2013. 07. 10. 수요일

정치부장 물뚝심송

이번에는 과감하게 <딴지 IT 늬우스>의 시선을 국내로 돌려 보기로 하겠다. 물론 지난 한 주간 눈에 띄는 신기한 소식이 없기도 하고, 맨날 외국의 얘기만 하는 것도 좀 그렇고 해서 내린 결정이다. 앞으로도 가끔은 국내의 IT 업계 소식을 전하게 될 것 같기도 하다.

주제는 바로 우리 사회의 공적 시스템이 일하는 방식, 도대체 어디서부터, 무엇부터 잘못되어 온 것인지를 짐작하기도 힘들만큼 망가져 있는 그 화려한 일솜씨에 대한 것이다.

처음부터 생각을 해 보자.

인터넷이라는 새로운 매체가 생겼다. 그리고 사람들이 그 인터넷을 손쉽게 쓸 수 있는 환경이 도래하고 있는 시점이라고 가정을 해 보자.

그 놀랍고 신기한 편리성을 이용해서 무엇을 할 수가 있을까? 글 읽고, 그림 보고, 글 쓰고, 이런 식의 정보교환이 가장 우선적으로 떠오른다. 그렇다면 그 공간에서 실질적인 돈이 오가는 일을 할 수도 있지 않을까? 물건을 사고 팔고, 은행 거래를 하고, 세금을 내고, 필요한 사람에게 돈을 보내고 받는 행위 말이다.

바로 이 부분에서 조심성이 발동하는 것이 맞다. 돈을 보내고 받는 일을 인터넷 상에서 할 수 있게 된다면, 발생 가능한 배달사고를 생각하지 않을 수가 없다. 특히나 사회적 규모로 국민들이 돈을 주고 받는 거래를 인터넷상에서 할 수 있게 되었을 때, 일정 비율 이상으로 사고가 발생하고 이로 인해 충돌이 발생한다면 이 상황은 카오스다. (케이어스라고 쓸 걸 그랬나?)

정부의 입장에서는 당연히 이런 심각한 업무를 수행할 수 있는 인터넷 상의 시스템에 대한 규격을 설정하고 통제를 하려고 들 것이다. 이것은 정부에게 주어진 본연의 임무이기도 하다. 여기까지는 매우 좋은 생각의 흐름이다.

당연한 흐름으로 그 뒤에 따라와야 할 것은, 사전에 불필요한 의견 충돌을 방지하기 위해 인터넷상의 금전 거래에 대한 보안 문제를 생각해야 한다. 위조를 막고, 해킹을 막아서 돈의 주인들이 원하지 않는 부당한 금전거래가 발생하지 않도록 해야 한다. 슬슬 이 문제는 복잡한 기술적인 얘기로 접어들게 된다. 과연 어떤 기술을 적용해야 안전한 금전 거래가 가능한 시스템을 인터넷 위에 구현할 수 있을까? 만약 정부의 입장이라면 어떤 규격을 제시하고 사람들과 기업들이 이 규격을 따르도록 강제해야 하는 것일까?

물론 이 질문에 대한 답변은 전문적인 지식을 가진 엔지니어들이 내놓아야 한다. 그러나 그 이전에 이런 문제에 적용되어야 할 철학이 있다. 어떤 것들이 있을까?

정부는 최소한의 규제만 만들어야 한다.

이게 가장 중요한 원칙이다. 사법 절차도 마찬가지 아닌가? 법은 인간들에게 최소한의 규제만을 제시하는 것이다. 사람들이 살인을 하거나 폭행을 하는 것은 강제적으로 막고 처벌해야 한다. 그러나 그 사람이 어떻게 살아야 하는 것인가에 대한 가이드라인을 제시하고 이대로만 살라고 강요해서는 안 되는 것이다. 이게 근대적인 민주주의 국가의 기본이다.

