ActiveX 문제의 진실

Miscellaneous/Etc 2007. 3. 19. 11:14
요즈음 ActiveX, 정확히는 'ActiveX 컨트롤'이란 기술이 시끄럽다. 브라우저 밑으로 손을 뻗어 그 밑에 깔린 시스템의 기능을 만지작거릴 수 있게 하는 요물. 웹은 웹이로되 PC가 할 수 있는 모든 일을 하게끔 하는, 웹을 웹 이상으로 조작하기 위한 '만능 컨트롤' 도구, ActiveX. 90년대의 프로그래머들은 ActiveX가 포함된 COM이라는 테크놀로지 조합으로 PC 전성기를 풍미했다.

그런데 새 버전의 인터넷 익스플로러와 새 OS 윈도우 비스타는 자신들의 기술 ActiveX를 유리 상자 안에 가둬 버리고 만다. ActiveX란 뭐든지 만들 수 있지만, 뭐든지 망칠 수도 있는 양날의 검이었다. 새 플랫폼이 ActiveX에 거리를 두는 이유는 '시스템의 기능을 만지작거리는 일'이 악인에 의해서도 자행될 수 있다는 자각 때문이다. ActiveX는 모두가 순박했던 목가적 시절에나 어울리는 기술이었던 것이다.

게다가 이미 업계는 웹을 임의로 '컨트롤'하여 변경하는 일이 그리 바람직한 일도 아님을 공감하고 있다. 웹 표준 운동도 그 일환이다. ActiveX같은 로우레벨 아키텍처에 의존한 플랫폼을 만드는 일이란 플래시 수준의 입지를 지닌 플랫폼 제공자가 아니라면 비즈니스적으로도 별 의미가 없다는 것을 깨달았다. 마치 고급 언어를 배운 이래 어셈블리어를 만질 필요가 없듯, 굳이 웹을 개선한다는 목적만으로는 ActiveX라는 위험한 칼을 만질 이유가 없는 것이다.

물론 아이디어란 표준으로 묶어 놓기에는 너무나 자유분방한 것이기에, 올해도 내년에도 웹의 확장은 일어날 것이다. 그렇기에 웹을 초월한 무언가를 덧붙이려는 확장 욕구는 건전한 것이다. 브라우저로 하지 못하는 일을 새로운 아이디어로 '확장'하려는 욕망은 멈추기 힘들고, 이 점을 강조하기 위해서 일까? 파이어폭스가 ActiveX '컨트롤(Controls)'을 금지하고 대신 파이어폭스 '확장(Extension)'이란 개념을 도입한 의도는 그 용어에 잘 나타나 있다. 마이크로소프트도 이미 닷넷을 중심으로 기술 구조를 재편한지 오래다. ActiveX를 위시한 Win32의 리거시 기술들은 배후로 밀려나고, 웹의 확장 기능도 ActiveX라는 칼을 직접 만지지 않도록 유도하고 있다. 더 편하고 더 쉬운 확장을 할 수 있는 방안과 로드맵이 따로 있는 것이다.

그러나 우리는 유난히 ActiveX라는 날카로운 칼을 좋아했다. 그리고 무척이나 잘 드는 이 칼로 웹을 확장한 것이 아니라 오히려 웹의 여기저기를 도려내며 우리만의 아키텍처를 만들었다. 대한민국의 웹을 서핑하다 만나게 되는 수 없는 경고창들, 칼을 조심하라는 시스템의 경고지만 개의치 않는다. 수저가 필요한 곳에 칼이 놓이고 있다. 손잡이가 필요한 곳에 날이 서 있다.

칼날이 난무한다. 특히 은행 일이라도 한번 보려면 여러 개의 컨트롤을 일단 깔아댄다. 뭐가 뭔지 도무지 모르겠지만, 여하튼 설치하지 않으면 아무 것도 못하니 방법이 없다. 게다가 왜 이렇게 회사마다 종류가 골고루인지. 그렇게 내 PC를 유린하듯 설치되는 컨트롤의 면모는 살펴 보니 하나 같이 '보안 모듈'.

