공동인증서

[image]

금융결제원(yessign)의 공인인증서 소개

1. 개요

---

'''구 전자서명법(2020. 6. 9. 법률 제17354호로 전부개정되기 전의 것)'''	'''현행 전자서명법'''
'''제3조(전자서명의 효력 등)''' ①다른 법령에서 문서 또는 서면에 서명, 서명날인 또는 기명날인을 요하는 경우 전자문서에 공인전자서명이 있는 때에는 이를 충족한 것으로 본다. ②공인전자서명이 있는 경우에는 해당 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 해당 전자문서가 전자서명된 후 그 내용이 변경되지 아니하였다고 추정한다. ③공인전자서명외의 전자서명은 당사자간의 약정에 따른 서명, 서명날인 또는 기명날인으로서의 효력을 가진다.	'''제3조(전자서명의 효력)''' ① 전자서명은 전자적 형태라는 이유만으로 서명, 서명날인 또는 기명날인으로서의 효력이 부인되지 아니한다. ② 법령의 규정 또는 당사자 간의 약정에 따라 서명, 서명날인 또는 기명날인의 방식으로 전자서명을 선택한 경우 그 전자서명은 서명, 서명날인 또는 기명날인으로서의 효력을 가진다.
'''제18조의2(공인인증서를 이용한 본인확인)''' 다른 법률에서 공인인증서를 이용하여 본인임을 확인하는 것을 제한 또는 배제하고 있지 아니한 경우에는 이 법의 규정에 따라 공인인증기관이 발급한 공인인증서에 의하여 본인임을 확인할 수 있다.	'''제6조(다양한 전자서명수단의 이용 활성화)''' ① 국가는 생체인증, 블록체인 등 다양한 전자서명수단의 이용 활성화를 위하여 노력하여야 한다.

'''공인인증서'''('''公認認證書''')는 대한민국에서 인터넷을 이용하여 금전거래를 할 때 인증을 위해 필요한 전자서명으로, X.509 V3 기반으로 인증서를 생성한다. 전자상거래시 본인만 해당 인증서를 갖고 있고, 본인만 인증서 비밀번호를 알기 때문에 본인임을 인증할 수 있는 전자서명으로 이용 가능하다.[1] 이는 스스로 보안을 한 계층 추가시켜주는 역할을 하며 은행 업무, 전자상거래, 전자민원 등에서 본인임을 증명하는 법적인 디바이스 역할[2]을 하는 반면, 이 때문에 한국에서 윈도우가 아닌 다른 운영체제로는 인터넷 거래가 불가능하게 되었다는 비판 역시 끊이지 않는다.[3]
TrueCrypt 등으로 암호화시킨 볼륨에 공인인증서를 넣어놓으면 컴퓨터 해킹이나 USB 메모리 분실 등으로 타인에게 유출되는 것을 예방할 수 있다.

2. 역사

---

1999년 전자서명법이 발효되자 전자정부의 초석을 다지기 위해 암호학 교수 11명이 모여서 연구를 시작했다. 그러나 연구 도중 상공회의소+행정부를 중심으로 한 축과 금융결제원, 은행, 보험 등 금융업계의 두 파벌로 나뉘었다.
이에 따라 전자는 모든 국민의 개인정보를 행정부가 보증하게 되었고, 입찰을 통해 사인 발급자로서 한국정보인증(KICA, Signgate)이 담당하게 되었다. 즉, 사인의 보증을 공적 주체가 맡게 된다. 반면 후자는 금융결제원(yessign)이 발급 주체가 되었고, 은행, 보험 회사들이 보증 주체가 되었다. 결국 보증을 사적 주체가 하게 되는 셈이다. 이 경우 금융 거래만 하는 사람만 금융결제원에 기록이 있으므로 대상이 제한되게 되었다.
이는 전자인감이 필요한 공적 증명을 행정부가 맡고, 일반 은행 거래 정도는 금융결제원이 한다는 초기 목표가 있었기 때문에 이뤄진 것인데... 문제는 1999년 당시엔 전자서명법은 발효되었어도 전자정부법은 아직 없었다. 그래서 '전자인감'이라는 개념은 효력이 없었고, 따라서 전자인감으로 인증서를 발급받을 만한 근거도 없었다. 이는 2001년까지 기다리게 된다.
이 과정에서 먼저 범용 인증서가 상공회의소, 전자정부, 학교를 중심으로 사용되게 되었지만, 일반 개인 인증서는 커버할 수 있는 부분이 매우 적어졌다. 즉, 개인이 결제하는데 인증서를 발급받고자 하면, 사인시 사적 보증을 서주는 은행의 커버 범위로만 한정되는 데다, 은행간 연동이 안되었던 것이다. 이후 타행 인증서를 만듦으로서 서로 연대보증하는 개념으로 이 문제를 해결하긴 했다. 이 와중에 은행권에서도 금융결제원(yessign) 자체가 보증을 서는 범용 인증서를 만들었다. 2001년 전자정부법이 나오기 전 불과 2년 사이에 아수라장이 되어버린 것이다.
2001년이 되어서 전자 정부법이 발효되고, 사람들이 대거 공인인증서를 쓰게 되자 불평을 한 건 당연한 일. 결국 전자서명법이 개정되었다.[4] 오직 정부만 보증 주체가 될 수 있고 보안을 강화시켰다. 다만 발급을 대행하는 곳을 한국정보인증(KICA), 한국전자인증(crosscert) 등등 여러 회사로 두게 하였다. 개정된 법에 따라 금융결제원(yessign), 은행 및 보험사는 범용인증서를 신규 발급할 수 없게 되었다. 이 과정에서 기존의 인증서들은 범용인증서로 이관이 되었다.[5]
2012년 1월 이후 인증서를 발급/갱신하게 되면 기존의 인증서보다 알고리즘이 강화된 인증서로 교체된다.
공인인증서는 20년 동안 진행되어 오다가 2020년 12월 10일부로 공인인증서의 법적 지위가 폐지되었다. 기존 인증 사업을 하던 업체들은 '공동인증서'로 이름을 변경하여 계속 서비스를 이어가고 있으며, 그외 다양한 다른 본인인증 방법을 사용해서 거래를 할 수도 있다.