OECD의 암호정책 가이드라인에도 이러한 철학은 아주 잘 표현되어 있다. 인용하자면,

2. Users should have a right to choose any cryptographic method, subject to applicable law. (이용자는 관련법에 따라 암호기법을 선택할 권리를 누려야 한다)

Government controls on cryptographic methods should be no more than are essential to the discharge of government responsibilities and should respect user choice to the greatest extent possible. This principle should not be interpreted as implying that governments should initiate legislation which limits user choice. (암호기법에 대한 정부의 통제는 정부의 책무를 수행하는데 필수적인 범위를 넘어서서는 안 되며, 이용자의 선택권을 최대한 존중해야 한다. 이 원칙은 정부가 이용자의 선택권을 제약하는 법을 만드는 방향으로 해석되어서는 안 된다)

3. Market Driven Development of Cryptographic Methods (시장 경쟁을 통한 암호 기술의 발달)

The development and provision of cryptographic methods should be determined by the market in an open and competitive environment. Such an approach would best ensure that solutions keep pace with changing technology, the demands of users and evolving threats to information and communications systems security. (암호 기법의 개발과 제공은 개방되고 경쟁적인 환경에서 시장을 통하여 결정되어야 한다. 이렇게 해야, 기술변화 속도에 뒤지지 않을 수 있고 이용자의 수요와 정보통신망 보안에 대한 공격기법의 진화에도 적시에 대응할 수 있게 된다)

정부는 기술적으로 최소한의 가이드라인을 제시하고 이 수준 이상의 기술적 보안이 구현되는 어떠한 솔루션이라도 허용하는 것이 맞다. 그래야 시간이 흐름에 따라 초고속으로 발전하는 인터넷 관련 기술들이 만들어 내는 다양한 보안 솔루션들이 등장하게 되고, 그 중에서 사용자와 금융기관, 또 각종 관련 기관들이 가장 선호하는 '시장의 승리자'가 등장하게 될 것이며, 그렇게 함으로써 기술도 발전하고 시장도 발전하게 되는 것이다. 정치적으로 좌파적 입장을 지닌 사람들의 경우에는 이런 철학을 선호하진 않겠지만, 시장자유주의를 택하고 있는 우리 사회가 요구할 수 있는 최선의 철학이 이런 것이라는 점에는 아무도 이의가 없을 것이다.

그러나 우리 사회는 이런 철학을 헌신짝처럼 내팽개쳐 버렸다. 정부가 나서서 가이드라인이 아닌 강제적인 절차를 규정해 버렸다. 그리고 이 절차에 어긋나는 다양한 솔루션들은 강제적으로 배격해 버렸다. 심지어 기술적으로 훨씬 더 우수한 솔루션들 조차, 사용자들에게 훨씬 더 편하고 비용도 싸게 먹히며 안전한 기술조차, 국제적 보안 규격에 잘 들어맞고 해외에서 흔하게 통용되는 더 좋은 기술조차 우리 시장에 발을 못 붙이게 만들어 버렸다.

그리고 그 이해하기 힘든 과정을 통해 결정된 정부의 방식을 지키기 위해 필요한 일들을 해주는 주체들은 막대한 고정 수익을 올리고 있다. 모든 금전거래의 주체들이 이 절차를 따라야 하기 때문에 이 수익은 일체의 경쟁도 필요 없는 눈먼 돈이 되고 만 것이다.

그리고 그 돈들이 이 과정을 결정하고 유지하고 있는 권력자들에게 다시 돌아가고 있다는 의혹이 제기되고 있다. 당연한 일이겠지.

이게 우리 사회에서 지속적으로 의견 충돌을 일으키고 있는 '공인인증서 제도'의 실체인 것이다.