여기에서 의문이 생긴다. 왜 보안을 웹의 외부 기능에 의존해야 하는 것인가? 사실을 말하자면, 한국 수준의 보안은 모르겠으나 적어도 세계 수준의 보안은 브라우저 만으로도 얼마든지 확보할 수 있다. 외국 굴지의 은행들은 브라우저만으로 인터넷 뱅킹을 무리 없이 수행하고 있다. IE와 파이어폭스 모두 필요 충분한 수준의 암호화 기능은 물론 인증서 관리 기능도 들어 있다.

사용자 삽입 이미지


그런데 한국은 세계에서 통용되는 이러한 표준 기능은 활용하지 않은 채, 보안을 웹의 외부 기능으로 빼내어 독자적으로 처리하고 있다. 놀라운 기술 독립이다. 마이크로소프트도 모질라 재단도 놀라고 있는 일이다. 그들은 이해를 못하는 일이다.

왜? 도대체 왜 이 상황이 된 것일까?

여러 가지 도시 전설이 횡행하지만, ① 당시 미국의 128비트 암호화 수출 금지 조항에 맞선 독자 기술(SEED)의 개발과 적용 지도, ② 한국의 특수 상황이 발생시킨 정보 기관의 지침(보안 적합성 검증), ③ 독자적 최상위 인증 기관 운영 욕구, ④ 해킹 피해 발생 보도에 대한 과민 반응. 등이 복합적으로 작용했다는 설이다. 인터넷이 너무 일찍 퍼진 한국은 너무 급했고 너무 불안했던 것이다.

이 과정에서 얻은 일도 있을 것이다. 내수 보안 산업이 자생적 생태계를 꾸릴 수 있었다. 척박한 국내 IT 시장에서 나름대로 고용을 창출하고 기술을 연마해 온 그들에게 과연 “당신들의 존재 자체가 틀렸어!”라고 감히 말할 수 있을까? 누구도 그럴 용기가 없다. 완전한 기술 쇄국을 이끈 정부도 금융권도 IT 업계도 국민도 어느 누구도.

그러나 잠시 스스로를 돌아 볼 때다. 우리는 정말 세계 어느 나라보다 안전할까? 인증서 파일을 PC에서 PC로 옮겨 들고 다니는 일이 과연 최고의 보안 솔루션일까? 다른 나라처럼 암호 발생 카드나 암호 발생 열쇠고리를 사용하는 것이 차라리 안전하지 않을까? 전세계적으로 테스트되고 사용되고 있는 브라우저 들의 내부 보안 기능보다, 버그가 있을 수 있는 개별 기업의 외부 보안 솔루션이 더 안전하다고 우리는 진정 믿을 수 있을까? 우리에게는 잠시 쉬어가며 백지에서 다시 생각해 볼 여유가 필요한 것이다.

ActiveX의 문제란 결국 독자 기술의 꿈이 불러 온 기술 쇄국의 딜레마였던 것이다.

사실 아무 일도 아닐 수도 있다. 쇄국의 아키텍처를 끝까지 고수하며 업체를 압박한다면 어떻게든 솔루션은 생길지 모른다. 그러나 언제까지 그렇게 아슬아슬한 아키텍처를 우리는 가져갈 수 있을까? 새로운 OS가 등장할 때마다, 새로운 브라우저가 등장할 때마다 우리는 '우리의 실정'을 부르짖어야 할 테니까.

기술은 도구인 이상, 양날의 검이다. 잘 쓰면 유용한 도구이지만 목적을 잊은 채 수없이 주머니에 품고 있기에는 거북한 존재인 것이다. 잘못 들어가 있는 칼은 서서히 걷어내야 한다. 그리고 그 칼의 사용은, 그리고 더군다나 민생에 직결되는 서비스에서의 사용은 더 신중히 논의되어야 하는 것이다.