3. 현황

---

현재 공인인증서는 개인용으로는 범용 공인인증서와 금융거래용 공인인증서를 받을 수 있다. 이 중 범용 공인인증서는 연간 4400원을 내야 하고 몇몇 웹사이트에서 신원 확인에 이용하거나, 일반적인 온라인 쇼핑몰 등에서도 사용할 수 있는 광범위한 용도를 가지고 있다. 금융 거래용 공인인증서는 무료인 대신 인터넷 뱅킹과 소액 금융거래 등에서만 쓸 수 있다. 이 외에 법인 및 단체용 공인인증서나 특수 목적용 공인인증서도 있는데, 이들은 연간 110,000원을 지불해야 한다.
발급은 전자서명법 제4조의 규정에 의하여 지정된 몇몇 공인인증기관[6]에서 가능하며, 은행, 증권사, 우체국 등 등록대행기관에서도 발급 가능하다. 발급 절차가 다소 귀찮은데, 신청서를 작성하고 공인기관을 '''직접''' 방문하여 번호를 발급받아야 한다. 한 번 신청한 이후엔 해당 기관 홈페이지 등에서 인증서를 다운받아 저장 매체에 저장할 수 있다. 유효기간이 있어 1년마다 갱신해야 한다.
재외국민의 경우 대사관이나 영사관 등 재외 공관에서 범용 공인인증서의 발급 신청을 할 수 있다. 신청자 본인[7]이 재외공관을 방문해서 신청서를 제출하고 인증코드 등을 받아서 한국의 공인인증기관 사이트에 접속하여 발급받는 방식이다. 국가 및 재외 공관마다 절차가 상이할 수 있으므로, 방문하려는 재외공관의 홈페이지를 확인할 것. 주 일본 한국대사관 공지.
주로 사용되는 분야는 은행의 인터넷뱅킹, 인터넷 쇼핑몰 실시간 결제 등이다. 인터넷 뱅킹 시 보통은 은행에서 발급해주는 무료 인증서를 쓰지만, 인터넷 쇼핑몰은 꽤나 많은 곳이 범용 인증서를 요구한다. 상술했듯이 은행에서 발급받은 무료 인증서는 증권사 거래에서 안 되고, 반대로 증권사에서 발급받은 무료 인증서는 은행에서의 거래가 안 된다. 몇몇 정부 사이트에 접속할 때에도 필요한데, 자격증 시험에 응시할 때라든가, 국가 장학금을 신청할 때라든가, 특히 병무청 접속, 예비군 홈페이지 접속 등에도 필수적으로 요구되어 군 입대자들과 예비군들을 귀찮게 하고 있다.
전자정부 시스템에서도 공인인증서를 사용한다. 이쪽은 행정안전부/교육부에서 발급하며 공무원, 소속 상근 직원이 사용한다. 예전에는 공문에 직접 날인을 했다면, 지금은 공인인증서로 전자서명을 하는 방식.
2014년 박근혜 정부가 '경제 민주화'에서 '규제 완화'로 방향키를 돌리며 첫 번째로 지목되었다. 박근혜 는 국무회의에서 당시 중국에서 인기를 끌었던 별에서 온 그대에 나온 천송이가 입고 나온 코트를 인터넷으로 구매하려는 중국인들이 공인인증서 때문에 옷을 구매하지 못하고 있다고 말하며[8], 공인인증서 제도를 개편할 것을 촉구했다.
결국 2014년 10월 1일 전자금융거래법 개정안이 통과되면서 공인인증서 의무사용 조항이 삭제됐다. 이에 따라 금융사는 자율적으로 보안 수단을 선택할 수 있다.
하지만 주의할 점은 공인인증서를 의무로 사용할 필요가 없어졌다는 것 뿐이지, 공인인증서를 써선 안 된다고 강제하는 건 아닌지라 이것은 순수히 기업들의 자율에만 맡기겠다는 의도이고, 말인즉슨 '''기업이 원하면 그냥 계속 공인인증서를 써도 된다'''는 뜻이기도 하다. 그리고 새로운 보안 기술은 당연히 만들고 적용시키고 적응하는 데 시간과 비용이 많이 들기 마련이고, 그렇게 구축해봐야 보안 책임을 전면 기업이 떠안게 될 테니 기업 입장에선 굳이 공인인증서를 포기할 이유가 없으므로 계속 사용될 가능성이 높다.
그나마 다행인 점은 '''그 MS가 직접 '''ActiveX 퇴출 압력을 넣고 있고, '''거세지고''' 있기 때문에 ActiveX가 필수인 공인인증서는 이것의 영향을 받아 당장은 아니라도 같이 퇴출될 가능성이 높다는 사실이다. 그리고 2015년 3월 18일 의무사용이 폐지됐다.
2015년 8월 19일, 정부에서 한 가지 발표를 했는데... 기사. 공인인증서를 발급하는데 ActiveX를 없애고, 대신 EXE를 이용하기로 하였다.[9] 이르면 오는 12월부터 시행할 것이라고 한다.
그런데 2015년 7월, 마이크로소프트에서 카운터를 먹였다. Windows 10을 출시하면서 기본 웹 브라우저를 마이크로소프트 엣지로 바꿨는데, ActiveX를 비롯한 모든 플러그인 기능을 없앤 것이다. 그나마 인터넷 익스플로러 11이 보조 프로그램으로 남아 있어서 부랴부랴 업체들은 윈도우 10 + IE 11에 맞춰서 플러그인 업데이트를 하는 걸로 대응했다. 2016년 5월 7일 기준 Edge로 금융거래가 가능한 것으로 파악된다. 옥션에서 결제 성공(URI Scheme 사용으로 추정된다).
그러나 두 달 후인 2015년 9월, 구글 크롬이 추가 카운터를 먹였다. 버전 45에서 NPAPI 지원을 깔끔하게 삭제해 버렸다. 마이크로소프트 엣지와 마찬가지로 exe 실행이 불가능한 두 번째 브라우저가 되었다.
결국 공인인증서 환경은 exe를 탈피하여 HTML5로 넘어가기 시작했다. 2015년 9월 국민은행이 "브라우저 인증서"라는 이름으로 아무런 플러그인을 설치하지 않고 HTML5로 동작하는 인터넷 뱅킹 환경을 만들었다. 뒤이어 신한은행이 12월부터 국민은행이 적용한 것과 동일한 솔루션을 적용, HTML5 환경의 인터넷 뱅킹을 지원하면서 조금씩 플러그인에서 탈피하려는 노력이 보이고 있다.
그러나 현 단계에서 이 HTML5 기반 공인인증서에는 한계가 있다. 암호화 및 전자서명 관련 기술의 표준화가 지체되고 있기 때문인데, 표준화된 전자서명 API가 없다 보니 브라우저나 운영체제가 지원하는 안전한 인증서 저장소를 이용할 수 없었고, 대신 개발사는 도메인 단위로 관리되는 일반적인 저장소를 이용했다. 그런데 이 저장소는 보안성이 보장되지 않는다. NPKI 폴더와 그리 다른 점이 없다는 말. 악성코드가 컴퓨터에 침입해왔다간 끝장이다. 따라서 이 솔루션 도입은 따로 프로그램 설치를 요구하지 않는다는 것에 의의를 둬야 할 것 같다. 게다가 외국에서는 웹 기반 전자서명의 니즈가 거의 없기 때문에, 표준화 논의 역시 큰 호응을 받지 못하고 있다. 외국 금융기관에서는 로그인 시 패스워드+OTP의 방식으로 접속자를 인증한다. 상식적으로 생각해도 네트워크에 온라인된 디스크에 파일 형태로 저장된 신분증(인증서)을 이용하는 것보다 오프라인의 독립된 물리 매체를 사용하는 게 훨씬 더 안전하다. 실생활의 계약이 인감도장이라는 물리매체에 의존하는 것처럼.
이미 모바일 부문에서는 각 금융권들이 홍채나 지문 등 생체인증으로 공인인증서를 대신하는 기술을 개발해 상용화하는 중이고, 이를 곧 인터넷 뱅킹에도 적용한다고 한다. 즉 액티브 엑스든 공인인증서든, 그동안 국내 인터넷 환경을 좀먹고 있던 요인들이 가까운 시일 내 사라질 확률이 매우 높다는 것.[10]
2017년 3월 2일 정부에서 공인인증서가 없는 인터넷 환경을 만드는 방안을 추진한다 한다. 기사.
2018년 1월 22일 정부는 공인인증서 제도를 폐지한다고 밝혔다. 기사. 정확히는 기사에도 적혀있듯이 공인 인증서의 '''우월적 지위'''를 바꾸겠다는 것이며, 공인인증서도 계속 쓸 수 있도록 하겠다고 밝히고 있다.
또한 공인인증서 의무 사용이 폐지되는 이후 '''공인'''이 아니기 때문에 '공동인증서'로 명칭이 변경된다.
2018년 8월 27일부터 폐지 수순을 본격적으로 밟는다. PC 기준으로는 9월 중으로 은행 순차적으로 폐지를 진행한다고 밝혔다. #
공인인증서 완전 폐지법이 제정될 예정이었으나, 자유한국당에서 공인인증서 완전 폐지에 반대함으로써 법안 통과가 무기한 연기되었다. # 공청회를 열어서 더 많은 목소리를 들어봐야 한다는 것이 야당의 의견이다. 2019년 2월에 방송 관련 공청회가 열릴 예정이므로 아무리 빨리 통과되더라도 2019년 3월 이후까진 기다려야 한다.
2020년 전자서명법 개정안 관련 전자서명을 이용하자는 의견이 나왔지만, 전문가와의 협의가 부족하다는 아쉬움이 나왔다.
그리고 2020년 5월 20일 21년만에 공인인증서를 폐지하는 내용을 골자로 하는 전자서명법 개정안을 국회에서 의결했으며, # 이어 6월 2일 국무회의에서도 의결되어 6월 9일 공포됨에 따라 2020년 12월 10일부로 '''공인인증서의 법적 지위가 상실되었다.''' 기존 공인인증서를 제공하던 인증 업체는 '공동인증서'로 이름을 변경하여 계속 서비스를 제공한다. 그리고, 그외 다양한 본인인증 서비스가 다른 민간 업체에 의해서 새로 생겨 났으며, 발급이나 사용도 간편하고 보안프로그램을 설치할 필요도 없다는 장점이 있어서 다양한 선택권이 주어지게 되었다.

4. 문제점

---

국내 공인인증서의 문제는 공인인증서를 개인이 하드나 USB, 핸드폰 등과 같은 별도 저장 장치에 저장해야 한다는 점과 공인인증서를 가동하기 위해 별도의 프로그램이 필요하다는 점이다. 이로 인한 문제점은 다음과 같다.

