(-.-)a "공인인증서, 완전히 폐지된 것 아니었나요?" (브로터넷 2014-05-16 09:21)

(-.-)a "공인인증서, 완전히 폐지된 것 아니었나요?"

 

흥신소’는 돈을 받고 남의 뒤를 밟는 일을 주로 한다고 합니다. ‘블로터 흥신소’는 독자 여러분의 질문을 받고, 궁금한 점을 대신 알아봐 드리겠습니다. IT에 관한 질문을 아낌없이 던져주세요. 성심껏 알아봐 드립니다. e메일(sideway@bloter.net), 페이스북(http://www.facebook.com/Bloter.net), 트위터(@bloter_news) 모두 좋습니다. ‘블로터 흥신소’는 언제나 영업 중입니다.

"이달 말부터 온라인 결제에 공인인증서 의무사용이 필요 없어졌는데, ‘민원24'에서 전자민원사무를 볼 때는 어떻게 되는 것인가요?" - 김정현

결론부터 말씀드리면, 써야 됩니다. 안전행정부의 ‘민원24'나 국세청 등 국가 기관의 서비스를 이용할 때는 이전처럼 공인인증서가 필요합니다. 김정현 독자님께서 질문하신 공인인증서 의무사용 폐지는 온라인에서 30만원 이상 신용카드 결제를 할 때만 적용되는 것이기 때문입니다.

공인인증서 의무사용 폐지 건을 두고, 여러 말이 오가는 모양입니다. 진짜 폐지되는 것이냐, 어디에서는 폐지되고 어디는 유지되는 것이냐, 혼란도 많은 듯합니다. 기왕 흥신소로 질문이 들어왔으니 이참에 공인인증서 강제사용 폐지에 관한 오해를 풀어보면 좋을 것 같습니다.



공인인증서, 폐지되는 것인가?

많은 이들이 오해하는 부분입니다. 아닙니다. 금융위원회와 금융감독원이 지난 5월3일, ‘전자금융감독규정 시행세칙’ 개정안을 이달 말부터 시행한다고 밝혔습니다. 온라인에서 30만원 이상 신용카드로 결제할 때 공인인증서를 꼭 쓰지 않아도 된다는 것이 이번 변화의 핵심입니다. 신용카드 결제 시 공인인증서를 강제하지 않겠다는 말에 "공인인증서 폐지가 아닌가"라며 오해하는 이들이 많은 상황입니다. 금융감독원이 밝힌 ‘전자금융감독규정 시행세칙’ 개정안은 다음과 같습니다.

규정의 제·개정 취지

- 전자금융거래의 편의성 도모 및 전자상거래 활성화를 위해 공인인증서 사용 예외 규정 확대.

규정의 제·개정 내용

- 전자상거래에서 지급결제로서 카드결제의 경우 금액에 상관없이 공인인증서 사용 예외를 인정.

원래 온라인 쇼핑몰에서 신용카드로 물건을 살 때는 결제 금액이 30만원을 넘으면 무조건 공인인증서를 써야 했습니다. 이 규정이 다소 완화된 것일 뿐입니다. 반대로 온라인 쇼핑몰 처지에서는 공인인증서를 계속 써도 됩니다. 의무적으로 쓸 필요는 없다는 뜻일 뿐, 쓰지 말라는 얘기는 아니기 때문입니다.

'민원24'나 '온라인 송금'은?

국내에서 공인인증서를 의무적으로 써야 하는 분야는 3곳입니다. ‘지급결제’가 필요한 전자상거래 분야와 ‘이체거래’가 이루어지는 전자금융 분야, 그리고 온라인 전자정부 민원 분야입니다. 정리하면, 이번 금융위원회의 결정은 물건을 사기 위한 신용카드 결제 등 물품 구입이나 대금을 치르기 위한 전자상거래 분야에 한정됩니다.