칼을 드는 순간, 내 스스로 누군가를 소외시키지는 않는지, 그리고 그 칼을 드는 순간 내가 세상으로부터 소외되지는 않은지 생각해 봐야 한다. 도구의 의미를 생각하지 않은 채, 용도를 숙고하지 않은 채, 도구의 방향을 관찰하지 않은 채, 도구를 본래의 취지와 맞지 않게 남용하는 것이 얼마나 무모한지 우리 사회는 그리고 업계는 어쩌면 매우 비싼 값을 치르며 배우고 있는 것인지도 모른다.

출처 :  김국현(IT평론가)
    

설정

트랙백

댓글

  • k군 2007.03.19 16:33 ADDR 수정/삭제 답글

    시간이 지날수록 어떤것이든 발전하는게 아닐까요?
    어쩌면 나중에는 기본적인 c++ , Basic 같은 표준프로그래밍언어도 필요없게 될지도 모르죠.
    이쪽 업계에 대해서 전문적인 지식은 없지만, 현재에 완벽하더라도 다가올 미래엔 가치가 없어질지도 모르니까.

    • jasu 2007.03.19 18:08 신고 수정/삭제

      세상에는 시간의 흐름에 따라 변하지 않는 것은 없죠, 사람도 변하고 감정도 변하고 사물도 변하고 지구도 변하고 있으니...

  • 사자구이 2007.03.20 18:58 신고 ADDR 수정/삭제 답글

    아... ActivX 호환 문제가 전세계적인건 아니었군요...
    나름 프로그래밍 공부한다고 하는놈이 정보가 너무 없는거 같습니다..-ㅁ-a

    • jasu 2007.03.20 20:00 신고 수정/삭제

      네...유독 한국이 가장 심각한 수준입니다.
      IE는 돈을 주고 구입해야하는 브라우저인데 마이크로소프트사에서 windows 버전에 끼워 팔기 때문에 대부분 유료인지는 잘 알지 못하는 것이 사실입니다.
      그래서 외국은 불여우를 많이 사용한답니다. 인터넷 강국이었던 우리나라가 계속 이렇게 진행된다면 더이상 인터넷 강국이 되지 못하고 고립될 수밖에 없을 듯 싶네요...

    • 사자구이 2007.03.20 22:34 신고 수정/삭제

      듣고보니 큰일이군요 이건...

    • jasu 2007.03.21 13:04 신고 수정/삭제

      윈도우비스타에서는 기본적으로 로컬 영역의 보안을 철저하게 관리하는 것으로 알고 있습니다. 퍼미션 보안을 허용하면 되긴하나 벌거로움이 있고 완전히 풀어버리면 예전 windows 버전보다 더 많은 보안의 허점이 발생할 가능성이 커 보이더군요...
      윈도우비스타가 활성화되면 우리나라에서도 그에 따라 대책을 마련하겠죠...

  • fr.d 2007.05.11 11:19 ADDR 수정/삭제 답글

    흥미로운 정보군요. 재밌게 잘 보았습니다. 단적인 시각으로 윈도우만 욕했던 저로써는 또다른시야를 열어주네요. ㅎㅎ

    • jasu 2007.05.12 22:20 신고 수정/삭제

      별말씀을요...감사합니다. 도움이 되었다니 저도 기분이 좋아지네요...^^

웹 구조개혁의 제안

Miscellaneous/Etc 2007. 3. 10. 20:36
답답해서 잠을 못 이루는 사안이 있다. 두고 보기에는 점점 꼬여가는 한국의 웹이다. '직접적 가치 교환 플랫폼'으로 진화해 나가야 할 웹이 현실이 드리워 놓은 구조적 장벽에 막혀 확장 의욕을 잃고 방황하고 있다.

지금 우리 IT 업계와 정책이 심사 숙고해야 할 문제는 ActiveX 호환성이나 웹접근성과 같은 발등의 불을 단기적으로 해소하는 일이 아니라, 급변하는 세계 속에서 과연 우리 IT가 세계에 의미가 있는 존재로 성장할 수 있을지 걱정해야 하는 레벨의 장기적 문제다.

