jasu's blog
블로그 메뉴검색결과 리스트
IT에 해당되는 글 3건
- 2007.07.14 한국에서 SW 개발자가 성공하지 못하는 세가지 이유
- 2007.03.19 ActiveX 문제의 진실 8
- 2007.03.10 웹 구조개혁의 제안
글
한국에서 SW 개발자가 성공하지 못하는 세가지 이유
Programming/Etc
2007. 7. 14. 14:02
소프트웨어 개발자 직종에 대한 회의론적인 얘기가 여기저기에서 들린다. 한때 IT 붐이 일었을 때는 많은 사람들이 개발자를 지망하기도 했다. 하지만 최근 상황을 보면, 신규 유입되는 인력이 아주 적은 편이다. 요즘 젊은이들은 영악해서 이 직종에 비전이 없다는 것을 너무나 잘 알고 있다.
신참 인력뿐만 아니라 고급 인력도 많이 부족하다. 현재의 사회 풍토에서 고급 인력으로 성장하는 것은 결코 쉬운 일이 아니기 때문이다. 그저 사회가 제시하는 길을 따라가다가는 고급 인력이 되는 것이 아니라 퇴출된다.
필자의 경우를 보면, 필자는 정말 프로그래밍이 좋아서 시작한 8비트 키드이다. 중학교 1학년 때 처음으로 컴퓨터를 알게 된 이후로 한시도 컴퓨터와 떨어진 적이 없는 소위 컴퓨터광(geek)이다. 하지만 대학 졸업 후 사회에 나와 첫 직장인 SI 업체에서 일하면서 몇 번이나 눈물을 흘렸다. 이후 프리랜서, 개인회사 창업, 벤처기업, 중소기업, 대기업, 외국계 기업을 두루 걸치면서 현재까지 겨우 살아남을 수 있었다.
만일 그런 인생의 순간순간에서 이를 악물고 분발하지 못한 채 끈을 놓아버렸다면 어땠을까? 정말 아찔한 생각이 든다. 특유의 헝그리 정신으로 인해 겨우 버텼으며 성격도 많이 변했다. 그간 필자 자신 그리고 선배, 동료, 후배들을 보면서 느꼈던 생각을 정리해서 개발자가 성공할 수 없는 이유 세 가지를 꼽아 보았다.
SI 중심의 왜곡된 업계 구조
첫 째, 업계 구조가 SI 중심으로 왜곡되어 있다. 국내의 소프트웨어 산업은 패키지나 솔루션 비즈니스가 제대로 작동되지 않는 상태에서, 대기업 중심의 SI 업체들이 시장을 차지하고 있다. 그 과정에서 산업의 혈액 순환이 잘 되지 않아, 대기업만 돈을 벌뿐 중소기업들은 협력 업체라는 미명 하에 근근이 먹고 살고 있는 형편이다. 통계에 따르면 전체 매출의 80% 이상을, 그리고 영업 이익의 90% 이상을 대기업 계열 SI 업체 상위 3개사가 가져가고 있다.
SI는 소프트웨어 산업을 구성하는 한 가지 요소일 뿐이지만 국내에서는 거의 SI 밖에 없는 수준이다. 그런 상태에서 빅3업체가 모든 것을 가져가고 있으며, 산업 전반에 하청 및 재하청에 따른 죽음의 순환 고리를 형성하고 있다. 그런 생태 구조에서 개발자는 단지 머리 수에 불과할 따름이다. 또한 전문적인 지식에 대한 가치 판단이 제대로 이루어지지 않고 있기 때문에, 소프트웨어 아키텍처까지도 비전문가에게 맡겨지는 경우가 많다.
SI 중심의 산업 구조, 그리고 전문가에 대한 평가 체계가 없고 단지 머리 수에 의해 개발자에 대한 판단이 이루어지는 상황에서 개발자의 성공 사례는 나올 수 없다. 대기업의 협력 업체에서 일하는 많은 개발자들이 과중한 업무로 인해 참다못해 전업을 하거나 건강이 나빠져서 자의반 타의반 일을 더 이상 할 수 없게 되곤 한다. 그러한 이유 때문에 많은 개발자들이 스스로를 막장 인생이라고 표현하고 있다.
