지난 20일 금융위원회와 금융감독원은 신용카드나 직불카드로 30만원 이상 전자상거래를 할 경우 공인인증서를 의무적으로 사용해야 하는 현행 규정을 폐지하는 ‘전자금융감독규정 시행세칙’ 개정안을 시행한다고 밝혔다.

이로써 지난 3월 박근혜 대통령이 외국인의 한국 온라인쇼핑 시 걸림돌로 지목한 ‘공인인증서 의무사용’ 조항은 폐지됐다.

하지만, 대부분의 쇼핑몰들은 여전히 공인인증서 중심의 결제 시스템을 그대로 유지하고 있어 1주일이 지난 현재까지 소비자들은 변화를 체감하지 못하고 있다.

이렇게 된 것은 일단 조치 자체가 ‘공인인증서 사용을 폐지’하는 것이 아니라 ‘공인인증서 사용 의무를 면제’한 것에 그친 때문이다.

카드사와 전자지급결재대행업자(PG), 쇼핑몰 등 관련 기업들은 공인인증서를 대체할 수 있는 새로운 대안이 마련되기 전까지는 기존 공인인증서 체제를 유지하겠다는 방침이다.

또, 30만원 이상의 온라인 계좌이체에는 여전히 공인인증서 사용이 의무화되고 있다. 거래근거자료가 남는 온라인 전자상거래와는 달리 계좌이체는 별다른 근거가 없을 수 있으므로 범죄나 사기에 악용되어도 판단하기 쉽지 않다는 점을 감안한 조항이나, 이로써 공인인증서의 수명은 다시금 연장됐다.

그런 가운데 공인인증서 유출로 인한 피해는 나날이 늘어가고 있다. 지난 12일 한국인터넷진흥원은 악성코드로 수집된 국민은행, 우리은행 등 시중 은행 고객들의 공인인증서 6947건의 유출을 확인하고 폐기했으며, 지난해 5월에도 공인인증서 파일 212개가 모여 있는 국외 서버를 발견, 폐기한 바 있다. 지난해 2월에도 해커들이 신한은행 등 시중은행이 발급한 공인인증서를 빼돌려 금융결제원이 461개를 일괄적으로 폐기했다.

이렇듯 유출 사례가 늘고 있는 것은 구조적으로 공인인증서가 보안에 취약하기 때문이다. 사용자의 컴퓨터 하드디스크나 USB 드라이브, 스마트폰에 저장되는 공인인증서는 일반적 파일·폴더 구조로 암호화가 되어있지 않아 손쉽게 복사나 이동이 가능하다. 악성 코드를 이용해 유출하기도 손쉽다. 특히 스마트폰 대중화 이후 유출 사례가 급증하고 있는 상황이다.

아마존, 이베이 등 해외 대부분의 쇼핑몰들은 신용카드만 등록하면 이후부터는 별다른 인증 절차를 거치지 않고도 문제없이 거래가 가능하며, 이로 인해 발생하는 보안 문제에 대해서도 쇼핑몰측이 일차적인 책임을 진다.

그에 비해 국내에서는 유출되기 쉬운 인증서 시스템을 빙자로 소비자에게 인증서 관리 책임을 떠넘김으로써 카드사나 쇼핑몰이 보안시스템 강화를 등한시하고 있다는 것이 지 대표의 지적이다.

(CNB=정의식 기자)