법과 제도에 길들여진 기술은 그 특유의 창조성을 잃어 버리고, 고착화되어 고비용의 성곽을 쌓고 그대로 굳어 간다. 특히 지난 닷컴붐을 기점으로 형성된 전자 거래에 대한 보호 제도가 실은 보호가 아닌 규제와 간섭의 제도로 변해 버렸다. 뿐만 아니라 이에 대해 업계와 사회 전체가 이를 '당연한 기성 사실'로 삼고 의심하지 않은 채 주눅이 들어 그 틀 안에서 해법을 찾으려 하고 있다. 원점으로 돌아갈 용기를 잃은 것이다.

그러나 충격적이지만 이미 다 느끼고 있는 질문을 이제는 소리 내어 말해야만 한다.

"우리에게 공인인증체계란 정말 필요한 것일까?"

원래 인증서 자체는, 그리고 인증서가 근거한 PKI란 매력적이다. 공개키/비밀키의 쌍이 핵심 역할을 하는 이 인프라에서, 인증서는 거래 당사자가 진짜 그 사람임을 증명하고, 당사자만 이해할 수 있는 암호화된 통신으로 거래가 이루어질 수 있도록 한다. 내가 비밀키로 사인한 문서를 내 공개키로 확인할 수 있기에, 타인은 틀림 없이 내가 만든 문서임을 알게 된다는 원리다. 내 공개키로 다른 사람이 암호화해서 보내온 문서는 비밀키를 지닌 나만이 열 수 있다는 원리다. 이러한 의미에서 PKI 자체는 유용하고 또 탁월하다. 글로벌 기업은 직원과 자원의 인증 수단으로 사설 인증서를 널리 쓰고 있다.

문제는 '공인'이다.

현재 1500 만명, 그러니까 전 경제인구의 65%에 공인인증서가 보급되었다고 우리는 자화자찬한다. 세계 최고다. 주민등록제도에 이어 또 다른 쾌거다. 그렇지만 우리는 여기서 원점으로 돌아가 왜 공인인증서를 발부 받아야 하는지에 대한 의문을 풀어야 한다.

공인인증서는 현재 전자서명법 2조에서 밝힌 바와 같이 가입자가 생성한 정보가 가입자에 유일하게 속한다는 사실을 확인하고 증명하는데 있다. 민사소송법 358조의 작성자의 서명이나 날인 또는 무인이 있는 때에는 진정한 것으로 추정한다는 법리와 마찬가지 선상에 있을 것이다. 즉 공인인증서는 기본적으로 인감인 것이다.

그렇다면 전자 서명이란 이 문서가 틀림없이 내가 작성한 문서라는 점을, 그러니까 지금 눈 앞의 전자정보가 내 의사에 따른 것임을 입증하려는 것에 불과하다. 이 것이 원점이다. 현재 온라인상의 전자 거래에 있어서 그 규제의 원점이 되고 있는 전자서명법이 1장에서 밝힌 목적, 정의, 효력은 그 것이 전부다.

그러나 2장으로 넘어 가면서 전자서명법은 '법의 기술 중립성(벤더 중립성과는 완전히 차원이 다른)'과 역행한다. 사실상 본법은 2001년 말의 개정에도 불구하고 사실상 비대칭알고리즘 공인인증인프라(NPKI)에 근거한 공인인증서에 의한 것이 공인된 전자서명이다라고 암시하고 있기 때문이다. 루트CA, 즉 최상위인증기관을 국가의 관할 하에 두는 일은 사연이 있기 때문이라며 넘어갈 수 있다. 그러나 그 것이 거대한 피라미드형 기술 카르텔이 되는 것에는 반대할 수 밖에 없다. 사연이 있어서 꼭 공인인증인프라(NPKI)가 유지되어야 한다면, 외국계를 포함한 다른 사설인증기관이 이와 상호인증(Bridge CA)되는 것을 허락해야 한다.

웹에서 쓸 수 있는 인증 수단은 '공인인증서'만이 아니다. 그럼에도 전자금융감독규정 및 시행 세칙에는 '공인인증서의 의무화'가 명문화되어 있다. 한국에서 전자거래를 하려면 공인인증서를 써야만 하는 것이다.

