지난 6월 김영현씨(25)는 인터넷에 접속해 물건을 구입했다가 낭패를 보았다. 그는 컴퓨터 중고 부품을 파는 쇼핑물에서 흥미있는 게시물을 발견했다. 컴퓨터 조립 업체가 부도가 나서 미리 사놓은 하드디스크를 헐값에 판다는 것이었다. 이 업체는 컴퓨터 저장 장치 전문 회사인 ‘아이오메가’의 신형 하드디스크 10.1기가바이트 제품을 시세보다 5만원 가량 싸게 내놓았다.

이 업체와 전자 우편으로 정보를 교환한 김씨는 지정한 계좌에 15만원을 입금했다. 판매 업체가 용산전자상가 입주자여서 믿음이 갔고 값도 쌌기 때문이다.

하지만 며칠이 지나도 물건은 오지 않았다. 다시 인터넷에 접속해 쇼핑몰을 뒤지다가 김씨는 깜짝 놀랐다. 그 업체에 사기당한 또 다른 피해자가 피해 사례를 올린 것이다.

김씨는 부리나케 용산전자상가에 갔지만 그러한 업체가 존재하지 않는다는 허망한 사실만 확인할 수 있었다. 피해자들을 모아 추적했지만 끝내 이 사기꾼을 잡지는 못했다.

이용자 피해, 인증 기관이 보상

인터넷을 이용한 전자 상거래가 활발해지면서 그로 인한 피해도 부쩍 늘고 있다. 대표적인 유형은 컴퓨터 부품이나 핸드폰 따위 경품을 준다고 속이고 운송비를 갈취하는 것. 비싼 물건을 공짜로 준다는 말에 현혹된 네티즌들이 운송비를 입금하면 사기꾼들이 돈만 챙겨 도망간다. 피해 액수가 적어 신고를 하지 않지만, 거짓 광고에 속아 돈을 보낸 피해자가 수백 명이 넘어 전체 피해 규모는 상당하다. 심지어 자기집 앞에서 만나자고 약속해서 돈을 먼저 받은 뒤 물건을 가져오겠다고 속이고 뒷문으로 도망치는 경우도 있다. 그 집이 사기꾼의 집이 아님은 물론이다.

이같은 피해 사례가 생기는 것은 국내에 공인된 전자 상거래 인증 기관이 없기 때문이다. 얼굴을 보지 않고 거래가 이루어지기 때문에 거래 당사자의 신원이 분명하지 않거나, 거래 내용을 제3자가 보증하지 않으면 전자 상거래로 인해 피해를 당할 위험이 크다. 따라서 전자상거래 이용자는 쇼핑몰에서 물건을 구입한 뒤 계좌에 돈을 입금하거나 신용카드 번호를 입력하기를 주저하기 마련이다.

하지만 국가가 공인한 기관이나 사회적으로 많이 알려진 기업이 거래자의 신원을 보증하고 사고가 발생했을 때 피해액을 보상한다면, 안심하고 이용할 수 있다. 전자 상거래 시장도 지금보다 빨리 성장한다. 그동안 국내 전자 상거래 시장이 미국이나 유럽만큼 활성화하지 못한 것도 인증 제도가 확립되지 못했기 때문이다.

정부는 7월1일 전자서명법을 제정했다. 전자 상거래를 원활하게 하고 피해 사례를 없애기 위해서다. 전자서명법에 따르면, 정부는 최상위 공인 인증 기관인 정보보호센터 산하에 전자서명인증센터(박스기사 참조)를 설치하고, 업종이나 업무 성격에 따라 인증 업무를 수행하는 공인 인증 기관들을 따로 지정한다. 인증 기관은 가상 공간에서 오가는 모든 거래와 문서에 대해 그 효력과 안전을 보증한다. 인증 기관이 보증한 거래나 문서 교환에서 이용자가 피해를 보면 인증 기관은 그 피해액을 보상해야 한다. 암호로 된 디지털 서명 통해 거래 내용 확인

인증 업무는 사용자 인증과 디지털 서명으로 크게 구분된다. 사용자 인증은 인증 기관이 거래 상대방의 신원을 보장하는 작업이다. 거래 당사자가 거래 내용을 확인하고 자기가 누구인지를 확인하는 것이 디지털 서명이다. 사용자 인증과 디지털 서명은 암호화 기술을 이용해 이루어진다. 전자 상거래 이용자는 거래 상대자가 누구인지를 확인하는 인증서와 거래 내용을 암호로 바꾸어 주고받는다. 인터넷에 접속한 다른 이들에게 정보가 노출되는 것을 막기 위해서이다.

사용자가 거래하는 곳이 한 군데라면 그 둘만이 암호문을 푸는 열쇠(key)를 공유하면 된다. 하지만 전자 상거래는 수없이 많은 사람(업체)과 이루어진다. 따라서 그 많은 사람(업체)과 거래하려면 그 수에 해당하는 암호 해독 열쇠를 가져야 한다. 이 불편을 해결하기 위해 나온 것이 공개 키 기반 구조(PKI)이다. 전자 상거래 사용자들은 2개의 열쇠를 가진다. 이 두 열쇠는 모두 암호문을 만들거나 푸는 기능을 갖고 있다. 열쇠 하나는 공개해 누구나 가질 수 있게 한다. 이를 공개 키라고 한다. 다른 열쇠 하나는 자기만이 소유한다.