엉성한 개발자 관리
둘째, 소프트웨어 업체들이 개발자를 제대로 관리하지 못하고 있다. 소프트웨어 개발은 멘탈(mental) 작업이다. 인간의 정신에 의해 결과물이 만들어지고 그것이 성공과 실패를 좌우한다. 하지만 국내 대부분의 소프트웨어 업체들은 그러한 멘탈 작업에 적합한 업무 환경을 제공하지 못하고 있다. 또한 커리어 관리도 이루어지지 않고 있다. 물론 실적에 대한 보상도 미비하다.
개발자들에 대해 출퇴근 시간을 정확하게 체크하고(아니, 출근시간을 지키는지 체크하고 퇴근시간은 얼마나 늦는지 체크한다), 집중할 수 없는 시끄러운 환경을 제공하고, 업무 실적의 가치를 제대로 평가하지도 못한다. 심지어 복장 점검을 하기도 한다. 또한 요즘 개발자들은 전문적인 교육은 고사하고 일일 세미나에 참석하는 것도 어려운 형편이다. 많은 기업들이 최소한의 투자조차 기피하고 있기 때문이다.
그것은 중소기업은 말할 것도 없고 소위 초일류 기업을 지향한다는 대기업도 마찬가지이다. 열악한 업무 환경을 제공하면서 성과에 있어서는 최고의 아웃풋을 강요한다. 개발 환경만 제대로 제공되지 못하는 것이 아니라 관리도 제대로 안되고 있다. 부적절한 관리자들이 개발자를 정신적으로 학대하고 있다. 소프트웨어 개발자로서 생존하기 위해서는 사회 구조적 환경, 그리고 기업문화와 싸워야 한다. 많은 선배 개발자들이 그런 생존을 위한 싸움에서 졌고 결국 사라져 갔다.
개발자들의 스킬 부족과 닫혀진 태도
셋째, 끝으로 개발자들의 커뮤니케이션 스킬 부족과 태도 문제를 지적하지 않을 수 없다. 이 문제는 한국적 기업문화(상명하복)와 결합하여 더욱 복잡한 문제를 야기하고 있다. 개발자들은 특히 다른 직종에 비해 성격이 까칠한 경우가 많다. 자신만의 지식과 세계가 있기 때문에 그것이 전부라고 우쭐한 채로, 다른 개발자나 다른 직종을 존중하지 못하는 사람들이 꽤 많다.
하지만 “타인이 원하는 것에 대해 관심을 갖지 않는 사람”은 인생의 가시밭길을 걷게 된다. 그런 태도는 타인과의 협업을 어렵게 하고 결국 자기 자신이 원하는 것도 얻지 못하게 한다. 젊은 시절에는 그런 태도에도 불구하고 큰 문제가 없을 수 있겠지만, 30대 중반이 넘을 때까지도 태도를 변화시키지 못할 경우 이후에 많은 고난을 겪게 된다. 그것은 이미 인간의 역사에서 증명된 삶의 법칙이다.
똑똑하고 샤프한 개발자들은 종종 있다. 하지만 타인의 관심사에 진정으로 주의를 기울이고 타인에게 친절한 마음을 가진 개발자를 만나기란 참으로 힘들다. 이것은 다른 직종도 마찬가지이겠지만 (개발자 출신인 필자가 볼 때에는) 개발자들의 세계에 유독 이런 까칠함과 폐쇄성이 심하다.
물론 그런 독불장군적 태도가 단지 개발자들의 탓만은 아닐 것이다. 많은 개발자들이 피해 의식을 갖고 있으며 그것이 타인에 대한 공격적 태도로 나타나기도 한다. 사회적 환경의 미비, 그리고 커뮤니케이션 스킬이 부족한 개발자들. 이 조합이 더욱 안타까운 결과를 만들어낸다.