구조개혁 1: 공인 인증서에 의한 인증 의무화 폐지
공인인증서에 의한 인증 의무화는 법의 기술 중립성을 잃고 기술 발전을 저해하고 있다. 공인인증서가 활용되기 위해서는 전자서명법에서 규정된 관련 기관과 다시 그 관련 업체의 솔루션을 도입해야만 한다. 사실 인증을 위해 공인인증서만이 사용되어야 한다 믿는 것은 일종의 착시현상이다. 공인인증서 없이도 현재 널리 보편적으로 쓰이고 있는 시스템만으로 저비용 PKI 운용이 가능하고 세계적 사례도 많다. 사설 인증서 생성기는 서버마다 들어 있지만 모두 놀리고 있다.

대안①: 접근 허가시 사설 인증서 허용 및 다단계/다각도의 질의식 인증.
시스템으로의 접근 허가권을 어떻게 부여할지 기술적 선택은 전적으로 그 시스템의 판단이다. 감독기관은 그 판단의 건전성과 안전성만 파악하면 된다. 브라우저만으로도 다수의 표준 인증서를 관리할 수 있다. 게다가 인증서 그 자체는 완전 솔루션이 아니다. 인증서가 절취될 가능성이 상존하기에 심정적 안도감만 있을 뿐이다. 마음(패스워드)과 사물(인증서)의 두 종류를 검사한다는 안도감뿐이다. 일본의 은행처럼 다단계의 패스워드 질의 과정을 통과하게 하여 마음을 여러 번 검사하고, 그 중 한 단계는 키보드가 아닌 화면과의 인터랙션으로 다른 각도에서 검사한다면 충분한 일이다.

대안②: OTP(One time password) 및 HSM(Hardware Security Module), 그리고 생체 인식 등 신기술의 적용
공인인증체제는 그 자체가 궁극의 보안 솔루션이 전혀 아님이 이미 다양한 경로를 통해 파악되어 있으나, 현재의 법제 및 감독 규정은 이 체제에 밀결합되어 있다. 새로운 신기술 중 특히 OTP는 최소한의 구조개혁만으로 적용이 가능하고 이미 도입이 시작된 곳도 있다. 즉 다단계/다각도의 상호작용으로 마음을 검사하는 것이 공인인증서라는 사물보다 훨씬 더 인증에 효과적인 것이다. 이러한 새로운 사용자 인증 절차는 공인인증에 의한 인증 과정을 충분히 ‘대체’할 수 있다. 그래도 만약 사물이 필요하다면 HSM이나 생체와 같은 제대로 된 사물의 인증을 고려해야 한다. 사물이라 믿었던 공인인증서는 결국 무한 복제가 가능한 정보일 뿐이다. 우리는 공인인증서가 안전한 인증수단이라는 공동최면 상태였을 뿐이다.

구조개혁 2: 독자적 암호화 통신 알고리즘 이외에 SSL 3.0 적용 허용
현재 한국 웹의 암호화 통신 알고리즘은 플러그인에 의한 SEED가 사실상 강제된 채, SSL/HTTPS는 사용되고 있지 않다. 전자가 후자보다 뛰어나다고 가정하자. 그러나 그 가정에도 불구, 우리는 여기서 막대한 사회적 비용을 지불해 왔음을 깨달아야 한다. 이는 전형적인 "Reinventing the wheel"의 오류다. 공개키 기반 암호화 통신은 국제 표준화된 SSL로 충분하다.

글로벌 환경에서 기술 인프라스트럭처의 독자적 폐쇄계를 구성하는 것은 무의미하다. 웹과 같은 평평한 세계에서는 세계적 기술을 만들던가 세계적 기술을 채택하던가 양자택일뿐이다. SEED가 뛰어난 아키텍처였다면 빠른 시기에 국제표준화와 벤더로의 로비로 브라우저에 탑재시켰어야 했다. 지금은 완전히 우물안 개구리가 되어 버렸다. 그리고 세계 시장에서 소외된 자폐적 업계만 남았다. 역사적으로 이러한 시도가 마지막으로 이루어진 것은 2차 대전에서의 독일과 일본 정도였다. 우리는 이 시대착오적 민족주의 기술입국 마인드셋에서 탈피하지 못하고 있다.