4.1. 저장 방식과 배포 방식으로 인한 보안상의 문제점

---

공인인증서는 사용자의 저장 장치에, 그것도 일반 폴더인 NPKI 폴더에 저장하기 때문에(원래는 웹브라우저에도 저장이 되는 것), 그냥 이 폴더를 복사해 가면 공인인증서를 복사할 수 있다. #[11] 일단 NPKI 폴더 내의 파일을 입수하기만 하면, 공격 대상자가 8자리(최소) 같은 허술한 비밀번호를 사용하면 브루트포스로 암호를 쉽게 알아낼 수 있다. NSA나 국정원이 아니라 일반인이 보안에 대한 약간의 지식만 있어도 할 수 있는 수준. 널리 퍼진 오해로 '공인인증서는 5회 암호를 틀리면 자동 폐기된다'는 것이 있는데, 이는 공인인증서 시스템 자체에서 구현된 것이 아니라 공인인증서를 쓰는 해당 은행/증권 프로그램에서 '눈 가리고 아웅'하기 위해 구현한 것이라서, 암호를 풀기 위한 별도 프로그램을 쓰면 무한대로 입력할 수 있다. 즉, 실제 현실에서 공인인증서 암호 검증 과정에는 서버와의 네트워크 통신이 필요 없다.
특히나 최근의 스마트폰 사용량 급증과 더불어서 이런 공인인증서 폴더의 해킹 사례는 더욱 증가했는데, 개인 핸드폰이 PC보다 보안이 취약하다는 점과 APK 파일을 비롯한 외부 프로그램을 쉽게 설치할 수 있다는 점 때문에[12] 공인인증서 폴더 탈취가 더욱 증가하고 있는 실정이다. 한국인터넷진흥원(KISA)에서도 이와 같은 문제를 인식하여, 보안토큰에 공인인증서를 저장할 것을 권고하고 있다. 기업금융이 아닌 경우 잘 쓰이지는 않지만 USB형태의 토큰이 있다. 이럴 경우 NPKI 폴더의 탈취를 막을 수 있으므로 1번에서 제기된 문제를 해결할 수도 있을 것이다.
복제가 불가능한 IC 카드나 USIM에 인증서를 탑재시 이 문제는 간단히 해결되었을 것이다. 사실 이렇게 하면 편의성 때문에 OTP와의 경쟁에서 밀려 사라지긴 했지만, 동급의 보안성을 인정받았던 HSM과 구조적으로 별 차이가 없다. 다만 이 경우도 지원을 위해 추가 플러그인 설치가 필요하단 문제는 피할 수 없다.
하다 못해 공인인증서 저장 시 자신이 원하는 디렉터리에 저장하고, 사용시에도 자신이 원하는 폴더에서 공인인증서 파일을 불러올 수 있다면 지금보다는 보안이 나았을 것이다. 좀 더 많은 사람이 하드 디스크 드라이브가 아닌 USB 메모리에라도 보관할 것이기 때문이다. 윈도우즈 XP에서는 C:\\Program Files\\NPKI 에 저장되었고, 윈도우즈 7 이상에서는 \%homepath\%\\AppData\\LocalLow\\NPKI 에 저장되는데, AppData는 숨김 폴더인 데다가 경로도 여러 번 거쳐서 들어가야 해서 USB 메모리로 복사하기도 힘들다. 그래서 사람들이 USB 메모리에 저장해놓고 쓰기보다는 컴퓨터 HDD에 저장해놓고 사용하기를 선호한다. 관리를 어떻게 하느냐에 따라 다르지만 일반적으로 HDD보다 USB 메모리가 보안상 더 낫다. USB 메모리는 기본적으로 해킹에 안전한 콜드 스토리지기 때문이다. 물론 컴퓨터 관리자가 컴맹이라면 콜드 스토리지조차도 위험하다.
TrueCrypt 등 암호화된 볼륨에 저장하면 좀 더 안전하게 사용할 수 있다.
요즘에는 각 은행마다 네이버나 다음 같이 아이디와 비밀번호를 입력하여 로그인한 뒤 은행 계좌를 조회할 수 있게 해놓았지만, 이체를 할 때는 공인인증서를 요구하게 되어 결국 이 방식도 한계가 있다. 그래서 간편비밀번호 또는 지문과 같은 생체정보 인식으로 로그인을 할 수 있게 하는 방법도 나오고 있다.

4.2. 국내 인터넷 환경의 보안공학적 취약화 및 보안프로그램 설치 강요

---

이에 대하여는 통계적으로 따져볼 때 맞다고 보기 어렵다고 주장하기도 한다. 2013년 경찰청에서 발표한 신종 금융 범죄[13] 피해에 따르면 총 발생 건수는 33,763건인데, 거기서 실제적으로 단말기가 털린 메모리 해킹의 경우에는 463건에 불과하기 때문이다. 이는 1%가 약간 넘는 수치인데, 페이팔은 한 달 부정 결제액의 추산을 3~5%로 하는 것을 고려해볼 때 이 주장은 설득력이 떨어지는 것으로 보인다.
그러나 위와 같은 솔루션에 대한 관점은 잘못되었다고 볼 수 있을 여지가 있다. 그 이유는 공인인증서를 사용하기 위해 깔리는 공인인증서 보안 솔루션이 '''보안공학적'''[14]으로 두 가지 큰 문제를 낳기 때문이다.

첫 번째 문제는 보안에 대한 전문 지식이 부족한 사용자에게 보안을 일정 부분 책임질 것을 강요한다는 점이다.[15][16] 결국 사회적으로 중요한 것은 금융 범죄를 얼마나 줄일 수 있는가이다. 당연히 더 많은 인력과 전문성을 확보할 수 있는 기업들이 보안을 책임지는 것이 맞다. 메모리가 해킹 당하든 스미싱을 당하든 금융 범죄가 일어났다는 사실에는 변함이 없으며, 단말기가 털리지 않았다고 문제 없다고 하는 것은 보안을 책임져야 할 사람들이 주워담는 면피성 발언에 지나지 않는다. 하지만 사용자 PC에 보안 솔루션을 깔았다는 이유로 법적 싸움에서 은행 및 오픈마켓 등은 '할 일을 다 했으니 책임이 없다'라는 판결이 나오기 쉽고, 그만큼 기업들은 보안에 자체적으로 투자하지 않고 단순 외주로 돌려버리게 된다.[17] 결국 이 부분은 대한민국 보안에 대한 정책기조의 문제다. 해킹으로 뚫릴 것을 어느 정도 예상하고, 사후 보상까지 고려하는 외국과는 달리 우리나라에서는 뚫리지 않는 상황을 가정하고 정책기조를 만들었기 때문이다. 기업이 최선의 노력을 다했어도 보안이 뚫렸다면 이것을 한계점으로 보는 것이다.