추가적으로 언급할 점은, 혁신해야 할 여러 가지 네가티브한 요인에도 불구하고 개발자들끼리 잘 뭉치지 못한다는 사실이다. 외국과 달리 개발자 커뮤니티의 활동이 많지 않다. 물론 JCO(자바 개발자 커뮤니티), SCA(소프트웨어 커뮤니티 연합) 등 개발자들의 모임이 없는 것은 아니지만 가끔 오프라인 모임이나 컨퍼런스를 개최할 뿐, 별다른 ‘사회 변혁적 활동’을 구현하지는 못하고 있다. 개발자들의 실상을 알리고 대안을 마련하고 정부나 기업들과 접촉을 하고 해외에 진출하고 창업을 하는 등의 좀 더 적극적으로 행동하는 것이 필요하다.
아마도 필자의 이런 글에 대해 그저 현실에 대한 비판에 불과하다고 얘기하는 이도 있을 것이다. 하지만 대응 방안을 마련하기 위해서는 먼저 냉정하게 현실을 정리하지 않을 수 없다.
요약해보자. 대기업 계열사들이 장악한 SI 위주의 산업 구조에서 개발자들은 성장하지 못하고 성공하지 못한다. 이런 사회 풍토에서 과연 존경 받거나 성공한 개발자들이 얼마나 되는가? 또한 많은 소프트웨어 업체들의 기업 문화가 후진적이다. 제대로 된 업무 환경을 제공하지도 못하면서 프로젝트 관리도 안 된다. 그러면서 성과에 대해서는 초일류를 원한다. 이율배반적이다.
개발자들의 태도 문제도 있다. 환경을 바꾸지 못하면 자기 자신을 바꾸어야 한다. 개발자 스스로 그런 인식을 가져야 한다. 피해의식에 사로잡혀 있는 것만으로는 삶이 억울하지 않은가? 개인적으로 커뮤니케이션 스킬을 향상시키고 타인에 대해 친절한 태도를 갖추는 인간 수양이 필요하다. 그리고 동료 개발자들과 함께 변혁을 위해 협업하고 개척해나갈 부분이 있다는 것을 알고서 행동해야 한다.
왜곡된 업계 구조 속에서 가만히 있으면 퇴출될 뿐이다. 우리에게는 행동이 필요하다. 이후의 컬럼에서 하나씩 대응 방안을 다루어보도록 하겠다.
출처 : ZDNet Korea - 류한석(IT 컬럼니스트)
신참 인력뿐만 아니라 고급 인력도 많이 부족하다. 현재의 사회 풍토에서 고급 인력으로 성장하는 것은 결코 쉬운 일이 아니기 때문이다. 그저 사회가 제시하는 길을 따라가다가는 고급 인력이 되는 것이 아니라 퇴출된다.
필자의 경우를 보면, 필자는 정말 프로그래밍이 좋아서 시작한 8비트 키드이다. 중학교 1학년 때 처음으로 컴퓨터를 알게 된 이후로 한시도 컴퓨터와 떨어진 적이 없는 소위 컴퓨터광(geek)이다. 하지만 대학 졸업 후 사회에 나와 첫 직장인 SI 업체에서 일하면서 몇 번이나 눈물을 흘렸다. 이후 프리랜서, 개인회사 창업, 벤처기업, 중소기업, 대기업, 외국계 기업을 두루 걸치면서 현재까지 겨우 살아남을 수 있었다.
만일 그런 인생의 순간순간에서 이를 악물고 분발하지 못한 채 끈을 놓아버렸다면 어땠을까? 정말 아찔한 생각이 든다. 특유의 헝그리 정신으로 인해 겨우 버텼으며 성격도 많이 변했다. 그간 필자 자신 그리고 선배, 동료, 후배들을 보면서 느꼈던 생각을 정리해서 개발자가 성공할 수 없는 이유 세 가지를 꼽아 보았다.
SI 중심의 왜곡된 업계 구조
첫 째, 업계 구조가 SI 중심으로 왜곡되어 있다. 국내의 소프트웨어 산업은 패키지나 솔루션 비즈니스가 제대로 작동되지 않는 상태에서, 대기업 중심의 SI 업체들이 시장을 차지하고 있다. 그 과정에서 산업의 혈액 순환이 잘 되지 않아, 대기업만 돈을 벌뿐 중소기업들은 협력 업체라는 미명 하에 근근이 먹고 살고 있는 형편이다. 통계에 따르면 전체 매출의 80% 이상을, 그리고 영업 이익의 90% 이상을 대기업 계열 SI 업체 상위 3개사가 가져가고 있다.