기술적인 관점의 얘기도 간단하게 설명해 보자. 이런 얘기가 지겨운 독자들은 이 단락은 그냥 건너 뛰셔도 된다. 현재의 공인인증서 제도가 가진 가장 큰 문제는 이 시스템이 마이크로소프트가 과거에 만들었던 액티브엑스 기술에 의존하고 있다는 점이다. 이 액티브엑스 기술은 마이크로소프트 자신들조차 이제와서는 포기한 기술로써, 전세계적으로 보안 홀(hole)을 양산한 최악의 기술로 정평이 나 있는 것이기도 하다. 결국 마이크로소프트는 자사의 최신 브라우저에서는 이 기술을 기본적으로 사용하지 않는 것으로 정책을 수정하기에 이르렀다. 덕분에 공인인증서를 사용하고자 하는 개인은 마이크로소프트의 최신 브라우저를 사용하면 안 되는 일까지 발생했다.

인터넷 뱅킹이라도 한 번 하려면 수도 없이 깔리는 액티브엑스 때문에 진저리를 치게 되는 사용자의 불편함은 둘째 문제이다. 이 액티브엑스를 설치하는 과정에 해커들이 개입하면서 좀비 피씨를 양산하기도 하는 등 시스템의 불안정성, 성능 저하를 유도하는 문제를 다양하게 일으키기도 한다.

기본적인 보안의 개념상으로도 문제가 많다. 브라우저의 기술적 발달로 인해 이제는 대부분의 브라우저가 자체적으로 지원하고 있는 기능까지도 정부의 가이드라인에 따라 만들어진, 기술적으로 낙후한 액티브엑스를 통해 구현해야만 한다. 키보드 보안이네, 백신이네 하는 부수적인 액티브엑스 모듈이 문제가 되는 것이다. 그렇게 복잡하고 귀찮은 과정을 거쳤으면서도 사실은 보안의 측면에서 헛점이 너무 많이 존재한다.

서버 측의 인증도 없다. 개인은 인증서도 만들어서 보관해야 하고 비밀번호도 쳐야 하고 인증넘버 카드의 숫자도 입력해야 하는 등, 내가 누구인지를 엄청 복잡하게 인증을 해야 하지만, 실질적으로 내가 접속한 이 사이트가 진짜 그 은행 사이트인지 입증하는 과정이 없다. 이로 인해 카톡 등을 통해 은행 사이트의 URL을 살짝 변경한 피싱사이트로 접속을 유도하고 비밀 번호를 빼가는 해킹도 수시로 발생한다.

그리고 내 피씨에 저장된 인증서는 그냥 파일이다. 폴더째로 복사해 버리면 그냥 가져갈 수가 있다. 트로이 목마들이 횡행하는 시대에 이런 식으로 암호화 되지도 않은 인증서 파일을 피씨에 보관하는 것은 10년 이상 뒤떨어진 위험한 방식이기도 하다.

심지어 금융기관마다 서로 다른 액티브엑스를 설치하라고 요구한다. 공공기관도 마찬가지. 몇 군데 은행을 동시에 거래하다 보면, 이 액티브엑스들끼리 충돌이 발생해서 시스템이 뻗어 버리는 일도 비일비재하다.

이런 상황에서도 만약 다른 기술적 대안이 없다면 참고 써야겠지만, 실상은 전혀 그렇지 않다. 이런 구차한 액티브엑스 전혀 없이 최신의 브라우저들은 자체적인 인증 기능이나 암호화 기능을 모두 가지고 있다. 국제적인 규격에 맞춰서 말이다. 브라우저가 제공하는 보안 기능과 최신의 HTML5 규격 등을 사용하면 전혀 추가적인 소프트웨어(액티브엑스 같은) 없이도 깔끔한 보안 기능을 구현할 수 있고, 아주 편리한 금융거래를 할 수 있는 수준이 이미 오래 전에 구현되어 있다는 뜻이다. 오히려 대안이 넘쳐나서 탈이다.