대안: 서비스 업자가 어떠한 기술을 쓰든(즉 SEED를 쓰지 않더라도) 그 것이 가이드라인을 만족시키면 개입하지 않는다.
어떤 금융 기관이 이미 서버에 탑재된 베리사인의 인증키를 써서 128bit SSL 통신을 하겠다고 한다면 금융감독원을 포함한 어떠한 감독기관도 간섭하지 않으면 된다. 서비스 업자는 시장 논리에 따라 최대 다수의 후생을 극대화하는 선택을 할 것이다. 아마도 현존하는 대부분의 브라우저가 지원하는 SSL 3.0 기반 HTTPS 암호화 통신을 매우 저렴하게 구축할 것이다. 그 결과 XP도 비스타도 리눅스도 맥도, IE도 파이어폭스도 사파리도 오페라도 그리고 무엇보다도 내가 늘 사용하는 골동품 모바일 단말 윈도우 CE.NET에서도 온라인 뱅킹과 관공서에 들어갈 수 있게 된다.

구조개혁 3: 공인인증서에 의한 서증(書證)의 적용 범주 재정의
현재의 공인인증서는 공개키 기반의 암호화 전자거래에 있어서 ‘서명’을 한다고 한다. 일반적으로 PKI의 혜택 중의 하나는 바로 '디지털 서명'과 이를 토대로 '부인 방지'를 할 수 있을 것이라는 믿음이다. 그리고 이 믿음을 적극적으로 웹으로 가져왔다. 거래에 디지털 인감을 찍어줌으로써 거래가 없었다 부인하는 일을 막을 수 있다거나 후일 거래 증빙이 된다는 것이다. 그러나 이에는 두 가지 문제가 있다. 하나는 공인인증서 자체가 절취될 수 있는 가정이 있기에, 대면하지 않은 거래에 있어 본인이 거래를 했다 추정할 수 있는 법적 근거의 성립 여부다. 인증서라는 절취 가능한 정보 만으로 본인 확인을 의존한다는 전제에서는 의미가 없다. 공인인증서가 복제되어 쓰이게 되면 정말 본인이 하지 않은 거래일 터 이 것이 무슨 소용인가. 오히려 철저히 본인을 확인하고, 이를 로깅하는 것이 더 실효성이 높다. '디지털 포렌직(Digital forensic)'을 발전시켜야 한다. 남의 사인은 베끼기 어렵지만 남의 도장은 남보다 더 잘 찍을 수도 있는 것이다. 디지털 인감이 부인 방지(Non-repudiation)에 법적 효력을 가질 수 있는지에 대한 의문은 널리 이야기되는 사실일 뿐만 아니라, 선진국의 전자서명법의 태동기에도 심각하게 의문시된 채 지금도 결론이 나지 않은 문제다. 그럼에도 이를 공인 문서화 하여 진정성립을 자동적으로 추정시키는 것은 개인에게 더없이 불리하다. 이 점이 또 하나의 문제다.

서증의 효력이 있다고 한다면 이처럼 또 다른 문제가 생긴다. 현실 생활에서는 인감을 필요로 하는 상황이 아닌, 온라인 쇼핑이나 은행 업무와 같이 인감과 무관한 거래에도 자신의 전자 인감을 남발하는 결과를 초래하는 것. 무의미한 정보 제공이다. 이는 리스크에 대한 체제의 책임 회피이고 여기에서 소외되는 것은 개인뿐이다. 쇼핑시 30만원 이상에 공인인증서를 제출하라는 등 세계적으로 유례가 없는 요건은, 만의 하나 벌어질 리스크에 체제가 면피하기 위한 구실에 지나지 않는다. 이러한 '면피의 시스템'을, 요즈음 분위기라면 윈도우, 리눅스, 애플, 그리고 앞으로 등장할 모든 운영 체제와 디바이스용으로 만들어야 할 판국이다. 민간 개인에게 있어 보안의 의미는 '나만 나의 거래를 안전하게' 하면 되는 것이지, '내가 거래를 했다는 공문서를 제출할' 의무가 아니다. 오히려 필요한 것은 그들이 나와 거래를 했다는 영수증일 것이다. 뿐만 아니라 웹서비스의 WS-*와 같은 자동적 전자문서 교환에 있어서의 서증은 어떻게 할 것인지, 현재의 체제는 답이 없다.