SI는 소프트웨어 산업을 구성하는 한 가지 요소일 뿐이지만 국내에서는 거의 SI 밖에 없는 수준이다. 그런 상태에서 빅3업체가 모든 것을 가져가고 있으며, 산업 전반에 하청 및 재하청에 따른 죽음의 순환 고리를 형성하고 있다. 그런 생태 구조에서 개발자는 단지 머리 수에 불과할 따름이다. 또한 전문적인 지식에 대한 가치 판단이 제대로 이루어지지 않고 있기 때문에, 소프트웨어 아키텍처까지도 비전문가에게 맡겨지는 경우가 많다.
SI 중심의 산업 구조, 그리고 전문가에 대한 평가 체계가 없고 단지 머리 수에 의해 개발자에 대한 판단이 이루어지는 상황에서 개발자의 성공 사례는 나올 수 없다. 대기업의 협력 업체에서 일하는 많은 개발자들이 과중한 업무로 인해 참다못해 전업을 하거나 건강이 나빠져서 자의반 타의반 일을 더 이상 할 수 없게 되곤 한다. 그러한 이유 때문에 많은 개발자들이 스스로를 막장 인생이라고 표현하고 있다.
엉성한 개발자 관리
둘째, 소프트웨어 업체들이 개발자를 제대로 관리하지 못하고 있다. 소프트웨어 개발은 멘탈(mental) 작업이다. 인간의 정신에 의해 결과물이 만들어지고 그것이 성공과 실패를 좌우한다. 하지만 국내 대부분의 소프트웨어 업체들은 그러한 멘탈 작업에 적합한 업무 환경을 제공하지 못하고 있다. 또한 커리어 관리도 이루어지지 않고 있다. 물론 실적에 대한 보상도 미비하다.
개발자들에 대해 출퇴근 시간을 정확하게 체크하고(아니, 출근시간을 지키는지 체크하고 퇴근시간은 얼마나 늦는지 체크한다), 집중할 수 없는 시끄러운 환경을 제공하고, 업무 실적의 가치를 제대로 평가하지도 못한다. 심지어 복장 점검을 하기도 한다. 또한 요즘 개발자들은 전문적인 교육은 고사하고 일일 세미나에 참석하는 것도 어려운 형편이다. 많은 기업들이 최소한의 투자조차 기피하고 있기 때문이다.
그것은 중소기업은 말할 것도 없고 소위 초일류 기업을 지향한다는 대기업도 마찬가지이다. 열악한 업무 환경을 제공하면서 성과에 있어서는 최고의 아웃풋을 강요한다. 개발 환경만 제대로 제공되지 못하는 것이 아니라 관리도 제대로 안되고 있다. 부적절한 관리자들이 개발자를 정신적으로 학대하고 있다. 소프트웨어 개발자로서 생존하기 위해서는 사회 구조적 환경, 그리고 기업문화와 싸워야 한다. 많은 선배 개발자들이 그런 생존을 위한 싸움에서 졌고 결국 사라져 갔다.
개발자들의 스킬 부족과 닫혀진 태도
셋째, 끝으로 개발자들의 커뮤니케이션 스킬 부족과 태도 문제를 지적하지 않을 수 없다. 이 문제는 한국적 기업문화(상명하복)와 결합하여 더욱 복잡한 문제를 야기하고 있다. 개발자들은 특히 다른 직종에 비해 성격이 까칠한 경우가 많다. 자신만의 지식과 세계가 있기 때문에 그것이 전부라고 우쭐한 채로, 다른 개발자나 다른 직종을 존중하지 못하는 사람들이 꽤 많다.
