국회 정무위원회 소속 장병완 의원이 금융감독원으로부터 받은 국정감사 자료에 따르면 최근 8년간 보이스피싱에 이용된 사기계좌는 36만개를 웃돈다. 피해액은 무려 1조 6000억원으로 하루 평균 약 5억 5000만원에 달하는 것으로 나타났다.
지난 2006년 보이스피싱 등 전자금융사기 사례가 국내에 처음 보고된 이래 지금까지 감독당국과 금융기관들은 피해방지를 위해 많은 노력을 기울여 왔다. 2011년에는 ‘전기통신금융사기 피해금 환급에 관한 특별법’까지 제정됐지만 피해 규모는 줄지 않았으며 범행 수법 또한 갈수록 교묘하게 진화를 거듭하고 있다.
이러한 민관 합동 노력에도 불구하고 보이스피싱 근절이 쉽지 않은 것은 우리 사회의 오랜 공인인증서 사용 관행에서도 그 이유를 찾을 수 있다. 불과 얼마 전까지만 해도 국내 인터넷뱅킹 서비스와 전자금융거래는 공인인증서를 통한 인증을 불변의 디폴트 값으로 설정해둔 다음 다른 논의를 시작한 것이 사실이다.
위조나 해킹에 취약한 소프트파일 형태의 공인인증서가 다른 인증수단들을 물리치고 국내에서 독점적인 지위를 누릴 수 있었던 것은 전자서명법이 공인인증서로 전자 서명된 전자문서에 대하여만 신원의 진정성과 전자문서의 무결성이라는 강력한 효력을 보장해줬기 때문이다.
금융회사 입장에서는 이용자들에게 공인인증서 설치를 위한 잡다한 보안용 플러그인 프로그램을 제공한 것 이상으로 소비자 편의성과 거래 안전성 제고를 위한 새로운 인증기술의 개발과 이를 위한 투자에 별다른 필요성을 느끼지 못한 것은 어찌 보면 당연한 일이었다.
최근 대법원 역시 보이스피싱 조직이 피해자들을 기망해 취득한 개인정보로 이들 명의의 공인인증서를 재발급한 다음 이를 이용해 저축은행으로부터 대출을 받아 대출금을 편취한 사안에서 대출금채무가 존재하지 않는다고 판단한 원심을 파기하고 피해자들이 은행에 대출금을 변제해야 한다고 판시했다.
이로써 ‘공인’ 전자서명 수단인 공인인증서의 우월적 지위를 명시적으로 확인한 바 있다(대법원 2018. 3. 29. 선고 2017다257395 판결).
정부는 법 개정을 통해 전자금융거래에 있어 공인인증서 의무사용정책을 폐지했고 2018년에는 Active-X 등 플러그인 역시 공공기관 웹사이트에서 완전히 퇴출하겠다는 원대한 계획을 발표한 바 있다.
그러나 대법원의 전자소송, 국세청의 홈텍스, 행정안전부가 운영하는 민원24 등 국가기관이 운영하는 대부분의 홈페이지가 여전히 공인인증서를 기반으로 운영되고 있고 검색엔진 역시 인터넷 익스플로러에 최적화돼 있는 것이 현실이다.
전자금융거래에 있어서 소비자 후생을 극대화하고 진정한 핀테크 기술혁신을 이루기 위해서는 무엇보다 공인인증서 폐지를 통해 기술 중립성 원칙을 확립하는 조치가 선행돼야 한다.
이런 측면에서 공인인증서와 공인인증서를 통한 공인전자서명 개념의 삭제를 골자로 하는 전자서명법 전면개정안이 정부입법으로 발의돼 현재 국회에 계류 중인 점은 만시지탄(晩時之歎)이나 다행이다. 얼마 남지 않은 20대 국회에서 개정안이 꼭 통과돼 핀테크 금융혁신의 시발점이 되길 기대해 본다.
