코스콤 공인인증서 2779건 유출에도 나몰라라?

코스콤이 발행한 공인인증서가 최근 19개월간 2779건이나 유출됐지만 특별한 사후조치가 없는 것으로 드러나 '안전 불감증' 논란에 휩싸였다.

13일 국회 정무위원회 소속 김영환 의원(새정치민주연합)에 따르면 코스콤이 발행한 공인인증서가 2013년 967건, 2014년 7월 현재 1812건 유출됐다.

김 의원은 "방대한 수의 인증서를 관리하는 만큼 보안에 관해 작은 허점도 용납해서는 안된다. 하지만 코스콤 측은 공인인증서 유출에도 '고객이 금전적인 피해를 입은 사실이 없다'는 이유로 공인인증서 유출에 따른 피해가 없는 것으로 파악하고 있어 안전불감증이 의심된다"고 지적했다.

김 의원에 따르면 코스콤 측은 '공인인증서 뿐만 아니라 비밀번호, 계좌비밀번호, 보안카드 번호 등의 정보가 동시에 유출되어야 불법이체가 가능하며, 공인인증기관과 고객이 공인인증서 유출을 파악하고 폐지 조치하면 유출된 공인인증서라고 하더라도 사용이 불가능하다'는 핑계로 인증서 유출에 대해 일반적인 지침인 공인인증업무준칙 외에 대량 유출 등에 대비한 '유사시 행동지침' 등은 가지고 있지 않았다.

또, 규제완화 계획에 내규상 '전자공인인증서 이용 불가항력에 대한 면책'조항을 포함시켜, 면책 범위 축소를 검토하고 있다. 여기에 안전행정부 등 관계부처가 협조하지 않는다는 등의 이유로 개정을 미루는 등 책임 강화에 소극적인 태도를 보이고 있다고 김 의원은 주장했다.

김 의원은 "인증서 유출은 유출 자체가 피해다"며 "코스콤의 이 같은 불성실하고 안일한 대처는 관리상 안전 불감증을 드러내는 것이며, 법적 효력을 가지는 '전자서명'을 다루는 기관으로 지정되는 것이 적합한지, 그 적합성마저 의심하게 한다"고 우려했다.

한편, 공인인증서는 법적 효력이 있는 전자서명을 보증하는 것으로 국내에서는 공인인증서를 발급하고 관리하기 위해서는 미래창조과학부장관이 '공인인증기관'으로 지정해야 한다. 현재 국내 공인인증기관은 코스콤, 금융결제원, 한국정보인증, 한국전자인증, 한국무역정보통신(트레이드사인)의 5개 기관 뿐이다. 코스콤은 최근 '공인된 전자문서' 송·수신을 위한 '#메일' 사업에 '공인전자문서중계자'로 옛 지식경제부에 의해 선정된 2개의 기관 중 하나다.
장종호 기자 bellho@sportschosun.com