A와 B가 전자 상거래를 한다고 가정하자. A와 B는 각기 공개 키와 비밀 키 한쌍을 갖고 있다. 만약 A가 거래를 트기 전에 B가 누구인지를 알고 싶어하면, B는 암호화한 자기 신원과 자기 공개 키를 A에게 보낸다. A는 B가 보낸 공개 키로 암호문을 해독해 B의 신원과 거래 내용을 확인한 뒤 자기가 서명한 것을 B의 공개 키로 암호화해 다시 B에게 보낸다. B는 A가 보낸 내용을 자기 비밀 키로 해독해 확인한다. 거래 당사자 사이에 인증 기관이 끼면 이 작업은 3자 사이에 오간다. 이때 오가는 모든 거래 내용을 인증 기관이 보증한다.

전자서명인증센터가 통제하는 공인 인증 기관은 모두 4곳이다. 인터넷에서 오가는 금융 거래를 인증하는 곳은 금융결제원이다. 금융결제원은 은행과 은행, 은행과 기업, 은행과 금융 거래자 사이에 오가는 전자 상거래에 개입해, 거래 당사자의 신원을 확인하고 거래 내용을 보증한다. 증권 분야는 한국증권전산원이 맡고 있다. 증권 분야는 전자서명법이 제정되기 전에도 제한적이나마 인터넷 주문과 결제 시스템을 활용했기 때문에 가장 앞서 있다.

시장 규모, 5년 뒤 2백20억원까지 커질 듯

민간 업체 사이에 오가는 전자 상거래는 한국정보인증 주식회사가 맡는다. 한국정보인증은 지난 6월 업체 10곳과 개인 투자가들이 2백20억원을 투자해 구성한 컨소시엄 업체이다. 참여 업체는 삼성데이터시스템·LG인터넷·SK텔레콤·한국통신 등 내로라 하는 정보통신 업체들이다. 올해 국내 인증 시장 규모는 7억6천만원 정도지만, 해마다 100% 이상 성장해 2003년에는 2백20억원까지 커지리라 예상된다. 한국정보인증은 전자 상거래 규모가 커질수록 살이 도톰하게 불어나는 인증 시장을 노린다.

행정 부처 사이에 오가는 전자 문서 교환은 행정자치부(행자부)가 맡는다. 행자부는 오랫동안 자체 전산 시스템을 이용하고 있어 인증 시스템을 갖추는 데 어려움을 느끼지 않는다. 전자서명법 제정을 주관한 정보통신부와 별개로 정보화촉진기본법을 만들어 독자적으로 인증 업무를 추진하려 해 부처 사이에 알력이 있는 것으로 비치기도했다. 하지만 행자부가 양보해 정통부가 제정한 전자서명법에 따라 전자서명인증센터를 상위 인증 기관으로 인정했다. 행자부가 인증 업무를 수행함에 따라 국민들은 일일이 관공서를 찾지 않고 인터넷을 통해 간편하게 민원 서류를 떼거나 세금을 납부할 수 있다.

공인 인증기관마다 가상 공간을 활용한 경험이 달라 인증 업무에 필요한 체제를 갖추는 데 조금씩 차이가 있다. 한국증권전산과 금융결제원이 발빠르게 움직이지만 한국정보인증은 이제 회사 모양을 갖추느라 정신이 없다. 하지만 늦어도 올해 9월까지 시범 서비스를 거친 뒤 올해 말 본격 서비스를 시행할 계획이다. 가장 늦은 행자부는 내년 중에 서비스에 들어갈 듯하다.

공인 인증 기관과 별도로 정부가 보증하지 않는 민간 업체들도 인증 업무에 나선다. 바라인터내셔널(70쪽 상자 기사 참조)이나 시큐어소프트 같은 민간 업체들도 한국정보인증과 경쟁하기 위한 시스템을 갖추느라 분주하다. 인증 시장은 인터넷 사업이 낳은 황금알 가운데 하나로 꼽힌다. 인증 서비스 업체들은 인증 서비스를 대행하고 수수료를 챙긴다.

전자서명법은 전자 상거래 업체들의 숙원을 해결했다는 데 큰 의의가 있다. 하지만 인증 업체들은 전자상거래법의 몇 가지 조항이 잘못되었다고 지적한다. 우선 공인 인증 기관은 최소한 자본금 백억원이 넘어야 한다. 설립 조건이 까다로운 셈이다. 또 공인 인증 기관과 비공인 인증 기관을 구분했기 때문에 비공인 인증 기관인 민간 업체의 발전을 막을 수 있다. 미국과 일본을 비롯해 전자 상거래 선진국의 인증 시장은 민간 업체가 주도하는 것과 대조된다. 외국 인증 기관과 상호 인증 계약을 체결하는 업무도 정보통신부 산하 기관인 전자서명인증센터가 직접 나선다. 주도권을 정보통신부가 갖고 있는 셈이다. 인증 업체인 바라인터내셔널 김영수 사장은 “전자서명법은 반쪽 법안이다. 앞으로 보완·개선 작업이 절실하다”라고 말했다.