하지만 “타인이 원하는 것에 대해 관심을 갖지 않는 사람”은 인생의 가시밭길을 걷게 된다. 그런 태도는 타인과의 협업을 어렵게 하고 결국 자기 자신이 원하는 것도 얻지 못하게 한다. 젊은 시절에는 그런 태도에도 불구하고 큰 문제가 없을 수 있겠지만, 30대 중반이 넘을 때까지도 태도를 변화시키지 못할 경우 이후에 많은 고난을 겪게 된다. 그것은 이미 인간의 역사에서 증명된 삶의 법칙이다.
똑똑하고 샤프한 개발자들은 종종 있다. 하지만 타인의 관심사에 진정으로 주의를 기울이고 타인에게 친절한 마음을 가진 개발자를 만나기란 참으로 힘들다. 이것은 다른 직종도 마찬가지이겠지만 (개발자 출신인 필자가 볼 때에는) 개발자들의 세계에 유독 이런 까칠함과 폐쇄성이 심하다.
물론 그런 독불장군적 태도가 단지 개발자들의 탓만은 아닐 것이다. 많은 개발자들이 피해 의식을 갖고 있으며 그것이 타인에 대한 공격적 태도로 나타나기도 한다. 사회적 환경의 미비, 그리고 커뮤니케이션 스킬이 부족한 개발자들. 이 조합이 더욱 안타까운 결과를 만들어낸다.
추가적으로 언급할 점은, 혁신해야 할 여러 가지 네가티브한 요인에도 불구하고 개발자들끼리 잘 뭉치지 못한다는 사실이다. 외국과 달리 개발자 커뮤니티의 활동이 많지 않다. 물론 JCO(자바 개발자 커뮤니티), SCA(소프트웨어 커뮤니티 연합) 등 개발자들의 모임이 없는 것은 아니지만 가끔 오프라인 모임이나 컨퍼런스를 개최할 뿐, 별다른 ‘사회 변혁적 활동’을 구현하지는 못하고 있다. 개발자들의 실상을 알리고 대안을 마련하고 정부나 기업들과 접촉을 하고 해외에 진출하고 창업을 하는 등의 좀 더 적극적으로 행동하는 것이 필요하다.
아마도 필자의 이런 글에 대해 그저 현실에 대한 비판에 불과하다고 얘기하는 이도 있을 것이다. 하지만 대응 방안을 마련하기 위해서는 먼저 냉정하게 현실을 정리하지 않을 수 없다.
요약해보자. 대기업 계열사들이 장악한 SI 위주의 산업 구조에서 개발자들은 성장하지 못하고 성공하지 못한다. 이런 사회 풍토에서 과연 존경 받거나 성공한 개발자들이 얼마나 되는가? 또한 많은 소프트웨어 업체들의 기업 문화가 후진적이다. 제대로 된 업무 환경을 제공하지도 못하면서 프로젝트 관리도 안 된다. 그러면서 성과에 대해서는 초일류를 원한다. 이율배반적이다.
개발자들의 태도 문제도 있다. 환경을 바꾸지 못하면 자기 자신을 바꾸어야 한다. 개발자 스스로 그런 인식을 가져야 한다. 피해의식에 사로잡혀 있는 것만으로는 삶이 억울하지 않은가? 개인적으로 커뮤니케이션 스킬을 향상시키고 타인에 대해 친절한 태도를 갖추는 인간 수양이 필요하다. 그리고 동료 개발자들과 함께 변혁을 위해 협업하고 개척해나갈 부분이 있다는 것을 알고서 행동해야 한다.
왜곡된 업계 구조 속에서 가만히 있으면 퇴출될 뿐이다. 우리에게는 행동이 필요하다. 이후의 컬럼에서 하나씩 대응 방안을 다루어보도록 하겠다.
출처 : ZDNet Korea - 류한석(IT 컬럼니스트)
글
ActiveX 문제의 진실
Miscellaneous/Etc
2007. 3. 19. 11:14
요즈음 ActiveX, 정확히는 'ActiveX 컨트롤'이란 기술이 시끄럽다. 브라우저 밑으로 손을 뻗어 그 밑에 깔린 시스템의 기능을 만지작거릴 수 있게 하는 요물. 웹은 웹이로되 PC가 할 수 있는 모든 일을 하게끔 하는, 웹을 웹 이상으로 조작하기 위한 '만능 컨트롤' 도구, ActiveX. 90년대의 프로그래머들은 ActiveX가 포함된 COM이라는 테크놀로지 조합으로 PC 전성기를 풍미했다.