두 번째 문제는 보안 솔루션(보안프로그램)을 제공하는 기업들의 신뢰성이 부족하다는 점이다. 많은 사용자들이 치를 떠는 N프로텍트 같은 경우를 보면 쉽게 알 수 있을 것이다. 이놈을 깔면 프로그램 설정이 이상하게 바뀌고, 키보드 입력이 제대로 되지 않으며, 심지어 운영 체제를 죽이기까지 한다. 기본적으로 한 컴퓨터에 종류가 같은 보안 프로그램을 두 개 이상 설치함을 권장하지 않는다.[18] 그런데 다른 신뢰성이 높은 백신이나 방화벽이 많이 있음에도 불구하고 특정 제품군을 깔도록 강제하는 것은 좋은 상품을 선택할 권리를 막는 것이고, 이는 실제로 우리나라의 전체적 보안 상황에 악영향을 미치는 것이다. 특히 이렇게 단일 프로그램을 깔도록 만들면 크래커 입장에서는 해당 제품 제조사만 해킹하면 되기 때문에[19] 해킹하는 것마저 쉬워진다. 문제는 은행과 같은 금융 인터넷뱅킹 뿐 아니라 정부24라던가, 대법원전자민원센터 같이 인터넷 상에서 문서를 뽑는 등의 전자정부 서비스를 이용할 때도 보안 프로그램을 덕지덕지 깔아야 한다는 것이다.
온라인 거래에서 본인을 인증하는 수단을 마련한다는 기본 발상 자체는 그리 나쁘지 않았다고 볼 수도 있으나, 지나치게 세세한 부분까지 법으로 규제를 한 점. 특히나 해킹 이후의 사후 대처에 대한 고민을 충분히 하지 않고서 지나치게 친기업적인 정책 제안을 그대로, 생각 없이 받아들인 결과 현재와 같은 인터넷 환경이 조성되었다고 할 수 있다.
그리고 공인인증서의 가장 큰 문제로 지적되는 부분은 낮은 보안 의식을 가진 사용자가 공인인증서를 가지고 사용한다는 점이다. 외부 설치 프로그램이 나타나면 무조건적으로 확인도 하지 않고 확인을 누른다. 국내 인터넷 환경은 지나친 ActiveX의 남용과 더불어 '''ActiveX를 설치하지 않으면 진행이 되지 않기 때문에''' 익스플로러를 오래 사용한 사람이라면 습관적으로 확인 버튼을 눌러버린다. 또한, 컴퓨터에 관심을 갖지 않는 일반 사용자가 ActiveX 컨트롤러 개발 회사를 얼마나 알까? 기본적으로 ActiveX를 설치하겠냐는 물음에 '아니요'를 누르면 결제가 안 된다. 그러니 설치하겠냐는 물음이 뜨면 조건반사적으로 예를 누르게 되고, 결국 잘 알지도 못하는 프로그램을 무작정 설치 및 실행해버리는 것이다!
이런 문제에 더욱 불을 붙이는 건 법원과 정부의 대응이다. 사고가 터졌을 때 법원에서 가장 먼저 확인하는 것은 기업에서 보안 솔루션을 완벽하게 갖추었는지이다. 특히나 개인이 해킹과 같은 문제를 당했다면, 기업에서 지정한 절차를 지켰음에도 개인의 부주의로 해킹을 당했음을 완벽히 증명해야 한다. 판례 1, 판례 2. 위에도 나오지만 정말 IT에 무지해서 그렇다는 생각은 순수한 사람 인증이라고 본다.
따라서, 기업에서는 이런 책임을 면피하기 위해 공인인증서 외에도 안전하게 사용할 수 있도록 외부 프로그램들의 설치를 강요하고 있는 게 현실이다. 당연히 이런 보안 프로그램의 설치는 어느 정도 안전성을 보장해주나, 문제는 기업에서 면피용으로 대충 설치해놓고 업데이트를 안 할 때이다. 쉽게 설명하자면 백신을 사놓고 '''1년간 업데이트를 안 하는 것이다!!!''' 그야말로 끔찍한 상황.[20]
특히 회사마다 이런 보안 솔루션 ActiveX의 적용 방식이 다른 만큼, 자기들끼리 버전이 달라 서로가 서로를 공격하는 막장도 높은 상황까지 보이기도 한다. 그럼에도 이 문제를 해결해야 할 기업은 예산이 없다는 변명 하에 투자를 하지 않고 있고[21], 이를 철저히 감시해야 할 정부 역시 예산 문제와 인력 문제를 이유로 들며 제대로 감시하지 않고 있다. 이현령비현령[22]의 뫼비우스의 띠와도 같은 상황. 이렇기 때문에 오픈넷을 비롯한 다수의 유저는 이런 현상들이 오히려 공인인증서의 보안을 좀먹을 수 있는 현상을 경계하고 있다.
개인이 공인인증서의 문제점을 보완하기 위해 추가적으로 부담하는 비용 역시 부담으로 작용할 수 있다. 보안 토큰이 약 5천원 정도의 돈을 내고 은행에서 사야 하는 단점이 있는 것은 물론[23], nProtect라든지, XecureWeb 등의 프로그램이 거래 이후에도 컴퓨터의 자원을 차지하고 있는 것 역시 문제다. 이런 프로그램이 보안이 필요한 상황에서만 작동하고 종료되면 큰 문제가 없는데 그렇지가 않으니...[24]

4.3. 사용자에게 보안 책임 전가

---

한국에서는 흔히 말하는 Zero Liability가 사실상 제대로 적용되지 않고, 여러 언론 보도를 통한 실태를 보았을 때 '''공인인증서는 전적으로 사용자에게 책임을 전가하기 위한 악습이 맞다.'''
바로 위 문단에서 언급한 판례 1, 판례 2을 두고 공인인증서 옹호론자들은 ''''어쨌든 보상을 받지 않았느냐? 그러므로 Zero Liability가 제대로 적용되는 것이 맞다. 공인인증서의 문제가 아니다''''라고 하고 있는데, 정작 이것이 '''법원 판례'''라는 것은 망각하고 있다. 은행이 사용자 책임을 주장하며 보상을 회피했기 때문에 법원까지 가서 판결받은 것이다. 즉, 한국에서는 금융 사고가 발생했을 때 이를 법원까지 끌고 가야 '''겨우''' 보상을 받을 수 있다는 것이다. 거기에다가 법원에 소를 제기하기 위한 각종 비용[25]까지 포함하면 '''금융 사고에 대한 금융사 책임 입증을 위해 이런 개고생을 해야 한다는 것'''이다.
그렇다면 언론 보도에서 공인인증서를 어떻게 표현하는지 보자.
노컷뉴스.

보안 키를 관리하지 못한 소비자 책임일까, 아니면 해킹된 공인인증서로 인출해준 은행 책임일까? 비대면 거래인 인터넷 뱅킹이나 모바일 뱅킹에서는 개인정보와 금융정보, 특히 공인인증서와 보안카드 등을 사용해야 한다. 하지만 개인이 PC와 집 열쇠와 같은 공인인증서를 제대로 관리하지 못했다는 이유로 금융사고 대부분의 책임은 금융소비자들에게 돌아가 제대로 보상을 받지 못하는 것이 현실이다. 금융사는 탈취된 공인인증서와 개인정보라 하더라도 비대면 본인확인 절차를 거쳤다면 사실상 면책된다. 책임은 대부분 공인인증서를 관리하지 못한 소비자 탓으로 돌아간다. 2014년 정부가 공인인증서 의무화를 폐지했지만 금융사들이 공인인증서를 포기하지 않는 이유다. 공인인증서는 표준 암호화 기술인 공개키기반구조(PKI)를 활용해 보안성이 높지만 사용자 관리 측면에서 해킹되거나 외부에 노출될 가능성이 크다. 금융사고 피해자들은 금융사들이 공인인증서 시스템만 요구하고 다른 인증 시스템에 대한 선택권은 주어지지 않고 있다고 지적한다. 이때문에 금융사고 책임을 소비자가 져야 하는 불합리한 구조를 깨뜨려야 한다는 주장이 계속되고 있다.

경향신문

첫째, 우리의 공인인증제는 국가가 모든 것을 ‘방역’한 이후 발생하는 어떠한 문제도 사용자에게 전가하는 ‘편리함’ 위에 유지된다. 일단 필요한 절차만 밟고 나면 국가도, 은행도, 판매자도 책임에서 벗어나고 모든 책임은 신성한 공인인증서를 잘못 사용한 개인에게 돌아가기 때문이다. 그리고 우리는 유독 한국에서 빈번한 온라인 범죄와 금융 사기의 책임을 개인들이 진다는 것 또한 잘 알고 있다. 둘째, 국가가 개인의 모든 거래행위에 개입하는 순간 자동적으로 발생하는 이권이 무엇이며 어디로 향하는지를 눈여겨봐야 한다. 공인인증서를 발급하고 관리하며 비밀번호 생성기와 지문인식기를 구입하고 교체하는 데 천문학적 비용이 들어갈 것은 명약관화하다. 은행과 업체들이 당연히 부담해야 할 보안 솔루션 개발비 대신 이들은 확실하고 총체적으로 책임을 면해줄 공인인증 시스템의 유지 비용을 기쁘게 지불하고 있겠지만 결국 그 비용은 개인 사용자와 소비자에게 전가되고 있을 것이다.

경기일보

하지만 소비자 일각에서는 카카오뱅크 등 인터넷은행이 생기자 뒤늦게 시중 은행들이 움직인다는 지적이 나온다. 2015년 공인인증서 의무사용제도가 폐지됐지만 시중은행 홈페이지 등에서 온라인 거래를 하려면 공인인증서를 발급받아야 하고 매년 인증서 유효기간을 갱신해야 한다. 계속 공인인증서를 고집해오다 강력한 경쟁자가 나타나자 대응에 나선다는 비판이다. 한 금융권 관계자는 그동안 은행이 공인인증서를 고집해온 이유에 대해 “금융사고가 발생하면 은행이 책임지지 않기 위해 공인인증서를 사용하는 것”이라고 주장했다. 사용자가 인증서를 PC나 공공장소의 PC에 보관했다가 인증서가 유출돼 사고가 나면 은행이 책임질 의무가 없다.

데일리한국

한 전산업계 인사는 “금융결제원은 수익을 얻고 금융위와 금감원은 공인인증서 정책을 유지하면서 이에 따른 권한을 누리고 있다”며 “공인인증서 제도 덕택에 은행은 면피하고, 보안 업체는 보안 프로그램을 팔고 있다”고 말했다. 이어 “공인인증서 시스템이 요구하는 보안 정책을 수립하면 사고가 나도 책임 지지 않기 때문에 우리나라 모든 인터넷 기업이 덕을 보고 있다”고 덧붙였다.