인터넷뱅킹 등 전자금융 분야와 온라인 전자정부 민원 분야는 어떨까요? 앞으로도 계속 공인인증서를 강제로 써야 합니다. 인터넷뱅킹 서비스로 다른 이에게 돈을 보낼 때는 반드시 공인인증서를 거쳐야 한다는 얘기입니다. 국세청 서비스와 민원24 등 전자정부 서비스에서도 공인인증서는 계속 유지됩니다.

안전행정부는 “현재로선 주민등록 등·초본 등 개인의 민원을 처리하기 위안 개인의 인증 수단으로 공인인증서를 쓰도록 하고 있고, 공인인증서를 대체하는 방법은 없다”라고 설명했습니다.


△ 전자금융감독규정 시행세칙’ 개정안(금융감독원)
공인인증서 강제 사용, 왜 이어지나?

금융감독원은 홈페이지에서 '전자금융거래의 편의성을 도모하기 위함'이라며 이번 세칙규정 개정안의 의의를 밝혔습니다. 맞는 말입니다. 금액에 상관없이 공인인증서를 쓰지 않으면, 한결 편리하게 온라인쇼핑을 즐길 수 있게 됩니다. 하지만 이는 금융 당국의 얄팍한 꼼수에 불과합니다. 김기창 고려대학교 교수의 설명을 들어봅시다.

“이체 거래에 대해서는 공인인증서를 계속 강제로 쓰게 하는 것을 두고 금융위원회는 ‘위험성이 더 크다’는 식으로 이야기하고 있어요. 쇼핑은 공격자(해커)에게 바로 돈이 가는 것이 아니지만, 이체 거래는 공격자에게 바로 돈이 가기 때문이라는 게 그들의 논리죠. 사실은 공인인증서가 우수한 기술이 아닌데 말이죠.”

김기창 교수의 설명대로 금융당국은 공인인증서가 우수한 보안 기술이라는 생각을 전제로 깔고 있습니다. 그들의 주장과 달리 공인인증서는 그리 우수한 기술이 아닙니다.

만약 공인인증서를 모든 분야에서 강제로 쓰지 않아도 된다면 어떨까요. 여러 보안 기술이 탄생해 경쟁적으로 발전할 수 있을 것입니다. 그 중 우수한 기술은 시장과 사용자의 선택을 받을 수 있겠죠. 즉, 공인인증서는 국가가 강제로 쓰게 한 '고인 물’에 불과하다는 뜻입니다. 기술적으로 우수하기 때문에 쓰는 것이 아닙니다.

김기창 교수는 “얼마 전 약 7천여개의 공인인증서가 노출된 사고도 있었던 만큼, 유출된 사실이 알려지지 않은 것도 수없이 많을 것”이라며 “금융위원회는 이 같은 사고에 책임을 지고 사과하는 모습을 보여야 한다”라고 꼬집기도 했습니다.

현재 국회에는 전자금융거래법 개정안이 올라가 있습니다. 공인인증서 의무화 폐지를 담은 법안입니다. 지난 4월 국회에서 법제사법위원회를 통과해 본회의 통과가 유력시됐으나 예상과 달리 본회의에는 상정되지 않았습니다. 또다시 다음 임시국회로 바톤이 넘겨진 형국입니다.

만에 하나 전자금융거래법 개정안 통과가 늦어지더라도 공인인증서 의무 사용은 폐지될 수 있습니다. 금융위원회의 의지에 달린 문제이기 때문입니다. 법이 문제가 아닙니다.

김기창 교수는 “중요한 것은, 법이 개정 안 돼도 이번에 쇼핑 분야에서 강제 규정이 풀린 것처럼 감독규정을 바꿔 당장에라도 개선이 가능하다”라며 “활발하게 여러 기술이 경쟁할 수 있도록 공인인증서를 강요하지 않아야 한다”라고 지적했습니다.

 

 

(-.-)a “구글 계정도 가족에게 물려줄 수 있나요?”