반면, 현재의 방식은 오로지 마이크로소프트사의 윈도우 오에스 위에서 마이크로소프트사의 인터넷 익스플로러 구형 버전만을 사용해야 하기 때문에 요즘 사용자가 증가 추세에 있는 맥 오에스 사용자나 리눅스 사용자들은 아예 인터넷 금융 거래를 할 수가 없는 기형적인 상황에 빠져 있기도 하다. 사설 기업의 사이트가 아니라 정부가 통제하는 금융기관, 또는 정부가 직접 운영하는 공공기관들의 서비스 역시도 마찬가지인 상황이다.

수많은 전문가들이 정부를 상대로, 금융결제원, 금융감독원, 심지어 국회의 미래창조위원회에까지 수도 없이 이런 사실을 지적하고 건의하고 설득을 해 왔지만, 공인인증서 시스템은 아직도 정부가 제시하는 유일한 절차인 상태다. 도대체 왜 이럴까?

이번 국회에는 이종걸, 최재천 의원 등이 이런 낙후된 공인인증서 제도를 강제하고 있는 법 조문을 개정하기 위한 개정 법안을 제출했었다. 그리고 대부분의 사람들은 그 개정안이 통과될 것으로 기대하고 있었다. 그러나 회기 막판에 개정안은 갑자기 보류되어 버렸다. 이유는 이 문제에 대한 연구 용역을 발주한 상태이기 때문에 그 결과가 나온 후에 처리하자는 것이었고, 이로 인해 이 개정안에 대한 심의는 다시 9월로 미루어졌다. 이 보류 결정의 주역은 바로 FTA 협상으로 유명한 김종훈 의원.

FTActive X발...

9월에는 정상적으로 심의가 되고 개정안이 통과될까? 이 법안의 개정을 위해 노력하던 김기창 교수(선관위 디도스 사건 때 활발한 활동을 하셨던) 등 많은 전문가들은 9월에도 통과되기는 힘들 것이라고 판단하고 있다. 그만큼 국회가 이해하기 힘든 결정들을 계속해 왔기 때문에 신뢰를 상실한 상태라는 뜻이다.

아니, 실질적인 얘기를 하자면 2011년 10월에 전자금융 감독규정이 개정되면서 꼭 액티브엑스를 설치할 필요도 없어졌다. 인용하자면 이렇다.

해킹 등 침해행위로부터 전자금융거래를 보호하기 위해 이용자의 전자적 장치에 보안프로그램 설치 등 보안대책을 적용할 것(다만, 고객의 책임으로 본인이 동의하는 경우에는 보안프로그램을 해제할 수 있다)(현행 감독규정 제34조 제1항 제3호)

그저 보안대책을 적용하면 된다. 따라서 지금 현재도 액티브엑스를 사용하지 않는 인증 수단을 적용하는 것이 완벽하게 금지된 일은 아니다. 즉 법 개정안이 국회를 통과하지 않더라도 금감원의 재량에 따라, 또 시중의 각 금융사들의 재량에 따라 공인인증서 제도 이외의 방법을 적용하는 것이 불가능하지 않다.

실제로 애플사의 경우 공인인증서를 전혀 쓰지 않고서도 국내에서 앱스토어 사용자들을 대상으로 결제를 받고 있다. 이거? 우리 정부가 규제하지 않는다. 또 포토샵으로 유명한 어도비사의 경우도 국내에서 제품을 판매하는 과정에서 공인인증서를 사용하지 않는 결제시스템을 운용하고 있다. 이거? 우리 정부가 규제하지 않는다. 국내 항공사들, 한글 사이트에서 결제하는 한국 고객들에게는 공인인증서를 요구한다. 그러나 동일한 사이트에서 영문판 사이트를 이용하면 공인인증서 없이도 결제 가능하다.

즉, 힘있는 외국계 기업들, 또 외국인을 상대로 장사하는 경우에는 묵인해 주고 있다.