이렇게 '공인인증서는 사용자에게 보안 책임을 전가하기 위한 수단'이라고 성토하는 언론 보도는 넘쳐나지만, '그렇지 않다, 그건 오해다'라는 보도는 결코 존재하지 않는다. 따라서 zero liability 운운하며 공인인증서를 옹호하는 것은 호도에 불과하다.
공인인증서는 보안 관리를 인증서의 보관처럼 사실상 개인에게 하도록 하고 있으며, 여기에 은행이 보안 프로그램 서비스를 제공하고 있으니 보안사고가 터져도 은행 입장에서는 보안 조치를 할 만큼 했으니 결국 개인의 부주의로 인한 사고로 떠넘길 수 있다. 결국엔 은행들의 책임 회피 수단으로 악용되고 있는 것.

4.4. 소액결제의 불편함

---

또한 비교적 소액 결제에서도 공인인증서를 무분별하게 남용하는 것 또한 문제이다. 현행 제도법상으로 30만원 이하는 소액 결제로 취급되어 공인인증서 없이 결제가 가능하나(대표적으로 스마트폰 영화 예매나 기차, 버스 예매 등) 대부분의 회사에서는 결제 금액이 얼마인지 예상되지 않는다는 이유로 결제 과정에서 공인인증서 결제 관련 플러그인에 강제로 연결시킨다. 당연히 기업 입장에서는 관리와 유지에서의 유용성 때문에 그렇지만, 이러한 보안 조치는 얼마 되지도 않는 거래에서 역시 많은 절차를 요구하므로 몹시 피곤한 방식이다. 이 부분에 대해선 기업이 조속히 해결해줘야 하나 귀찮다는 이유로 놔두고 있다. 아무리 소액결제 금액을 50만원으로 늘려도, 결국 금융사나 인터넷 쇼핑몰에서 해주지 않으면 그만인 것이다! 결국 기업이 소비자의 요구를 충족해서 개선해 줄 의지가 얼마나 있느냐에 달린 문제.

4.5. ActiveX 기반 서비스로 인한 운영체제/브라우저의 호환성 문제

---

공인인증서를 사용 가능하게 하는 모듈 상당수를 보안 업체가 개발하는데 대부분이 ActiveX 기반이며, 사용자에게 관리를 맡긴다는 것. 공인인증서 기반기술 자체가 액티브X 기반이 아니기 때문에 해외에서 인증 기술을 사용하는 국가에서는 플러그인 없는 인증 서비스를 제공하고 있으며, 우리나라에서도 공인인증기관을 중심으로 플러그인 없는 공인인증 서비스를 제공하고 있지만 금융기관 등에서는 방화벽, 가상 키보드 등과 패키지로 액티브X 기반 공인인증 서비스를 제공한다.
다시 말해 마이크로소프트 사에서 만든 윈도 운영체제에서 인터넷 익스플로러를 이용하지 않고서는 공인인증서를 사용할 수 없는 것처럼 인식되는 경우가 많다. 대한민국에서는 대부분 사람들이 윈도우/IE로 인터넷을 사용했었기 때문에 이 문제에 대해 지적하는 사람들은 극소수였으나, 스마트폰 도입 이후로는 언론사에서도 까기 시작했다. 결국 이러한 문제가 지속적으로 제기되어서 현재는 정부에서도 크로스 브라우징 지원 권고가 이루어지고 있으며, Java 애플릿이나 어도비 플래시를 이용하는 결제 시스템이 도입되고 있기는 하지만, 아직 이용할 수 있는 곳도 많지 않고 이용 중 문제가 생기는 경우도 종종 발생한다. 그리고 현재 크롬 등의 다른 브라우저를 사용하는 사람도 상당히 많아져서, 지적을 받게 되었다. 최근에는 크롬 등 인터넷 익스플로러 이외의 브라우저로 인터넷뱅킹을 이용할 수 있게 되었지만 확장 프로그램을 추가로 설치를 요구하는 경우도 있어서 울며 겨자 먹기로 익스플로러로 인터넷 뱅킹을 하는 경우도 있다.
하필 액티브X를 이용하는 이유는 여러 가지가 있는데, 첫째는 공인인증서가 처음 나오기 시작할 때에는 SSL(Secure Sockets Layer)[26]]로 '''56비트 암호키만 이용할 수 있었기 때문'''이다. 당시 미국에서 수출 제한을 두어 이용할 수 없었기 때문. 이 때문에 당시 최신 브라우저였던 IE 4.0은 40비트 암호화 버전과 128비트 암호화 버전이 있었는데, 해외 다운로드는 40비트 암호화 버전만 가능했다. 56비트는 너무 허술했기 때문에 '''좀 더 복잡하고 안전한 키를 이용하기 위해''' 독자적인 암호화 방식인 SEED를 이용하였다. 그리고 SEED를 웹 브라우저에서 직접 지원하질 않으니 플러그인을 통해서 이용하는 수밖에 없었는데 하필 선택한 게 ActiveX(...) [27]
이후 미국의 암호화 수출 제한은 풀렸으나, 이미 액티브X와 SEED를 이용하는 시스템이 너무 퍼져버렸고 그대로 고착화되었다. 또한 다른 브라우저들의 저조한 이용[28]과 기업들의 게으름으로 인해 익스플로러 이외에서 공인인증서를 이용할 수 있는 시스템은 오랫동안 제대로 개발되지 않았다.
결국 2010년에 와서야 방송통신위원회에서 액티브X를 퇴출시킬 것[29]이라 발표하면서, 공인인증서를 어떤 방식으로 뜯어고칠 것인가에 대해 관심이 집중되었다. 일단 임시방편으로 '''조금 사용자가 많은 일부''' 웹 브라우저에서 오픈뱅킹을 시작했고, 스마트폰 전용 뱅킹도 추가되었다.
다만 웹 기반 시스템을 실제 금융권에서 찾아보기는 아직 어려운 실정이고, 저 오픈뱅킹이라는 것 상당수가 사실 '''액티브X와 상당히 유사한''' NPAPI에 의존한다는 게 문제다. 파이어폭스, 크롬, 사파리 등 IE 제외한 상당수가 NPAPI를 지원했으나 '''2013년 12월''' 예정인 크롬을 시작으로 크롬과 파이어폭스에서 '''지원이 종료된다.'''[30]
2014년 9월 23일. 금감원에서 전자상거래 결제 간편화를 발표하였다. 이에 따라 '''빠르면 2015년부터 대형 금융사를 우선으로 액티브X는 사라질 것으로 보인다'''.
또한 정부는 공인인증서를 HTML5 기반으로 바꾸기 위한 작업도 진행한다고 한다. 하지만 은행들이 웹 기반 공인인증서의 보안성을 의심하고 있고, IE7/IE8 등의 구형 웹브라우저까지 지원할 것을 요구하느라 난항을 겪는 상태라고 한다.[31] #
바로 아래에서 언급되는 다소의 장점들도, 어디까지나 윈도 이용자들을 기준으로만 했을 경우이며, 당연히 리눅스와 macOS 이용자들에게는 전혀 해당 사항이 없다. 브라우저의 호환성 문제는 어느 정도 해결되었으나 운영체제의 호환성 문제는 여전히 제자리걸음인 셈.

4.6. 짧은 유효기간과 타행 등록을 일일이 해야 하는 불편함

---

공인인증서는 유효 기간이 고작 1년밖에 되지 않으며, 만료일 30일 전이 되어야만 갱신이 가능해진다.
또한 갱신을 하면 그동안 등록해온 타행인증서 등록도 전부 초기화되어 각 은행 인터넷뱅킹에 일일이 접속하여 하나하나 타행등록을 해야만 한다. 타행 은행 계좌가 많은 사람은 정말 귀찮아질 수밖에 없다. 이러한 공인인증서의 짧은 유효기간을 개선하여 유효기간이 3년으로 연장한 뱅크사인 서비스가 출시되었지만, 아직도 공인인증서에 비하면 개선할 점이 많다.[32]

5. 장점?

---

위와 같은 문제점에도 불구하고 우리나라에서 공인인증서가 계속 쓰였던 이유로는 나름대로 장점이 있기 때문이었다. 인터넷 도입 초기 시절, 검증되온 보안 성능을 바탕으로 온라인 금융 서비스 등이 활성화 될 수 있었으며 해외에서도 본인 인증 수단으로 사용할 수 있었다. 그러나 현대에 와서는 불편은 가득한데 '''차별화되는 장점'''은 갈수록 없어져 국민들의 불만이 폭주하였고, 결국 대한민국에서도 2020년 12월 10일부로 의무 사용이 폐지되었으며 법적 지위를 상실하였다.

