우리나라는 특정

업체의 인터넷 웹브라우저를 국민의 대다수가 사용함에 따라 공인인증서를 활용한 전자거래에서

비록 보안성이 떨어지지만 ActiveX라는 프로그램을 맹목적으로 이용하게 되었다. 이에 따라 다른

웹브라우저에서의 공인인증서를 통한 전자서명이 불가능하다는 지적도 제기되고 있어 이에 대한

개선책의 도입이 시급하다. 더구나 스마트폰의 폭발적인 이용증가에 따라 스마트폰 내에

공인인증서의 탑재와 이를 통한 전자결제도 논의가 있었는 바, 결국 금융분야에서의 공인인증서

의무사용규제가 폐지되는 결과를 낳았다. 더불어 2010년 4월부터 공인인증서를 사용하지 않고도

스마트폰을 이용한 30만원 미만의 소액결제가 가능하게 되었고, e-뱅킹과 30만원 이상의

전자결제에도 공인인증서 외의 인증방법이 적용될 수 있는 대안을 마련중이다.

반면 최근 금융감독원은 해킹범죄에 주로 이용되는 게임 사이트 등에서 결제할 때는

소액이라도 공인인증서의 사용을 의무화한다는 정책이 언론에 보도되었다.74) 금융당국이 ‘온라인

결제 보안강화 종합대책’을 2013년 4월경 발표하는 것으로 되었는데, 금융위원회는 2012년도에

일부 온라인 게임 사이트에서 신용카드를 이용한 부정매출 사고가 발생하자 2012년 말부터

행정안전부와 지식경제부, 방송통신위원회 등 관계부처와 함께 합동 대응팀을 구성해 대책을

준비해왔다고 알려졌다. 이 대책에 따르면 종전 30만원 이상의 온라인 결제만 공인인증서를

의무적으로 써야 했던 정책에서, 게임 사이트에서 결제할 때에는 액수에 관계없이 공인인증서

사용을 의무화하는 것으로 변화되는 것이라 많은 주목을 받고 있는 상황이다.

익명성을 근간으로 한 사이버 세상에서 나의 존재를 알려줄 수 있는 공인인증서는 앞으로도 그

발전 가능성이 무궁무진하다. 설령, 공인인증서가 아니더라도 비대면거래에서의 정보의 보호와

안전한 정보의 전달을 위한 인증수단은 계속적으로 사용될 것이고 발전될 것으로 전망된다.

경쟁법적 측면에서의 공인인증시장 문제, 공인인증서를 활용한 전자투표의 가능성,

공인인증서를 사용하지 않는 경우 새로운 인증 방법, 전자서명·인증에 대한 거버넌스 등 본

논문에서 미처 다루지 못한 전자서명·인증에 관한 많은 쟁점이 존재한다. 이러한 사항들은

우리의 사이버 환경을 윤택하게 하기 위한 도구로서 계속적 연구가 필요하며, 갈파파고스적

발전으로 지탄의 대상이 아닌 외국에 내 놓아도 자랑할 만한 훌륭한 IT 정책의 산물로

IT산업기술의 발전과 시대의 요구에 맞추어 변형하고, 계승·발전시키는 것이 바람직하다고 본다.

74) 박종진 기자, 게임사이트 공인인증서 내달부터 의무화, 머니투데이, 2013. 3.11일자,

<http://www.mt.co.kr/view/mtview.php?type=1&no=2013031010332479053&outlink=1>, [2013.3.11. 최종방문].

Internet & Security Focus 2013 3월호52

FOCUS

참고문헌

김보라, “비대면 지급결제서비스에서의 본인인증수단 현황과 전망”, 지급결제와 정보기술, 제36호, 금융결제원, 2009.4,

배대헌, “정부조직 개편에 따른 전자서명의 통합 및 관련법의 개정 논의”, 한국정보사회진흥원, Vol.15, No.4, 2008.

이상민, “인증방법의 현황과 향후 전망”, 지급결제와 정보기술, 2011.10월호.