단지 힘 없는 국내 일반 사이트 운영자들은 공인인증서를 사용하지 않을 수가 없는 실정이다. 왜냐고? 카드사들이 허용을 안 해준다. 카드사는? 금융감독원의 감독을 받는다. 카드사에게 왜 이런 서비스를 하지 않냐고 물어보면 금감원 핑계를 대고 있다.

실제로 인터넷 상에서 도서를 판매하는 알라딘의 경우 2009년부터 액티브엑스 기반의 공인인증서 없이 결제를 할 수 있는 시스템을 운영한 경력이 있다. 그리고 바로 이어서 모든 카드사들로부터 결제 서비스를 중단하겠다는 통보를 받는 호된 꼴을 당하게 되고 결국 포기하게 된다. 최근에 다시 그런 서비스를 시작했는데, 언제 중단될지 모르는 상황이다.

이 알라딘의 공인인증서 없는 카드결제 시스템에 참여하지 않는 현대카드 사장님에게 한글과 컴퓨터로 유명한 이찬진 드림위즈 사장이 직접 물어봤다. 현대카드는 왜 여기에 참여하지 않냐고 말이다. 그 답변은...

이랬다. 실제로 상황을 알고 이런 답변을 한 것인지, 아니면 모르고서 한 것인지는 알 수 없다. 그러나 저 답변은 사실과는 거리가 먼 답변이다. 만약 사실이라면, 다른 카드사들은 규제를 어기는 불법을 자행하고 있다는 뜻이잖아.

최근에도 이 공인인증서 문제를 제기하고 있는 오픈넷 (http://opennet.or.kr) 에서는 공인인증서 없이 대부분의 카드로 기부금을 받을 수 있는 시스템을 운영하고 있었다. 그런데 갑자기 카드사들로부터 서비스를 중단하겠다는 통보를 받았다고 한다.

자세한 얘기는 이 링크에서 확인할 수 있다.

 

http://opennet.or.kr/3528

결국 카드사들은 금융감독원의 통제를 무시할 수 없는 상황이고, 금융감독원은 별다른 규제위반 사항도 아닌데 단지 공인인증서를 사용하지 않는 결제 서비스를 한다는 이유만으로 카드사들에게 압박을 가하고 있다는 얘기가 되는 것이다.

왜 그럴까? KISA(한국 인터넷 진흥원)에 따르면 금융결제원이 관리하는 이 공인인증서 서비스 시장은 연간 500억이 넘는 규모라고 한다. 일반인들이 은행 거래 할 때 사용하는 공인인증서는 무료지만, 범용의 경우는 유료이다. 거기에 기업들은 상당한 금액을 내고 이 서비스를 사용해야 하기 때문에 무시하기 힘든 수준의 시장이 형성되어 있고, 매우 안정적인 수익이 발생하고 있다는 것이다.

<한겨레>의 보도에 따르면 이 수익은 이 시장의 75%를 차지하고 있는 금융결제원을 통해, 이 제도를 강제하고 있는 금융위원회 출신의 고위 공무원들을 감사로 받아주고 3년간 10억이 넘는 보수를 지급하고 것으로 흘러가고 있다. 그로 인해 이 시스템을 둘러싼 의혹이 제기되고 있는 실정이라는 것이다.

금융감독원과 이름이 비슷해서 혼동하기 쉽지만, 금융결제원은 공공기관이 아니라 비영리 사단법인일 뿐이다. 그러면서도 막대한 수익을 올리고 있는 실정이고, 또 그러면서도 그 사업내용을 공개하지 않고 있는 의문의 조직이기도 하다. 국회에서 관련 법 개정안이 통과되지 않는 이유도 비슷한 이유 아닐까?

이런 것이다. 최초에 한 번 잘못 만들어진 규제로 인해 하나의 잘못된 생태계가 탄생해 버린 것이다. 이제 이 규제를 철폐하기 위해서는 그 생태계를 멸종시켜야 하는데, 그 생태계의 구성원들의 반발이 장난 아니게 거셀 것이라는 점은 아주 쉽게 유추가 가능하다.