 (블로터넷 2014.05.13)

 

“내 구글 계정 가족에게 물려줄 수 있나요?” – 블로터닷넷 최호섭

흥신소는 의뢰를 받아야 하는데 제가 궁금한 점이 생겨서 좀 알아봤습니다. 무거운 주제를 이야기하려고 합니다. 바로 ‘죽음’입니다. 어떻게 보면 우리는 쉽게 죽음을 이야기합니다. ‘힘들어 죽겠다’. ‘배고파 죽겠다’처럼 과장된 표현들을 일상 생활에서 별뜻없이 씁니다. 아마 이런 농담을 웃으면서 할 수 있는 것도 생각해보면 ‘죽음은 남의 이야기’이라는 생각 때문일지도 모르겠습니다.

하지만 살다보면 재난이나 사고처럼 예측하지 못한 일들이 벌어집니다. 누구에게나 위험은 찾아옵니다. 그 상황에서 스마트폰의 정보는 중요한 정보가 되기도 합니다. 벌써 한 달 가까이 온 국민을 안타깝게 한 세월호 사고에서도 카카오톡 메시지가 중요한 증거가 됐고, 혹시 모를 사진이나 영상 정보가 네이버 N드라이브 같은 클라우드에 담겨 있지 않을까 하는 이야기도 나옵니다. 하지만 다른 한편으로 개인의 사생활이 모두 기록되는 디지털 정보가 낱낱이 공개되는 것도 덥석 받아들이기는 쉽지 않은 일입니다. 디지털 유산, 어떻게 받아들여야 하고 어디까지 물려줄 수 있는 것일까요?

디지털 유품의 가치와 사생활

제 스스로도 적지 않은 유료 앱과 콘텐츠를 구입하고 있습니다. 똑같은 재화를 종이책으로, CD로, 설치본이 담긴 디스크로 구입했더라면 그저 타인에게 넘겨주면 되겠지요. 하지만 내 모든 정보가 들어 있는 계정에 구매 내역과 권한이 기록되기 때문에 아무리 가족이라고 해도 아이디와 비밀번호를 선뜻 넘겨주는 건 쉽지 않습니다. 구매 내역만 넘겨줄 수는 없을까요?

얼마 전 영국에서도 사망한 어머니가 남긴 아이패드의 핀번호를 몰라 기기를 쓸 수 없게 된 한 이용자 사례가 소개됐습니다. 상속 절차가 까다롭기도 하거니와 법적 절차에 따른 비용이 들 수도 있습니다.

고인에게도 명백한 사생활이 있고, 죽어서도 누군가에게, 특히 가족에게 보이고 싶지 않은 이야기들을 갖고 있을 수 있습니다. 이를 가족이라는 이유로 무조건 넘겨주는 것도 문제겠지요. 상속이 안 된다면 문제지만 사생활이 담긴 계정 정보를 넘겨주는 것은 까다롭게 할 필요가 충분합니다. 요즘 특히나 강조되는 ‘잊혀질 권리’와 연결지을 수도 있겠습니다.

유족이 고인의 디지털 정보를 얻는 건 꽤 제한적입니다. 특히 정보통신망법에 의해 국내 사업자들은 특정인의 계정 정보를 타인에게 넘겨주는 것을 매우 조심스러워합니다. 실제로 해외에서는 사후 디지털 정보를 싹 지워주는 ‘디지털 장의사’라는 새로운 비즈니스가 생겨나기도 했습니다. 망자 스스로가 남기고 싶은 것, 물려주고 싶은 것, 지우고 싶은 것에 대한 권리를 줄 필요가 있지만 아직 사회적으로 심각한 논의는 이뤄지지 않는 듯합니다.

일단 사후 계정의 인계는 둘로 나눠볼 수 있습니다. 우선 계정 접근 자체에 대한 권한입니다. e메일, SNS, 블로그, 홈페이지 등의 내용을 가족이 물려받아 쓸 수 있는 것인지에 대한 이야기입니다. 사망한 가족의 페이스북, 트위터, 미니홈피 등을 상속할 수 있냐는 것이지요.

