공인인증체계에 대한 생각
28일 커머스넷과 전자신문사에서 주최하는 eBiz클럽 토론회가 있었습니다.
토론주제는 "웹2.0 시대의 공인인증체계" 였습니다.
이준기 교수님의 사회로 정통부, KISA, 소프트웨어진흥원, 소프트뱅크 코리아 그리고 제가 참석해서 토론을 했습니다.
굉장히 발전적인 방향에서 토론이 이루어져서 즐거웠습니다. 제가 얘기했던 세 가지 의견을 다시 한번 정리해봅니다.
1.접근매체 선택권 부여
전자금융거래법 제 6조 1항에서는 "금융기관 또는 전자금융업자는 전자금융거래를 위하여 접근매체를 선정하여 사용 및 관리하고 이용자의 신원, 권한 및 거래지시의 내용 등을 확인하여야 한다."라고 쓰고있고, 동법 9조 1항에는 "금융기관 또는 전자금융업자는 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자에게 손해가 발생한 경우에는 그 손해를 배상할 책임을 진다."라고 규정하고 있습니다. 그리고 9조 2항에는 몇 가지 예외적인 경우를 언급하고 있는데, 사고 발생이 이용자의 고의나 과실로부터 기인한 경우입니다.
이 법에 따라 은행은 손실을 최소화하기 위해 접근매체를 선정하고, 전자적 거래 처리과정의 사고를 막기위해서 각종 보안 프로그램을 설치하고 있습니다. 결국 은행이 선정한 접근매체나 보안 프로그램을 사용해야만 사고에 대한 보장을 받을 수 있습니다. 저는 9조 2항의 예외사항에 "금융기관과 이용자 간의 별도 약정이 하는 경우에는 해당 약정을 따른다"라는 형태로 서로 다른 수준의 접근방법을 수용할 수 있도록 해야 한다고 생각합니다. 물론 금융기관이 지정한 방법을 사용하지 않는 경우 그에 따른 사용자의 책임또한 증가할 것입니다. 하지만, 새로운 접근매체가 지속적으로 도입될 수 있는 구조를 만든다면 많은 사용자들의 요구사항을 수용할 수 있을 것입니다.
2. 지속적인 접근성 확보를 위한 접근매체 도입 구조 개선
웹 접근성이라는 측면에서 불거진 ActiveX 문제는 현재의 접근성 문제입니다. 5년 뒤에는 또다른 접근성의 문제가 생길 수 있을 것입니다. 즉, 모바일 및 TV를 포함한 미래형 단말기에 대한 접근성 문제가 또다시 발생할 것입니다. 따라서, 보다 근본적인 해결책은 기술의 발전에 따라서 고안될 다양한 접근매체 및 전자거래 보안방안들을 제안하고, 평가하는 과정을 개방하는 것입니다. 문제가 생겨서 기술개발을 하는 것이 아니고 새로운 환경에 대해 개발된 기술로 환경변화에 대응할 수 있도록 해야합니다. 이렇게 함으로써 서비스업체가 미래에 다가올 접근성의 문제를 발빠르게 해결할 수 있고, 사용자들도 편리할 것입니다.
3. 브라우징 매체와 접근매체의 분리
앞으로 브라우징 매체는 접근매체 보다 보다 빠르고 광범위하게 발전할 것입니다. 그에따라 모든 브라우징 매체에서 발생하는 보안문제를 해결하는 것은 점점 더 어려운 일이 될 것입니다. 따라서, 브라우징 매체와 독립적이면서도 안전한 접근매체를 사용함해야합니다(접근매체만을 안전하게 하는 일이 더 쉬운 일일테니까요). 근래에 OTP나 HSM의 도입은 상당히 바람직한 방향이라고 생각됩니다. 하지만, 핸드폰이나 스마트카드에서 사용할 수 있는 OTP 및 스마트카드 형태의 HSM 등은 편리하면서도 경제적인 접근매체임에도 불구하고 금융거래에 사용하지 못합니다. 금융거래의 위험정도(이체금액 등)가 작은 경우에는 충분히 사용할 수 있는데도 말이지요. 1번이나 2번에서 언급한 의견이 반영되어, 보다 많은 사용자의 요구사항을 수용할 수 있는 발전적인 접근매체의 운용체계가 수립되었으면 합니다.