[뉴스토마토 류석기자] 정부가 추진하고 있는 인터넷 등기우편 ‘샵메일’에 대해 현재 폐지 요구를 받고 있는 공인인증서의 문제점을 그대로 답습하고 있다는 지적이 나오고 있다.
아직 보안성 문제나 웹 표준 설정 문제 등 해결해야 할 과제가 산적해 있지만 정부는 이에 대한 해결책 마련 보다는 조기시행에 급급한 모습을 보이고 있다.
◇샵메일 가입 안내문(사진=이메일 화면 캡쳐)
2012년 현 미래창조과학부의 전신인 지식경제부가 전자거래기본법을 ‘전자문서 및 전자거래 기본법’으로 개정하고 ‘공인전자주소’라는 제도를 만든 뒤, ‘샵(#)메일’이라는 새로운 전자주소를 만들었다. 보통 이메일 주소에 ‘@’가 들어가는 자리에 ‘#’이 들어가는 형식이다.
샵메일은 이메일과 유사하지만 본인인증 기능이 추가된 인터넷 등기우편을 말한다. 우체국에서 보내는 등기우편의 경우 집배원과의 대면을 통해 본인 확인 후 우편을 전달하게 되는데 이러한 방식을 전자메일에서 구현하겠다는 것이다.
정부에서는 예비군 통지서나 과태료 등 정부에서 보내는 등기우편을 샵메일로 대체하겠다는 계획이다. 이미 올해부터 예비군 훈련장에서는 예비군들에게 ‘샵메일’ 가입 안내문을 배포하고 있으며 공무원들에게도 샵메일 사용을 요구하고 있는 분위기다. 현재 세종정부청사 곳곳에는 샵메일 가입 안내문이 붙어 있다.
정부는 샵메일에 대해 ‘전자문서 및 전자거래 기본법’에 따라 송·수신 확인이 보장되는 온라인 등기메일이며 등기우편보다 시간과 비용이 절감되고 이메일보다 강화된 보안성과 법적 효력을 가진다고 설명하고 있다.
국방부에서는 예비군 훈련소집 통지에 샵메일을 사용할 경우 연간 5억원의 예산 절감 효과와 함께 신속성·보안성이 제고될 것으로 보고 있다.
하지만 일부 전문가들 사이에서는 현재의 이메일 환경에서도 충분히 기능을 구현할 수 있는데 굳이 웹 표준에도 맞지 않은 것을 만들어 불편과 혼란을 가중시키는 이유를 모르겠다는 지적이 나오고 있다.
◇세종시 고용노동부 건물 안에 붙어있는 샵메일 안내 포스터(사진=방글아 기자)
샵메일의 핵심 기술은 메일의 보안성 강화와 본인확인을 통한 송·수신 확인이다. 하지만 이에 대해서도 논란이 많다. 본인확인을 위해 공인인증서를 사용하려면 최근 보안성 문제로 웹상에서 퇴출이 요구되고 있는 액티브엑스나 자바애플릿 같은 플러그인이 사용되어야 하기 때문이다.
개인고객의 경우 샵메일 이용을 위해 본인확인을 하려면 ▲공인인증서 인증 ▲핸드폰 인증 ▲대면 인증 등 3가지 방법 중 하나를 거쳐야 한다. 법인고객은 공인인증서 인증과 대면 인증을 통해서만 확인이 가능하다.
대면 인증은 서류를 제출하러 직접 기관을 방문해야하는 번거로움이 있기 때문에 사실상 법인 고객의 경우 공인인증서를 통해서만 본인확인 과정을 거칠 것으로 예상된다.
현재 대부분의 샵메일 중계기관에서는 공인인증서 인증을 할 때 ‘액티브엑스’를 사용하고 있다. 몇몇 기관들에서는 ‘자바애플릿’을 통해 공인인증서를 구동시키지만 이 역시도 보안성이 취약하다는 지적을 받고 있는 플러그인이다.
업계 관계자는 이러한 지적에 대해 “우리도 액티브엑스나 자바애플릿 같은 플러그인들이 문제가 많다는 것을 알고 있지만, 아직 정부 쪽에서 HTML5기반으로 공인인증서를 구현할 수 있는 웹 표준을 발표하지 않아 개선을 못하고 있는 것”이라고 설명했다.
김기창 고려대 교수는 “기존의 어떤 프로그램도 #주소를 처리할 수는 없기 때문에 샵메일을 사용하려면 보내는 사람과 받는 사람이 모두 별도의 프로그램(플러그인)을 설치해야 한다”며 “이러한 시스템 시행은 관료가 강제할 성질의 것이 아니다. 샵메일 프로그램의 신뢰성과 안전성은 과연 누가 어떻게 검증할 것인가”라고 지적했다.
또 표준보안방식이 아닌 샵메일을 서비스할 기관을 정부가 심사해 지정하는 것도 문제점으로 지적되고 있다. 기관 지정은 미래창조과학부가 서류심사를 진행하고 그 산하기관인 정보통신산업진흥원(NIPA)이 기술심사를 담당하고 있다. 현재 ▲한국무역정보통신 ▲포스토피아 ▲한국정보인증 ▲코스콤 등 7개 업체가 중계기관으로 지정돼 있다.
한 업계전문가는 “한국정보인증과 코스콤, 한국무역정보통신은 현재 공인인증서 발급기관이기도 하다”며 “공인인증서가 폐지됐을 때 수익성 악화가 우려되는 기관들에게 새로운 먹거리를 정부가 직접 제공하는 것 아니냐”는 의혹도 제기했다.
김기창 교수는 “공무원이 ‘법제도’를 건드려서 강제 규정으로 이런 기술을 지원해 주겠다는 식의 움직임은 지금껏 지겹게 반복된 패턴”이라며 “공인인증서도 그랬고, WIPI(무선인터넷 플랫폼 표준)도 그랬고, 이제 샵메일도 똑같은 구조를 가지고 있다”고 말했다.