대안: 현실에서 인감이 필요로 하지 않는 모든 상황은 온라인 상에서도 공인인증서에 의한 전자서명을 요구해서는 안 된다.
그리고 형식적 증거로서 서증이 필요한 상황이 오더라도 그 사안은 전자서명법 만이 아닌 민사소송법의 견지에서 함께 고려되어야 할 것이고, 그렇다면 더욱 기술 중립적으로 PKI 방식이 아닌 다양한 기술적 가능성에 대해서도 그 가능성을 열어 두어야 한다.

현재 상황은 예를 들자면 도장 날인은 효력이 있으나 자필 서명은 효력이 없다고 하는 것과 마찬가지다. 태블릿 서명이나, 생체인식에 의한 서명 등 다양한 기술적 가능성이 있을 것이다. 미국 국세청의 세금 신고에 서는 본인의 서명을 겨우 다섯 자리의 자기가 설정한 암호를 누르는 것으로 갈음한다. 겨우 다섯 자리다. 자신이 설정한 다섯 자리의 암호를 스스로 입력하면 그 것이 서명이다. 공인인증서가 서증의 역할에 절대적인 것은 아니라는 합리적인 반증이다.

구조개혁 4: 프로그램의 선택과 설치라는 개인과 시장의 자유 재량과 권리를 보호
나는 기본적으로 사용자에게는 ‘웹’ 이상의 기능을 원할 권리가 있다고 보는 주의다. 그러나 동시에 원하지 않는 기능을 거부할 권리도 있다고 보는 주의이기도 하다.

이상 1,2,3의 구조개혁이 성공하면 대부분의 플러그인은 사라질 일이겠지만 '키보드 보안 플러그인' 같은 경우는 주무부처가 달라 계속 강요될지도 모른다. 그러나 잠시 생각해 보면 이 또한 무의미한 플러그인이다. 일본의 은행은 키보드 해킹이 두려우면 랜덤하게 변하는 화면상의 키패드를 누르도록 하는 단계를 한 번 더 둔다. 그런데 한국의 은행들은 플러그인이 행여 모자랄까 방화벽 플러그인까지 깔아 주려 하는데, 이는 친절이 아닌 명백한 월권이며 개인의 선택권 침해다. 많은 플러그인은 요긴하지만 그 것을 사용할지 여부는 철저하게 사용자와 서비스 사이의 판단이지, 이를 제도나 행정이 강요해서는 안될 일이다.

미래에서의 생존을 위한 구조개혁
도대체 이러한 무의미한 시스템을 위한 개발 비용은 어디서 나는 것일까? 설마 내 세금일까? 공적 자금일까? 폭력적인 플러그인과 존재의미가 모호한 공인인증체계의 유지를 위해 도대체 얼마만큼의 자금이 투하되어 온 것일까? 구조 개혁을 부르짖는 첫 번째 이유는 바로 이 직접 비용 때문이다. 또 공인인증서의 사용 강제에 따른 막대한 자금과 시간과 그로 인해 야기되는 시민들의 불편함에 대한 간접 비용도 무시 할 수 없다. 완전 무결 노 리스크의 진공 상태 사회란 만들 수 없다. 상상할 수 있는 모든 리스크에 대응하는 조치를 일단 해 봄으로써 만족감을 얻으려는 마음은 이해가 간다. 그러나 그 코스트는 고려되고 있지 않다.

