전자금융거래법 개정법률안에 대한 입장

지난 10여년간 전자금융거래에 공인인증서를 사용하도록 강요해 온 근거를 이루던 전자금융거래법 제21조 제3항을 아래와 같이 개정하기 위한 법률안( http://bit.ly/11GGhIP )이 국회에서 발의되었다 :

"③금융위원회는 [전자금융기술 및 전자금융업무에 관한] 기준을 정함에 있어서 보안기술과 인증기술의 공정한 경쟁을 저해하거나, 특정기술 또는 서비스의 사용을 강제하여서는 아니된다."

우리는 다음과 같은 입장을 피력한다:

1. 이 법률안은 어떠한 정치적, 정파적 이해관계와도 무관하다.

2. 일반적으로, 정부가 특정 기술을 편파적으로 지원하거나, 강요하는 것은 다양한 기술들 간의 공정한 경쟁을 통한 기술 진보와 혁신의 가능성을 박탈하게 되므로 바람직하지 않다.

3. 특히, 보안 기술은 나날이 진화하는 공격기법에 신속히 대처해야 하는 분야이고, 실제로 기술 변화 속도도 매우 빠르기 때문에 정부가 개입하여 특정 기술의 사용을 오랫동안 강요하는 것은 잘못된 것이다.

4. 전자금융거래의 안전을 확보하는 것은 한국 정부만의 관심사가 아니고, 세계 각국 정부가 공통적으로 추구하는 정책 가치이다. 그러나, 어느 나라 정부도 한국과 같이 특정 보안 기술의 사용을 강요하지는 않는다. 사고거래의 책임을 금융회사에 지우는 대신에, 금융회사로 하여금 현재의 기술 수준을 반영한 합리적인 보안 기술을 선택하도록 하는 것이 세계 각국 정부의 공통된 정책일 뿐 아니라, 이렇게 할 경우 보안 기술에 대한 활발한 투자와 새로운 기술의 경쟁적 발달이 가능해지므로 합리적인 정책이기도 하다.

5. 전문성을 널리 인정받는 공신력있는 외국의 연구기관(예를 들어, 미국의 국립표준기술연구소; NIST)은 공인인증서와 같은 기술의 안전성을 그리 높이 평가하지도 않을 뿐 아니라, 이 보다 더 진전된 인증 보안 기술은 이미 다양하게 존재한다. 따라서 공인인증서의 사용을 '획일적'으로 강제하는 것이 사고거래를 '예방'하는데 도움이 된다고 믿을 기술적 근거도 충분하지 않다. 오히려 공격 대상을 일원화 함으로써 모든 전자금융거래를 위험에 빠트리고 있다.

전자금융거래법 제21조 제3항 개정법률안은 정부 정책의 '기술 중립성'을 확보함으로써 기술 발달과 서비스 품질 향상을 달성하는데 필요한 바람직한 제도 개선 방안이라고 판단하고, 이 법률안이 조속히 통과되기를 희망한다.

KAIST, 전산학과 김진형
고려대학교, 정보보호대학원 김승주
고려대학교, 법학전문대학원 김기창
KAIST, 과학기술정책대학원 전치형
KAIST, 경영과학과 권영선
경북대, 컴퓨터학부 김일곤
포항공대, 컴퓨터공학과 김종
서울대, 컴퓨터공학부 장래혁
성균관대학교, 정보통신대학 전웅렬
한양대학교, 컴퓨터공학부 장의선
숙명여자대학교, 컴퓨터과학과 최종원
전남대학교, 전자컴퓨터공학부 노봉남
계명대학교, 경영학과 공명재
숭실대학교, 컴퓨터학부 황규백
건국대학교, 국제학부 이영환

외 303명(2013.6.11)

==================================

공인인증서 문제는 WIPI 문제와 공통점이 있다.

만들 당시에는 필요했고 적절했으나 시간이 지나면서 필요 없어졌다. 그대로 계속 의무화를 유지한 것이 문제의 시작이었다. 나름의 기득권과 명분이 생겨서 의무화를 해제하는 것에 대한 저항이 강했다. 대안 없이 의무화를 해제하면 문제가 있을 것이라는 우려가 많았다. 없애자는 것이 아니고 의무화를 해제해서 이해당사자들이 각자 알아서 선택할 수 있게 해주면 어떤 것이 더 좋은 것이었는지는 시간이 지나면 알게 될 것이다.

한편, WIPI는 의무화가 해제되서 이제는 사실상 없어졌다.

공인인증서는 의무화가 해제되면 어떻게 될지 궁금하다. 주장하는 사람들 말대로 우수한 기술이면 계속 그리고 많이 사용될 것이고 아니었다면 자연스럽게 사라질 것이다.

이찬진 -- 드림위즈(주) 대표
https://plus.google.com/+chanjin/posts/YoC1G8Ywp3z

=================================