공인인증서 제도가 폐지된 지 어느덧 2년이 지났다. 정확하게는 2년 전 공인인증서가 독점적 지위를 잃게 됐으며 공동인증서, 카카오 인증서 등과 같이 다양한 인증서들이 시장에서 경쟁하게 됐다.

일부 사람들은 공인인증서가 이름만 바뀌고 불편함은 똑같다며 불만을 성토한다. 사실 지난 십수년간 IT 보안기술은 많은 사람에게 충분히 신뢰를 얻지 못했다. 어떤 사람들은 개발사가 정부나 기관에 로비를 해서 보안프로그램을 공급한다고 주장하기도 한다. 하지만 실상은 그렇지 않다.

인증서를 보자. 기관이 인증서의 이름만 바꾸었을 뿐 이를 포기하지 못하는 이유는 인증서가 생각보다 강력한 기술이기 때문이다.

널리 쓰이는 패스워드 인증과 비교해보자. 어떤 사이트에 로그인하기 위해서는 서버에 아이디와 패스워드를 저장해놨다가 사용자가 패스워드를 서버로 전송했을 때 서로 일치하는지 확인해야 한다.

물론 사용자의 패스워드를 암호화해 저장하긴 하지만 어떤 식으로든 서버에 패스워드를 반드시 저장해야 한다. 만약 패스워드가 서버로 전송되는 중간에 하이재킹당하거나 서버가 해킹당한다면 사용자의 패스워드는 노출될 수 있으며 해커가 피해자인 것처럼 활동하는 것이 가능하다. 그래서 패스워드 인증은 온전히 내가 '나'임을 증명할 수 없다.

그러나 인증서를 사용하면 다르다. 인증서로 서명하면 무려 서버에 내 패스워드를 저장하거나 어떠한 개인정보를 외부로 전송하지 않고 오직 내 컴퓨터에서 인증하고 그 결과만 전송해 내가 어떤 행위에 서명했음을 증명할 수 있다. 인감도장을 서류에 날인하는 것과 같은 효과를 낳는 것이다.

인증서 기술은 전자서명이라고 부르는데, ‘큰 소수의 곱으로 이루어진 합성수는 인수분해하기 힘들다’는 공개키 암호화 알고리즘으로 가능하며 수학적으로 안전성이 입증된 방식이다.

보안을 잘 모르는 사람들이 보안기술을 폄훼하고 어떤 부정부패나 음모가 있는 것처럼 매도하기도 한다. 그러나 국내 보안 전문가들은 사이비가 아니다. 그들은 국내 환경과 실정에 맞는 기술을 알맞은 투자비용으로 적절히 개발하는 데에 큰 노력을 기울이고 있다.

보안은 주목받기 힘든 산업이다. 보안 전문가들이 일을 잘하고 있을 때는 어떠한 일도 일어나지 않기 때문이다. 우리가 매일매일 온라인으로 안전하게 금융거래를 할 수 있는 것은 보이지 않는 사람들의 노력으로 인한 것임을 생각하며 항상 감사하는 마음을 갖자.