5.1. 오랫동안 검증된 보안 성능

---

공인인증서를 비판하면서 흔히 볼 수 있는 '공인인증서는 낡은 암호체계를 이용하는 구닥다리 기술이다' 라는 주장은 사실이 아니다. 한국의 공인인증서가 채용하고 있는 SEED 등 암호화 알고리즘은 40년 넘게 사용된 PKI에 기반한 공개키 인증 방식임은 사실이지만, 40년 동안 보안성을 인정받았기에 계속 사용해 온 것이다. 오히려 보안 업계는 검증되지 않은 새로운 알고리즘을 좋아하지 않는다.[33]
MITM을 비롯한 각종 멀웨어와 자동화된 해킹 위협에 어느 정도 대처가 가능하다. 링크 1, 링크 2.
참고로 최초 국내에 공인인증서를 도입하기 전, 공인인증서를 제안한 개발자가 이러한 취약성에 대한 문제를 우려하여 보안 토큰에 저장하는 것을 권장하였으나, 정부에서는 보급화를 우선시하여 보안 토큰이 아닌 HDD에 저장하는 것으로 결정하였다는 카더라도 있다.
그러나 RSA와 AES를 사용하는 TLS가 표준화된 현재는 완전한 옛말이라고 할 수 있다. RSA와 AES역시 오랜 기간 전 세계적으로 널리 사용되어 어느 정도 검증되었다고 할 수 있는 암호화 알고리즘이며, TLS에서 AES를 써먹을 때엔 256 혹은 512비트로 암호화하는 경우가 많기때문이다.(SEED는 128비트)

5.2. 온라인 금융 서비스 및 온라인 관공서 서비스 이용의 편의성

---

전자서명 기능을 수행하는 공인인증서가 있으므로서, 집에서 편리하게 정부24와 같은 사이트에 접속하여 관공서의 문서를 열람할 수 있으며[34] 금융 결제도 간편하게 이용 가능하다.[35] 유럽이나 미국, 일본 등에서 서류 몇 통을 떼기 위해 몇 주간 관공서를 방문하고 세무 신고를 위해 은행에서 끝없이 줄을 서 있는 점들을 고려해 본다면, 구현 방식이 잘 적용된 공인인증서는 사용자를 무척이나 편리하게 할 수 있는 점을 알 수 있다.
많은 사람들이 믿고 있는 것과는 다르게, 공인인증서는 SSL 등의 장치처럼 보안만을 위해 추가된 장치가 아니며, 오히려 신분 증명의 법적인 장치에 더 가깝다. 은행에 신분증과 본인 얼굴을 들고 가는 것을 공인인증서가 대체하는 것. 애초에 그럴 용도로 만들어졌다.[36] 외국도 본인 인증이 반드시 필요한 경우(관공서 업무, 법적 서명 등) 비슷한 법적인 장치가 있으며, 없으면 해당 기능을 제한해 놓은 경우가 많다. 차이라면 그러한 법적인 장치가 하드 디스크에 덜렁 들어있는 인증서 파일이 아니라 기관에서 발급해 주는 스마트카드라는 것. 하지만 보통 스마트카드는 군인 또는 연방공무원들에게나 발급되고, 개인의 경우 은행 계좌를 열 때 본인임을 확인하고, 인터넷 뱅킹 계정을 등록 또는 이용할 때는 '내가 정말 본인입니다' 라는 체크박스에 법적인 지위를 부여해 놓은 정도밖에 없다. 물론 은행 지점에서 인터넷 뱅킹 계정 등록용으로 일회성 비밀번호를 제공하거나, 또는 직불카드의 번호를 물어보니 아무나 도용이 가능한 것은 아니다. 그에 비해 공인인증서는 비밀번호를 개인이 가진다는 전제 하에 넷상의 모든 전송이 알고리즘상으로 본인 확인이 되고, 체크박스처럼 위변조가 불가능하며 법적 지위 또한 갖는다. 이러한 제도적 장치를 마련해놓지 않은 외국에서는 인터넷상에서 공무를 보는 것에 큰 제한이 있다. 불편한 공인인증서로 행정 정보를 열람하는 게 아예 공인인증서 없이 아무런 행정 정보를 열람할 수 없는 것보다 나은지는 각자 판단하자.
북미에선 카드 번호 및 만료일자, 그리고 이름 등의 몇 가지 정보만 유출되면 카드가 그냥 도용된다. 미국은 온라인 결제에는 카드에 기록된 정보만 입력하면 아무 확인 없이 결제가 가능하기 때문이다. 심지어 오프라인에서도 신용카드라면 서명 하나로 결제가 가능하고, 직불카드일 경우에만 비밀번호를 입력해야 하는 구조다(심지어 음식 배달 등 일부 업소의 경우 직불카드조차도 비밀번호가 필요 없다). 그래서 은행 및 카드사들은 미국에 거주하는 고객이 생활권 이외에서 결제를 하면(분명히 계속 서부에서 체류하며 결제를 하는데 뜬금없이 동부에서 결제가 일어난다든지) 결제 내역을 체크해서 카드를 즉시 일시 정지시키고 고객에게 확인 전화 또는 문자를 보낸다. 편의를 위해 보안성을 낮추고 이를 다른 방법으로 보완하는 구조다.
하지만 실제 도용이 확인될 경우 고객이 항의를 하든 말든 카드를 즉시 정지시키고 새 카드를 우편으로 보내주는데, 이게 아무리 빨라도 하루이틀은 걸리니 운이 나쁠 경우 매우 불편해질 수 있다. 미국은 한국 같지 않아서, 급하게 돈을 써야 하는 일이 있다고 항의를 하든 말든 미안하다는 말만 반복하고 도용된 카드는 절대 계속 쓰도록 허가해 주지 않는다. 가장 좋은 방법은 같은 은행에 최소 두 계좌를 개설해 두고 사용하는 것. 이러면 한 카드가 정지당해도 다른 카드로 돈을 옮겨 즉시 이용할 수 있다. 아니면 가능하면 신용카드를 개설하는 것도 방법이다.
이전 서술에서는 미국에서는 피해 보상 처리가 매우 느려터져 답답하다는 식으로 서술되어 있었는데, 일부만 사실이다. 미국에서 잠시 체류하다 가는 대부분의 한국인은 사회보장번호가 없으므로 외국인 자격으로 은행 계좌를 개설하고 직불카드를 사용하다 가서 신용카드 사용을 경험할 기회가 없지만, 사실 미국의 직불카드와 신용카드의 피해 보상 처리 과정에는 큰 차이가 있다. 직불카드는 피해 신고가 접수될 경우 금융기관에서 조사에 들어가고, 일반적으로 60일 전후로 걸리는 조사가 완료되어 피해 사실이 확인될 경우 피해금액을 돌려주게 된다. 반대로 신용카드의 경우 피해 신고가 접수되자마자 피해 금액을 돌려주며, 조사가 완료되었는데 피해 사실이 확인되지 않을 경우 금액을 재징수하게 된다. 이는 많은 미국인들이 직불카드보다 신용카드 사용을 선호하는 한 이유가 되기도 한다.

5.3. 해외 거주자의 본인 인증 수단

---

한국 신용카드 및 한국 핸드폰이 없는 해외 장기 거주자의 경우 본인 인증 수단으로서 여전히 유효하게 쓰이고 있다. 단, 최근에는 해외로 SMS 발송이 가능한 알뜰폰 및 선불폰을 이용해서 비교적 저렴하게 휴대전화 본인인증이 가능하다.
그 밖의 인증 수단으로 아이핀이 있으나, 아이핀 발급에도 한국 핸드폰이나 범용 공인인증서가 필요하기 때문에 결국 무한루프 이다.
하지만, 신한은행이나 기업은행 등의 은행은 출국 여부만 체크하고, 보안카드 혹은 OTP만 있으면 한국 핸드폰 번호가 없더라도 발급이 가능하고 있다.

6. 공인인증서 해외 유출 사고

---

개인의 공인인증서 7천여 개가 해외로 유출된 것으로 알려졌다. 관련 기사.
한국인터넷진흥원(KISA)의 보도 자료에 따르면, 악성코드를 이용한 유출 시도로 추정되는데, 공격 서버 IP를 차단하고 피해자에게 유출 사실을 알리는 것으로 조치를 취했다고 한다. 현재 보도된 것과 관련한 피해 사실은 없는 것으로 밝혀졌다. 보도 자료.
아예 공인인증서를 노리는 파밍 바이러스가 존재한다. 금용감독원 팝업창을 띄우고 보안카드와 비밀번호를 누르도록 유도하는데 이에 낚이지 말자. 모든 정보를 입력하는 순간 정보가 다 유출된다.