트윗 공간에도 그 반발의 흔적이 보인다.

 



이런 것들이다. 이 사람들이 공인인증서 서비스와 관련된 업계에 종사하고 있을 것이라는 추정은 그리 무리한 것은 아닐듯하다. 이런 상황에서 일을 바로잡기란 그리 쉽지 않다.

이종걸, 최재천 의원이 제기한 개정안의 내용도 분명히 공인인증서를 강제로 폐기해 버리자는 것이 아니다. 그저 공인인증서 이외에 충분한 보안기능이 있는 다른 솔루션도 채택 가능하게 하자는 주장일 뿐이다. 그러나 메이저 언론들은 거의 대부분, '공인인증서 폐기 vs 존치'라는 왜곡된 구도로 이 사건에 대해 보도하고 있다. 그 또한 공인인증서의 생태계가 끼친 영향력의 흔적이라고 볼 수도 있지 않을까?

이런 논란이 지루하게 이어지는 동안 이미 우리 사회의 지극히 일반적인 사람들이 사용하는 피씨에는 수많은 액티브엑스가 깔리고 있으며, 이런 액티브엑스들이 한편으로는 보안 홀로 작용하고 있다. 그 결과 우리 사회는 세계적인 좀비피씨의 천국이 되었으며, 세계 곳곳의 해커들 사이에서는 우리나라의 좀비피씨들이 활발하게 거래되고 있고 이 좀비피씨들을 이용해서 세계 유수의 사이트들을 상대로 디도스 공격이 벌이기도 한다.

도대체 이 문제를 어떻게 어디서부터 해결해야 하는 것일까? 그 와중에 우리 자랑스러운 최문기 미래창조과학부 장관께서는 이렇게 일갈을 하신다.

“보안으로 먹고 사는 나라를 만들겠다”

 

http://www.newsis.com/ar_detail/view.html?ar_id=NISX20130704_0012204311&cID=10402&pID=10400

퍽이나... 그 뿐만이 아니다. 이 비뚤어진 생태계는 자가 증식을 꾀하고 있다. 이제 고정수익만으로는 만족하지 못하고 더 큰 수익을 위해 새로운 아이템을 들이대면서 사업을 확장하려 하고 있다는 것이다.

그 아이템은 바로 “#메일”이다.

이 계통 사람들이 흔히 '삽(샵이 아니라)메일'이라고 부르는 이 새로 태어날 괴물에 대해서는 다음번 딴지 IT 늬우스에서 다루기로 하자.

딴지 IT 늬우스를 애독하시는 독자제위께 해결책 없는 문제를 들이대기만 한 것 같아서 진짜 미안하다. 하지만 나 혼자 속을 푹푹 썩이느니, 여러 사람이 같이 썩이면 좀 나을 것 같아서 그런 것 뿐이다. 어쩌겠나. 니들이 참아야지.

뱀발 

기사가 작성된 뒤에 사안이 또 발생했다. 금융감독원 공식 트위터 계정(@fss_news)은 오픈넷 기부금 결제 서비스와 관련해서, 카드사들에게 어떠한 압력도 행사한 적이 없다고 밝혔다.

http://www.wikitree.co.kr/opm/opm_news_view.php?id=127912&opm=7407  

또한 알라딘 서점에서 현대카드가 결제가 안되는 이유를 확인하기 위해 카드사 관련자들과 회의를 개최했다고 알렸다. 하지만, 오픈넷의 김기창 교수는 "금감원 회의 마치고 나온 외환카드 직원은 10일 내로 플러그인 사용하라. 그렇게 안하면 결제 처리 안 하겠다"고 통보해왔다고 밝혔다.

과연 금융감독원은 카드사들에게 압력을 가했을까? 안 가했을까? 가했다면 법적 근거는 뭘까?

알아서들 판단하시라.

끝.

 

 

 

 

물뚝심송

트위터 : @murutukus