이정현, “전자서명·인증제도에 관한 법적 연구”, 경희대학교 박사학위논문, 2012. 2.

이해춘 외 2, 공인인증서 이용의 경제적 효과에 관한 연구, 한국정보사회진흥원, 2008.7.

한국인터넷진흥원, 연도별 공인인증서 발급현황, 2013.1.

방송통신위원회·한국인터넷진흥원, 2012년 인터넷 이용실태조사, <http://isis.kisa.or.kr>, 2012.12.

금융감독원, 전자금융거래 인증방법 안정성 기술평가기준 설명회, 2011.2.23.

금융감독원, 전자금융거래 보안 종합대책, 2005.9.

통계청, 2013년 2월 고용동향, 2013.3.

국회 행정안전위원회 수석전문위원, 「 전자서명법」 일부개정법률안과 전자정부법 일부개정법률안에 대한

검토보고서, 2011. 2.

안전한 전자금융거래를 위한 정책 토론회 - 금융서비스 결제 유형별 안전성 기준 및 검증 -, 국회의원 김을동

의원실, 2010. 5. 10.

홍준형, “공인인증시장의 공정경쟁 환경 조성을 위한 법제도 개선방안”, 『 바람직한「전자서명법」의 개정 방향』

마련을 위한 토론회 자료집, 2005. 4, 3~7면.

국립국어원 신어자료집.

네이버 백과사전.

김성환 기자, “스마트폰 공인인증서 “짜증 폭발””, 파이넨셜뉴스, 2011.6.12일자.

김지선 기자, “‘공인인증서 대안’ 논의 급물살 다양한 스마트폰 OS에 적용 필수… 새 인증방법 관심”,

디지털타임스, 2011.8.16일자.

김준배 기자, “공인인증서만 의무 사용 금융산업 발전 가로막아”, 전자신문, 2010.3.15일자.

류준영 기자, “[여의도칼럼]공인인증서를 폐기하라”, 이데일리, 2013.3.4일자.

박종진 기자, 게임사이트 공인인증서 내달부터 의무화, 머니투데이, 2013. 3.11일자.

유윤정 기자, 민변, 옥션發 해킹파문.."아이핀, 대안이 될 수 없다", 아시아경제, 2008. 4. 25일자.

이민종 기자, “인터넷뱅킹 해킹 당했다…국내 첫 사고발생”, 파이넨셜뉴스, 2005.6.3일자.

이유지 기자, “공인인증서 대신할 새 전자금융거래 인증기술 도입 여건 ‘활짝’”, 디지털데일리, 2011.7.1일자.

이호기 기자, “인터넷 속도 한국이 계속 1위-美 전문업체 보고서”, 머니투데이, 2013.1.24일자.

이홍석 기자, “[밀착취재] 윈도비스타 보안의 핵 ‘액티브X’ 디지털데일리, 2007.1.29일자.

장진모 기자, “모든 스마트폰서 인터넷뱅킹 된다”, 한국경제, 2010. 3. 7일자.

SBS뉴스, 스마트폰 ‘공인인증서 의무화’ 논란…존폐 기로, 2010.3.29일자.

Aaron Titus, Todd Feinman, David Goldman, NSTIC’s Effect on Privacy and Security, Identity Finder, 2011.4.15.

아이덴터티 파인더, <www.identityfinder.com>.

Internet & Security Focus 2013 3월호 53

FOCUS

스탯카운터, <http://gs.statcounter.com>.

미백악관, <http://www.whitehouse.gov>.

사이버공간에서의 신뢰받는 신원을 위한 국가전략, <http://www.nist.gov/nstic>. 2011.4.15.

미국 연방예금보험공사(FDIC:Federal Deposit Insurance Corporation)의 RSA Conference 발표자료, 2010.3.

UK Payment<http://www.banksafeonline.org.uk>.

Financial Fraud Action UK 보도자료, <http://www.financialfraudaction.org.uk/Publications/#/54>, 2010.

미국 연방금융감독위원회(FFIEC), Authentication in an Internet Banking Environment, FFIEC, 2005. 10.