7. 공인인증서에 관련된 오해

---

'''Q. 공인인증서와 SSL은 서로 대체 가능하다?'''
한양대 김인성 교수가 그린 웹툰 때문에 이런 인식이 퍼졌지만, 혼동을 줄 수 있으니 좀 더 주의해서 사용하는 것이 좋다. 해당 웹툰에서 말하는 건 단순 SSL이 아니라, 공신력을 가진 인증 기관에서 발급한 EV 인증서를 사용하는 EV-SSL이다. 공인인증서에 대응되는 것이 EV 인증서이고, 공인 인증이 개인 인증에 해당한다면, EV-SSL은 서버 인증에 해당한다. 공인인증서는 개인이 '자신'임을 입증하는 인감이라면, EV-SSL은 해당 서버의 안전도가 '공신력' 있는 기관으로부터 인증되었음을 확인해 준다. EV 인증서를 발급받으려면 베리사인 같은 인증 기관의 기준을 통과해야 하니, 분명 EV-SSL은 그 자체로서 통신 보안에 대한 신뢰성을 부여하는 셈이다. 따라서 기술적인 관점에서 공인인증서와 EV-SSL은 대칭적이다.
하지만 EV-SSL에서는 사용자 각각에 대한 인증이 이루어지지 않기 때문에, 공인인증서가 가진 본인 확인과 부인 방지 기능을 수행할 수 없다. 한국 정부가 공인인증서에 목을 매는 이유가 이것이다.

8. 종류 및 발급처

---

• 범용인증서

• 은행/카드/보험

• 증권/카드/보험

• 사업자용 공인인증서

8.1. 발급 방법

---

은행(증권용 인증서는 증권사)에서 공인인증서를 만들려면 해당 은행을 방문[40]하여 인터넷뱅킹을 신청하고 해당 은행의 공인인증서를 생성한다.[41] 공인인증서를 만들고 나면 1년마다 갱신을 해야 하는데, 반드시 해당 은행의 앱이나 인터넷뱅킹을 이용해야만 갱신이 가능하며, 나중에 암호 오류와 같은 상황으로 인터넷뱅킹이 정지되어서 영업점 방문 상황도 있을 수 있기 때문에, 내 주변에서 가장 가깝거나 많이 분포해 있는 은행에서 발급받는 것이 유리하다. 공인인증서는 무조건 한 기관에서 발급 받으면 타 기관에서 발급이 불가능하고 무조건 타 기관 인증을 통해 등록해서 사용해야 한다. 만약에 발급한 은행을 바꾸고 싶다면 해당 공인인증서를 폐기하고 다른 은행에서 공인인증서를 재발급 받으면 해결된다.
하지만 요즘은 모바일에서 은행 비대면 개설 계좌도 가능해져서, 비대면 계좌 개설과 동시에 인터넷뱅킹을 신청하는 것도 가능하다.[42]

9. 저장 매체

---

공인인증서를 저장할 수 있는 매체 리스트

• 브라우저
• 하드디스크
• 외장하드
• USB메모리, SD메모리카드
• 금융IC카드
• 보안토큰
• 휴대전화

9.1. 저장 매체 이용시 주의점

---

공인인증서를 발급 또는 갱신하고 타행 등록까지 마쳤다면, 반드시 USB나 SD카드와 같은 비상용 저장매체에 공인인증서를 복사하여 저장해두는 것이 좋다. 나중에 PC나 노트북, 휴대전화가 고장나거나 분실되는 상황에 유용하다. 또한 PC와 휴대전화를 포맷이나 공장초기화 할 때 백업 프로그램[43]을 이용하여 데이터를 복원하는데, 백업을 전적으로 신뢰하지 말고 반드시 공인인증서와 같이 필요한 것은 USB와 SD카드에 담는 것이 안전하다. 만약에 백업이 잘 되지 않아 공인인증서가 초기화 되버리면 기껏 힘들게 한 갱신이나 타기관 등록을 다시해야 하는 귀찮은 상황이 발생할 수도 있으니, 무조건 다른 저장매체를 준비하여 저장해두자. 만약에 그러한 저장매체가 없다면 일단은 PC와 스마트폰 양쪽에라도 저장해두자.[44]

10. 공인인증서 관리

---

10.1. 공인인증서 재발급

---

공인인증서의 유효기간이 만료되거나[45] 또는 공인인증서가 들어있는 저장매체를 잃어버린 사유 등으로 재발급이 필요한 경우, PC 인터넷뱅킹이나 모바일 은행 앱
에 접속하여 공인인증센터에 들어가서 재발급을 선택하여 단계 과정을 거치면 된다.[46] 공인인증서 재발급은 무조건 공인인증서를 발급받은 은행에서만 가능하니[47] 참고. 재발급 과정에는 금융 ID(공인인증서 발급 때 만들었던 아이디), 주민등록번호, 핸드폰 본인 인증, 해당 은행 계좌번호, 계좌 비밀번호, 보안매체(보안카드 또는 OTP), 신분증 등 여러 가지 개인정보를 요구하니 미리 준비해두는 것이 좋다. 만약에 공인인증서를 재발급하면 예전에 복사해놨던 공인인증서는 전부 사용이 불가하므로 다시 복사해서 붙여넣기 하자. 그리고 타행 인증서 등록도 전부 해제되므로 다시 타행 등록을 해야 한다.

10.2. 공인인증서 갱신

---

공인인증서는 유효기간이 만료되기 30일 전에 갱신을 할 수 있다. 만약에 만료일이 지나버리면 갱신이 불가능해져 재발급을 해야 한다. '''만료 30일 전에 재발급을 한다고 갱신 효과를 볼 수 있는 것이 아니고 무조건 갱신을 선택해야 한다.''' 갱신하고 나면 재발급 때와 마찬가지로 기존의 복사해둔 인증서는 사용이 불가능하며 타행인증서도 초기화되어 다시 타행 등록을 해야 한다.

10.3. 타행/타기관 인증서 등록법

---

타행/타기관 인증서 등록이란 자신의 공인인증서를 타행 은행에서도 사용할 수 있도록 해주는 것이다.[48] 타행/타기관 인증서를 등록하려면 먼저 타행 은행 영업점에 방문하여 인터넷뱅킹에 가입하거나 또는 비대면 계좌 개설을 하면서 동시에 인터넷뱅킹에 가입하면 타행/타기관 인증을 할 수 있게 된다.[49] 공인인증센터에 들어가 타행/타기관 등록을 눌러 완료하면 된다. 여기서는 보통 보안매체(보안카드, OTP)를 등록한 다음 간편하게 인증만 하면 되므로 재발급보다는 간단한 경우가 많다. 만약에 공인인증서를 재발급하거나 갱신을 하게 되면 타행 등록도 전부 초기화 되므로 다시 타행 등록을 해주어야 한다.

10.4. 공인인증서 폐기

---

공인인증서 폐기는 말 그대로 내가 사용하고 있는 공인인증서를 폐기하여 더 이상 사용할 수 없게 만드는 것을 말한다. 보통 폐기를 하려는 목적은 크게 공인인증서를 재발급해야 하는데 마침 유효기간이 얼마 남지 않았던 경우[50]나 또는 발급 은행을 바꾸어 공인인증서를 관리하고 싶을 때[51]인 경우이다. 공인인증서를 폐기하려면 무조건 처음 발급받았던 기관(은행)에서만 폐기가 가능하니 참고.

11. 공인인증서 복사하기

---

11.1. 금융 기관 현황

---

PC나 안드로이드 계통 모바일 기기에서 아이폰이나 아이패드 등 애플 계열 기기로 공인인증서를 복사하려면 금융기관(은행 및 카드사 등)마다 일일히 내보내기 가져오기를 해줘야 된다.[52] 일반적으로 모바일 기기간 공인인증서 복사를 지원하는데, 몇몇 금융기관은 PC와 모바일 기기간 복사만 돼서 PC를 경유하는 불편함이 있다. 그 과정에서 엔프로텍트를 비롯한 국민발암 프로그램을 인스톨하는 것은 덤이다.
2024-10-22 07:23:00 현재 확인된 바로는 '''모바일 기기간''' 인증서 복사 가능여부는 이러하다.

