당시 호민관실이 도출한 가이드라인은 이용자 인증, 서버 인증, 암호화, 무결정, 부인방지 등 5가지 요건을 충족하면, 인증방법평가위원회의 평가를 받아 금융거래를 할 수 있게 했다. 문제는 평가위원회를 금융감독규정시행세칙에 규정하고 공인인증서 금융 규제의 주무기관인 금감원에 설치한 것에서 시작된다. 호민관실의 우려에도 총리실에서 공정한 운영을 보장하겠다는 약속을 믿은 것이 불씨가 된 것이다.
평가위원회는 2년간 개점휴업을 하다가, 30만원 이하의 거래에 한해 두 개의 공인인증서 비사용 거래방법을 인증했다. 그런데 30만원 이하는 원래 공인인증서 예외 대상이었다는 점에서 규제는 줄어든 것이 아니라 늘어난 셈이 됐다. 더 이상한 문제는 평가위원회가 인증하고 국제 기준에 부합하는 두 개의 대안도 지금까지 금융기관들이 보안 규정을 이유로 사용을 거부하고 있다는 점이다. 더욱 이상한 점은 애플스토어(한국), 구글플레이(한국)와 어도비(한국)는 공인인증서를 사용하지 않고도 100만원 넘는 결제를 간편하게 하고 있다는 것. 또 영어 페이지로 된 대한항공, 아시아나도 공인인증서 없이 거래가 가능하다. 이들 거래 방법은 평가위에 신청한 적도 없다. 당시 격론을 이끈 전 기업호민관으로 무슨 기준일까 궁금하기 짝이 없다.
그렇다면 당시 문제 삼았던 한국 공인인증서의 약점들은 해소됐을까. 다시 확인해 봤다. 서버 인증이 없어 수많은 피싱 피해를 야기하는 문제는 여전했다. K은행, C은행 등과 대다수의 보험사들은 여전히 보안이 안 되는 상태에서 인증작업을 하고 있다. 암호화만 제대로 됐어도 작금의 개인정보 유출의 문제는 극소화됐을 것이다. 한국의 공인인증 거래는 아직도 당시 제시된 기준에 미흡한 것이 사실이다.
문제는 ‘소나기가 오면 피하고 보자’는 식의 일부 국가기관의 편법 대응이다. 공인인증서 강제 규제는 없앤다고 보도자료를 낸 후, 문제 제기자가 물러나기를 기다린 뒤 평가위원회를 방패로 실질적 규제 개선은 미뤄 버린다. 대표적 사례가 바로 현재 공인인증 기반의 금융거래 규제다.
‘글로벌 표준에 맞는 다양한 공인인증 서비스 허용’은 박근혜 대통령의 공약집에 엄연히 수록돼 있는 구절이다. 대선 당시 안철수 후보는 더 나아가 아예 공인인증서 기반인 ‘액티브X’의 폐지를 공약한 바 있다. 다보스포럼에서 대통령이 천명한 규제 개선을 통한 창조경제 구현에 전자금융거래의 갈라파고스 규제 타파는 절대적이다. 그런데 다양한 서비스를 막는 근거는 법률도 아니고 시행령도 아니고 시행세칙도 아니다. 금감원 내부의 금융감독규정 하부의 금융감독규정시행세칙에 근거한 전 세계에 유례없는 혹독한 실질적 규제다. 한국을 뒤덮는 공인인증서 대란의 해법은 의외로 간단하다. 국회의 법률 개정도 국무회의 시행령 개정도 필요없다. 금감원 내부 규정의 하부 세칙만 손보면 된다.
지난 4년간의 경험에서 규제 해소는 규제 기관에 맡기면 안 된다는 것이 확인됐다. 현 정부가 공약한 다양한 인증방법의 평가위원회는 금감원의 관리를 벗어나야 한다. 분명 2010년 당시 민간 평가기관의 의견을 수용하겠다는 약속을 하고 이행하지 않는 규제 기관에 계속 관리를 맡길 수는 없지 않겠는가.
전자금융에 대한 국제기준인 ‘바젤 협약’은 ‘국가는 특정 기술을 강요하지 않아야 하고 금융기관이 반드시 선택해야 한다’는 선언을 담고 있다. 그 이유가 무엇인지 규제 당국은 곰곰이 생각해 봐야 할 것이다.