다른 하나는 특정 계정으로 구입한 무형의 재산, 즉 앱이나 음악, 영상 등의 콘텐츠를 상속할 수 있느냐입니다. 애플의 아이튠즈 계정, 구글의 G메일 계정이 대표적인 예가 되겠지요. T스토어나 멜론도 예외는 아닙니다. 하나둘 모은 앱 뿐 아니라 전자책, 음악, 영상 등 콘텐츠들을 점차 현물 대신 가상 콘텐츠로 구입하다보니 그 양은 날로 늘어나는데, 나중에 그대로 사라진다고 생각하면 아쉽기 그지없습니다.

구글·애플, 서류 갖추면 권리 이전

일단 국내 서비스들은 계정을 넘겨주는 것을 매우 조심스러워합니다. 반면 해외, 특히 우리가 많이 쓰는 미국 기업 서비스들은 사망한 사용자의 계정을 합법적인 대리인에게 넘겨주는 문제를 고민하고 있습니다. 다만 절차는 필요합니다. 계정 소유권을 넘기는 행위이기 때문이지요.

우리가 가장 많이 쓰는 구글과 애플의 계정은 가족이 물려받을 수 있습니다. 구글의 경우에는 이름, 주소, e메일 주소, 신분증, 사망증명서 그리고 사망자가 신청자에게 e메일을 보낸 헤더 정보가 필요합니다. 관계가 있는 가족이라는 증명인 셈이지요. 사망증명서는 사망진단서일 텐데 영문으로 발급되지 않으면 번역전문가가 직접 번역하고 공증한 번역본이 필요합니다. 모든 것을 클라우드와 웹에서 처리하길 좋아하는 구글이지만, 이 서류들은 우편이나 팩스 등으로 보내야 합니다.

구글에 메일을 보내기만 하면 모든 게 해결되는 건 아닙니다. 법적 검토 절차가 필요합니다. 아무래도 상속권자라는 증명과 당사자의 상속 정보 등을 함께 제시하면 이 단계가 수월할 겁니다.

구글은 독특한 서비스가 하나 더 있습니다. ‘휴면 계정 관리자’입니다. 일정 기간 동안 계정을 쓰지 않으면 계정에 연결된 또 다른 계정으로 구글 서비스의 일부를 접근할 수 있습니다. e메일, 드라이브, 구글플러스, 블로그, 유튜브, 피카사 등에 담긴 데이터를 내려받을 수 있도록 특정 계정에 권한이 부여됩니다. 이렇게 권한을 이어받은 이는 필요에 따라 본 계정을 삭제할 수 있는 권한도 갖게 됩니다. 잊혀질 권리도 부여하는 것이지요. 뜻하지 않은 사고나 실종 등 갑작스러운 일을 당했을 때 누군가에게 내 계정 정보를 미리 접근하도록 한 것입니다. 휴면 계정의 판단은 계정에 직접 접속하는 것 뿐 아니라 스마트폰 사용정보, 안드로이드 체크인 등 다양한 방법으로 아예 접근하지 않을 때 작동합니다.

애플도 마찬가지입니다. 아이튠즈 계정과 그 안의 담긴 콘텐츠들을 상속할 수 있습니다. 계정 소유자의 사망진단서 사본과 고인의 재산을 상속받을 수 있는 권리가 있는 법률 문서가 필요합니다. 이를 토대로 법률팀에서 심사를 거쳐 계정의 소유권이 이전됩니다. 다만 e메일 등의 사생활에 대해서는 또 다시 엄격한 심사 과정을 거칩니다.

앞서 이야기했던 영국의 아이패드 이용자 역시 이 서류를 제출하면 계정과 기기를 상속받을 수 있는데, 상속 등에 대한 법률 문서를 떼는 비용이 국가에 따라 다르고 부담스런 수준이 될 수도 있습니다. 하지만 보통 재산을 남기고 사망하는 경우에는 상속에 대한 서류가 뒤따르기 때문에 유족은 그 서류의 사본을 증명 서류로 제출하면 그리 어렵진 않을 겁니다.

한국은 ‘사생활은 No, 콘텐츠는 OK’

국내 기업들은 사정이 조금 다릅니다. 사실 아직 상속에 대해서 구체적인 매뉴얼이 정비돼 있지 않습니다. 다만 법적 절차에 대한 논의는 계속 이뤄지고 있습니다.

