제도적 개선 방안
1. 공인인증서 사용을 강제하는 전자금융감독규정 제7조 폐기
- 현행 공인인증서는 고객 PC/단말기에 대한 침입공격이 없을 때에만 부인방지 효과가 있고, 고객 PC/단말기가 침입된 경우(사고거래 발생 가능성이 높은 경우)에는 부인방지 효과도 없었음.
- 실제로도 (공인인증서가 아니라) 보안카드가 그동안 금융사고 발생을 막아 왔었음. 여기
- 공인인증기관은 MS IE에서만 공인인증서비스를 제공할 의무가 있다고 대법원이 판결하였으므로, 그 외 환경에서 공인인증서 사용을 강제할 법률상 근거도 없음. 기술적으로 ‘가능’하다고 해서 그것을 사용할 법률상 ‘의무’를 지울 수 있는 것은 아님. MS IE 외의 환경에서 공인인증서 발급이 기술적으로는 ‘가능’하나, 법률상 ‘의무’는 없다는 것이 대법원 판결임.
- 인증서 기술은 20년 이상 된 것이며, 개인키 보관 문제가 초래하는 여러 한계가 이미 드러난 것임. 그 기술만을 사용하도록 강제할 경우, 더 나은 기술을 선택할 여지가 말살됨.
- 인증서 사용 강제 규정은 국제적으로 검증된 더 나은 보안 해법이 국내에서는 그동안 채택되지 못하도록 가로막는 역할만 해 왔음.
- 공인인증 프로그램을 개발, 판매하는 일부 업체들의 영업을 정부가 ‘강제 규정’을 동원하여 보장해 줌으로써, 국내 보안 기술의 경쟁적 발전을 저해해 왔을 뿐 아니라, 거래 솔루션 기술 마저 획일화 해왔음.
2. 금융감독 당국이 특정 보안 기술(인증서, 특정 보안 프로그램 등)의 사용을 사업자에게 강제하는 일은 어느 나라에서도 하지 않는 일임. 보안 기술 선택은 사업자의 자율에 맡겨두어야 » Read more: 스마트폰 전자거래를 위한 전향적 해법