종류	금융기관	비고
복사 가능	신한은행, 국민은행, 하나은행, 농협은행, 기업은행, 우리은행, 부산은행, 현대카드	아무런 문제 없음
미묘한 곳	국민카드, 하나카드, 신한카드	국민카드와 하나카드 실제로 가능.[53] 인증서 내보내기(스마트폰 → PC)라는 메뉴가 이름만 그렇지 실제로는 모바일 기기간 인증서 복사나 가져오기가 가능하다. 신한카드는 모바일 기기간 복사가 안 되지만 신한은행 앱에서 가져오기가 됨.
복사 불가능	우체국, 비씨카드, 우리카드, 농협카드, 삼성카드, 롯데카드[54] 비씨, 삼성, 롯데는 앱에서 PC로 내보내는 것도 안 된다.	무조건 PC를 경유해야 됨
올레앱대응	국민은행, 씨티은행, 우리은행	모바일 기기간 복사는 안되지만 올래 앱을 이용해서 복사 가능 or 둘 다 가능.

11.2. 신속하게 타행인증서 재등록하기

---

공인인증서는 1년에 한 번씩 유효기간을 갱신해야 되는데, 갱신을 하면 발급받은 금융 기관(은행, 카드사 등) 이외에는 등록해제돼버린다.
그러니까 신한은행에서 발급받은 공인인증서를 신한은행뿐만 아니라 타 금융 기관에서 타행 공인인증서 등록을 하고 사용하는데, 그것을 갱신하면 신한은행 이외의 모든 금융기관에서 등록해둔 공인인증서가 해제돼버려서 일일히 재등록해야 한다.
만약에 이것을 PC사이트에서 등록한다고 하면 보안 프로그램을 칭한 발암물질들을 인스톨해야 되는데, 이것을 최소화할 수 있는 방법이 이러하다.

• 신속하게 갱신된 공인인증서를 등록하기

• 신속하게 애플의 iOS 단말로 복사하기

• 갱신, (재)발급 : PC→모바일(안드로이드) or 모바일(안드로이드)
• 타행인증서 등록 : 모바일(안드로이드)
• iOS단말로 복사[56]
  당연히 타행인증서 등록을 해두고 나서 iOS 단말로 복사할 것.
  : 모바일 단말(안드로이드) → 모바일 단말(iOS)

11.3. 공인인증서 관련 앱

---

• KT 인증서 관리 - iOS

• 통합인증센터(공인인증센터) - 안드로이드, iOS

• 인증서 관리 - iOS

12. 공인인증서 제도 폐지

---

20대 국회에서 관련 법률 개정안이 통과됨에 따라서, 2020년 12월 10일부로 '''공인인증서 제도'''는 폐지되었다. 그러나 이것은 기존의 공인인증서를 사용할 수 없게 한다는 뜻은 '''아니다'''.

'''전자서명법 부칙(제17354호)''' '''제2조(공인인증서에 관한 경과조치)''' 이 법 시행 당시 종전의 제15조에 따라 발급된 유효한 공인인증서에 대해서는 종전의 공인인증서 관련 규정에 따른다. '''제3조(전자서명의 효력에 관한 경과조치)''' 이 법 시행 당시 종전의 제15조에 따라 발급된 유효한 공인인증서에 기초하여 한 전자서명의 효력은 제3조의 개정규정에도 불구하고 종전의 규정에 따른 공인전자서명의 효력을 가진다. '''제4조(공인인증기관에 관한 경과조치)''' 이 법 시행 당시 종전의 제4조에 따라 지정된 공인인증기관은 제8조제1항의 개정규정에 따른 평가 및 인정 절차를 거치지 아니하여도 이 법 시행일부터 1년간 같은 항 전단의 개정규정에 따른 운영기준 준수사실의 인정을 받은 전자서명인증사업자로 본다.

• 사물궁이 잡학지식과 과학기술정보통신부 콜라보 영상.

• 스브스뉴스와 카카오 콜라보 영상.

공인인증서의 법률상 특별한 지위를 없애 다른 전자서명 서비스가 '''공인인증서와 동등한 위치를 가지게 되어''' 다양한 전자서명 서비스를 이용할 수 있게 되는 것이다. 일각에서는 안정성 문제가 제기되나, 사업자가 자유롭게 평가를 신청해 국제기준에 따라 과학기술정보통신부가 선정한 평가기관에 의해 심사되어 인증 여부가 국민에게 공개되므로 걱정할 필요는 없다. 이를테면, 종전의 "공인인증기관"이 '''"운영기준 준수사실의 인정을 받은 전자서명인증사업자"'''로 대체되며(기존 공인인증기관은 1년간은 운영기준 준수사실의 인정을 받은 전자서명인증사업자로 의제), 그러한 사업자'''만이''' 이렇게 생긴 '''인정마크를 표시할 수 있다.''' 이러한 법제 변경으로 기존의 공인인증기관들도 유효기간 연장이나 생체 인증, PIN 도입을 포함하는 새로운 인증서를 개발, 경쟁에 뛰어들고 있다.
지금까지 내용을 읽어봤으면 알겠지만 이는 공인인증서 폐지가 아니라 "인증서 공인제 폐지"에 가까운데도 "공인인증서 폐지"라고 널리 알려지는 바람에 사용자 입장에서는 공인인증서가 공동인증서로 이름만 바뀌는 것처럼 느껴질 수도 있어 조삼모사라며 까이는 계기가 되기도.. 물론 인증서 공인제가 폐지됐으니 결과적으로 공인인증서가 사라지는 건 맞기 때문에 틀린 말은 아니지만, 좀 더 직관적인 정책 이름을 사용했으면 대중의 반응이 달랐을 수도 있다. 그래도 어찌됐든 기존 공인인증서의 독점적 지위는 사라졌기 때문에 향후 전통적인 방식의 인증 방법들이 도태된다면 불만은 잦아들 것이다. 반대로 어떤 이유로든 공동인증서가 메이저 자리에서 내려오지 않는다면 조삼모사 소리를 들어도 할 말 없게 될 것이다. 민간업체들이야 알아서 잘 바꾸겠지만 문제는 '''공공기관'''들이다.

13. 공동인증서로 이름 변경

---

기존에 공인인증서를 발급하던 업체는 '공인'의 자격은 상실하였지만, '인증기관'으로의 효력은 계속 유지된다. 그래서, 기존에 발급받은 공인인증서도 계속 유효하다. 또한, 이들은 '공인'은 아니지만 인증서는 계속 발급할 권한이 있다. 이들이 발급하는 인증서의 이름을 '공동인증서'로 변경하고 계속 인증서는 발급하고 있다.
즉, '공인'의 자격만 상실한 것이지 '인증서'로써의 자격은 계속 유효하다. 다만, 그 구조가 기존의 공인인증서와 동일하므로, 공인인증서가 가졌던 장·단점은 그대로 유지된다.
2020년 12월 10일 이후로는 본인인증을 할 때 반드시 공동인증서를 사용할 필요는 없으며, 여러 인증 시스템중에 하나가 되었기에 사용자가 선택해서 사용할 수 있다.
그러나 여전히 모든 대학생들의 필수라고 할 수 있는 한국장학재단의 국가장학금 신청에서는 공동인증서가 여전히 강제다. 실제로 금융거래에 무지한 사람들은 공동인증서 발급방법을 몰라 놓쳐버리는 사태가 빈번하다.

14. 여담

---

• 대한민국 직장인들이 뽑은 가장 빠른 시일 내 해결해야 할 규제로 공인인증서가 18.9%로 2위에 올랐다. 참고로 1위는 타다, 우버 등 택시면허 없는 운송 서비스 제한, 3위는 https 차단이었다. 이는 직장인 커뮤니티 블라인드에서 2020년 4월 10일~16일에 직장인 3,267명을 대상으로 한 설문조사 결과이다. 한국 직장인이 꼽은 쓸데없는 규제 1위 '타다·우버 금지'...2위는?

15. 관련 문서

---

• 액티브X
• 갈라파고스화
• SSL
• 오픈인터넷뱅킹
• 뱅크사인 - 은행연합회가 개발, 금융결제원이 운영하는 블록체인 기반 인증 서비스.
• 인터넷
• 정부24 - 흔히 주민등록등본과 같은 관공서 문서나 연말정산 증빙서류 같은 문서들을 온라인으로 실시간 발급이 가능하다.
• 정경유착
• 별에서 온 그대 - 여주 천송이가 입고 다니던 코트가 일명 '천송이 코트'라고 불리며 해외에서도 유명세를 상당히 떨쳤는데, 한국 특유의 ActiveX나 공인인증서 때문에 결제가 막혀 해외에서 구입을 못 한다는 뉴스가 떴고, 본격적인 ActiveX 폐지의 도화선을 놓았다.
• 플러그인
• TrueCrypt
• 금융
• 인터넷 관련 정보
• 구라제거기
• 엔프로텍트
• 보안 플러그인