먼저, 네이버 계정은 정보통신망법 21조, 49조, 그리고 통신 비밀법 제 3조에 근거한 개인정보 보호 관련 법에 따라서 처리됩니다. ‘본인 외에 네이버 아이디의 사용권리는 양도, 상속이 불가능한 이용권한이므로 본인 이외 제3자에게 사용권리가 불가능하다’는 것이 현재 국내 법을 기반으로 한 원칙입니다. 카페나 블로그 등 게시물에 대해서는 공개된 게시물의 백업은 대신 처리해줍니다. 다만 비공개로 해놓은 것은 가족이라 하더라도 접근할 수 없습니다. 사망자 아이디의 해제나 탈퇴 등은 가족관계와 사망 사실 확인 등 절차를 거친 뒤에 처리할 수 있다고 합니다.

국내에서도 ‘이용자가 사망했을 때 배우자 혹은 2촌 이내의 가족에 대한 계정 상속에 대한 법안’이 발의될 뻔 했지만 현재는 정지 상태입니다. 이 법안이 통과되면 네이버도 법에 근거해 상속을 할 수 있게 될 것으로 보입니다. 하지만 현재로서는 형사 고발 등을 통한 영장이 있기 전에는 가족이라 해도 개인정보를 넘겨받기는 쉽지 않습니다. 이는 네이버뿐 아니라 국내법상 모든 사업자가 지켜야 하는 부분입니다.

T스토어를 운영하고 있는 SK플래닛의 정책은 어떨까요? 콘텐츠는 사실 개인정보나 사생활과 직접적인 연관이 없습니다. SK플래닛은 기본적으로 콘텐츠의 양도나 이전, 재판매 등을 할 수 없도록 하고 있지만 사망의 경우에는 증빙이 된다면 여타 재화처럼 구매 내역들이 가족에게 이관될 수 있다고 합니다. 약관으로 명시된 것은 아니지만 시스템은 갖춰져 있습니다. 이용자뿐 아니라 개발자, 판매자의 권리도 마찬가지로 상속됩니다. 개발자의 사망이 증빙되면 앱 판매 수수료를 상속자가 대신 받을 수 있습니다.

미국에서는 디지털 상조 시장이 성장하고 있다고 합니다. 중요한 문서나 파일 등을 따로 보관했다가 사후에 정해진 상속자에게 전달해주는 서비스부터 계정 접속 정보를 보관하고 있다가 가족에게 로그인 관련 정보를 모두 전달하도록 할 수도 있습니다. 개인정보를 타인에게 전달하는 것에 대해 법적 문제와 검토는 논란이 되고 있긴 하지만, 다른 한편으로 본인의 소유였던 것을 누군가에게 유산으로 남겨주는 것에 대해서는 디지털이라는 점만 다를 뿐 유형의 일기장, 편지 보관함, 음반, 도서 등을 물려주는 것과 다를 바 없어 보입니다.

디지털 시대의 유산과 상속 문제는 어려운 문제입니다. 한국은 아직 개인정보 관련 법안의 정비가 이뤄지는 중이긴 하지만 그 속도는 아주 더딥니다. 비교적 빨리 시스템이 만들어지고 있는 미국의 경우에도 서비스 업체들은 ‘약관이나 도움말 등으로 표기한 것 외에 좀 더 심각한 수준의 심사를 거친다’고 명시하고 있습니다. 망자의 사생활과 상속을 판단하기란 쉬운 문제가 아닌 까닭입니다.

 

 

“공인인증서 없앤다더니 액티브X 쓰라고?”

 (블로터넷  2014.04.18)

 

“성동격서라는 말이 생각납니다. 정부가 동쪽에서는 공인인증서 의무사용 폐지를 외치면서, 서쪽에서는 6월부터 액티브X 사용을 강제하니까요.”

이동산 페이게이트 최고기술이사(CTO)는 결제시장에 새로 생기는 규제가 모순된다고 꼬집었다. 페이게이트가 4월17일 오후 서울 송파구 페이게이트 앞 카페에 마련한 ‘미래 공인인증수단과 금액인증’ 콘퍼런스 자리였다.