더 안타까운 것은 기회 비용이다. 선진 IT 강국들은 OS와 브라우저에 기본 탑재된 표준화된 기술만으로 안전한 거래를 하기 위한 노력을 하고 그 과정에서 또 다른 세계적 표준을 만들어 내고자 노력한다. 반면 우리는 일단 ‘우물 안 개구리’식 기술이 적용되도록 감독기관의 감찰을 통과하고 이 회로에 속한 이들에게 대규모 발주를 해야 한다. 웹2.0적 '가치 교환 플랫폼'을 꿈꾸는 벤처가 도무지 생겨날 수가 없다. 별다른 추가적 제제나 감시 없이 전자 거래가 가능하게 되면 자신의 입지가 위태로워지는 이들이 리스크를 침소봉대하여 제도와 시스템을 만들고, 그럼에도 불구 사고가 터져 제도의 근본적 신뢰성에 금이 갔음에도, 좀처럼 정정할 의도가 없다. 정부와 행정의 역할은 어디로 갔나?

지금과 같은 굳어 버린 성곽 속에서는 새로운 아이디어의 창발이 원천적으로 억제될 뿐만 아니라, 외적 변화에 적응할 때 막대한 사회적 비용이 지불되며, 그리고 파괴적 신기술의 유입이 차단되어 가늠할 수 없는 산업의 왜곡으로 이어진다. 각국 전자 거래법의 기본 원칙은 ‘국제적 기술 동향과 조화된 입법’을 늘 꿈꿔왔다. 왜냐하면 전자 거래의 범지구적 성격을 알기 때문이다. 우리와 매우 흡사한 일본의 전자서명법도 우리 공인인증에 해당하는 '특정인증업무'의 입법이 있지만, 그 입법 경위는 외국과의 상호인증을 위한 것이기에 특정인증업무의 기준을 따르지 않더라도 법률효과는 존속된다. 그 덕에 인증서가 쓰이는 경우는 세금 신고 정도이고, 이 조차 시스템 도입 3년이 지난 지금 개인의 0.2%만 사용하고 있다.

물론 한국의 전자서명법도 원래 그런 법리일지 모른다. 그렇지만 이미 다양한 시행 세칙 및 관련 기관의 감독은 이를 굳어 버린 감시 감독 체제로 진화시켜 버렸다. 그리고 이를 충실히 따르는 업계는 어느새 놀랄 만큼 기형적인 웹 생태계를 만들어 놓은 것이다.

한국의 웹은, 그 서비스의 면모는 독창적이고 기발하며 참신하다. 그렇지만 웹은 세계와의 소통이 전제다. 그렇기에 우리는 외국의 쇼핑몰에서 물건을 살 수 있고, 외국의 메일 서비스를 그대로 이용할 수 있는 것이다. 이런 일이 가능하게 하기 위해 사람들은 표준을 이야기하고, 아니 웹 자체가 하나의 표준인 것이다. 이 공간이 거대한 소통의 플랫폼, '직접적 가치 교환의 플랫폼'으로 진화해 나가려는 시점에 있건만, 우리는 주민등록번호 없으면 가입 못하는 시스템을 만들더니 이제 공인인증서가 없으면 진행이 안 되는 시스템을 만들고 그 안에 갇혀 있다. 정말 공인인증서가 필요하다 믿는다면 이를 세계적 규모의 표준으로 만들어야 한다. 정말 관공서에서 전자 서명의 서증이 필요하다면 유럽의 WASP (Web Activated Signature Protocol)처럼 천천히 느긋하게 표준화의 길을 걸어야 한다.

프로슈머, 소액결제, 지역통화 등등 우리는 지금까지 현실에서 생각지도 못했던 가치 교환의 욕구와 만나게 될 것이다. 지금 세계는 이상계 위에서 그리고 환상계 속에서 새 시대에 걸맞은 새로운 플랫폼을 만들려 노력하고, 또 그 위에서 새로운 기회를 찾으려 분주하다. 그러나 우리는 법과 감독의 규율에 갇혀 아무 생각도 하지 않고 있는 듯 하다.

변화의 시대. 새로운 플랫폼을 쓰지 말라고 권하는 게 나을까, 그 플랫폼을 타고 세계로 뻗어나가는 게 나을까? 후자가 답이라면 단기적인 해법에 집착하지 말고 미래를 위한 구조개혁을 단행할 때다.

출처 :  김국현(IT평론가)
    

설정

트랙백

댓글