이동산 CTO는 카드회사에게 받은 공문을 근거로 들었다. 온라인이나 모바일에서 신용카드로 결제할 때 주민등록번호와 신용카드 번호, 유효기간, 카드 비밀번호 등을 입력하던 키 입력 방식을 오는 5월31일까지 안심클릭으로 바꾸라는 내용이었다.

안심클릭은 은행에서 마련한 전자결제 방법이다. 현행 규정에 따르면 온라인이나 모바일에서 결제하는 돈이 30만원에 못 미칠 경우엔 공인인증서가 아닌 다른 결제수단을 쓸 수 있다. 안심클릭은 이때 쓰이는 결제 방법 가운데 하나다.

문제는 안심클릭이 액티브X 기술을 바탕으로 한 플러그인 방식으로 작동한다는 점이다. 다시 말해 안심클릭을 쓰려면 공인인증서는 필요 없지만 각종 액티브X를 설치해야 한다는 뜻이다. 이동산 CTO는 “안심클릭을 쓰도록 강요하는 건 사실상 액티브X를 쓰라고 강요하는 것과 같다”라고 지적했다.

지난 3월말 박근혜 대통령이 공인인증서를 폐지하라고 얘기한 뒤 정부는 액티브X를 걷어내겠다고 발표했다. 그런데 일선 금융회사는 액티브X 사용을 강제하라는 공문을 내놓는다. 왜 이럴까.

이런 원인을 이해하려면 먼저 한국 금융시장이 어떻게 규제가 작동하는지부터 알아야 한다. 국내 금융시장을 규제하는 곳은 금융감독원이다. 금융감독원이 은행과 카드사를 비롯한 금융회사에 지침을 내리면 금융회사는 일선 업체에 구체적인 방법을 공문으로 제시하는 구조다. 금융감독원이 가진 권한 일부를 금융회사가 대신한다는 말이다. 규제 주체인 금융감독원이 직접 일선 업체를 규제하지는 않는다.

안심클릭 결제 사용 방안도 금융감독원이 기존 키입력 결제방식을 보완하라고 요구한 데 대해 금융회사가 안심클릭을 쓴다는 구체적인 방법으로 답한 것이다. 금융회사가 구체적인 결제방법을 고르면서 자사가 만들어둔 서비스를 쓰도록 한 것이다. 이동산 CTO는 이런 구조 때문에 페이게이트를 비롯한 결제서비스 회사는 금융회사에서 내린 공문을 금융감독원 지침처럼 따를 수밖에 없다고 설명했다.

키 입력 결제방식을 안심클릭으로 대체하면 어떻게 될까. 이동산 CTO는 “애플스토어 같이 공인인증서를 안 쓰고 결제하던 웹사이트가 영향을 받게 된다”라며 “공인인증서나 플러그인을 안 쓰고도 온라인에서 결제할 수 있었던 유일한 방식이 사라지는 셈”이라고 얘기했다.

이처럼 엇박자 내는 규제 대책이 나오지 않도록 하려면 어떻게 해야 할까. 이동산 CTO는 “규제당국이 구체적인 기술까지 지시할 게 아니라 보안 감사체계가 제대로 돌아가는지를 관리감독하는 일만 하면 된다”라고 말했다. 이동산 CTO는 “유독 보안 영역에서는 규제당국이 보안 기술도 통제하고 감사도 직접 하려 한다”라고 말했다.

이동산 CTO는 제대로 된 정부의 역할로 현행 회계감사 체계를 예로 들었다. 국세청은 일선 업체를 직접 감사하지는 않는다. 회계법인 등 믿을 만하다고 인정받은 곳에서 감사를 받은 뒤 이를 국세청에 제출하는 식이다. 국세청은 이런 회계감사 생태계가 제대로 작동하도록 구조를 관리감독하는 역할을 한다. 이동산 CTO는 “이미 해외에서 표준으로 쓰이는 보안 인증방식인 PCI-DSS가 이런 식으로 쓰이고 있다”라고 설명했다.