그런데 새 버전의 인터넷 익스플로러와 새 OS 윈도우 비스타는 자신들의 기술 ActiveX를 유리 상자 안에 가둬 버리고 만다. ActiveX란 뭐든지 만들 수 있지만, 뭐든지 망칠 수도 있는 양날의 검이었다. 새 플랫폼이 ActiveX에 거리를 두는 이유는 '시스템의 기능을 만지작거리는 일'이 악인에 의해서도 자행될 수 있다는 자각 때문이다. ActiveX는 모두가 순박했던 목가적 시절에나 어울리는 기술이었던 것이다.
게다가 이미 업계는 웹을 임의로 '컨트롤'하여 변경하는 일이 그리 바람직한 일도 아님을 공감하고 있다. 웹 표준 운동도 그 일환이다. ActiveX같은 로우레벨 아키텍처에 의존한 플랫폼을 만드는 일이란 플래시 수준의 입지를 지닌 플랫폼 제공자가 아니라면 비즈니스적으로도 별 의미가 없다는 것을 깨달았다. 마치 고급 언어를 배운 이래 어셈블리어를 만질 필요가 없듯, 굳이 웹을 개선한다는 목적만으로는 ActiveX라는 위험한 칼을 만질 이유가 없는 것이다.
물론 아이디어란 표준으로 묶어 놓기에는 너무나 자유분방한 것이기에, 올해도 내년에도 웹의 확장은 일어날 것이다. 그렇기에 웹을 초월한 무언가를 덧붙이려는 확장 욕구는 건전한 것이다. 브라우저로 하지 못하는 일을 새로운 아이디어로 '확장'하려는 욕망은 멈추기 힘들고, 이 점을 강조하기 위해서 일까? 파이어폭스가 ActiveX '컨트롤(Controls)'을 금지하고 대신 파이어폭스 '확장(Extension)'이란 개념을 도입한 의도는 그 용어에 잘 나타나 있다. 마이크로소프트도 이미 닷넷을 중심으로 기술 구조를 재편한지 오래다. ActiveX를 위시한 Win32의 리거시 기술들은 배후로 밀려나고, 웹의 확장 기능도 ActiveX라는 칼을 직접 만지지 않도록 유도하고 있다. 더 편하고 더 쉬운 확장을 할 수 있는 방안과 로드맵이 따로 있는 것이다.
그러나 우리는 유난히 ActiveX라는 날카로운 칼을 좋아했다. 그리고 무척이나 잘 드는 이 칼로 웹을 확장한 것이 아니라 오히려 웹의 여기저기를 도려내며 우리만의 아키텍처를 만들었다. 대한민국의 웹을 서핑하다 만나게 되는 수 없는 경고창들, 칼을 조심하라는 시스템의 경고지만 개의치 않는다. 수저가 필요한 곳에 칼이 놓이고 있다. 손잡이가 필요한 곳에 날이 서 있다.
칼날이 난무한다. 특히 은행 일이라도 한번 보려면 여러 개의 컨트롤을 일단 깔아댄다. 뭐가 뭔지 도무지 모르겠지만, 여하튼 설치하지 않으면 아무 것도 못하니 방법이 없다. 게다가 왜 이렇게 회사마다 종류가 골고루인지. 그렇게 내 PC를 유린하듯 설치되는 컨트롤의 면모는 살펴 보니 하나 같이 '보안 모듈'.
여기에서 의문이 생긴다. 왜 보안을 웹의 외부 기능에 의존해야 하는 것인가? 사실을 말하자면, 한국 수준의 보안은 모르겠으나 적어도 세계 수준의 보안은 브라우저 만으로도 얼마든지 확보할 수 있다. 외국 굴지의 은행들은 브라우저만으로 인터넷 뱅킹을 무리 없이 수행하고 있다. IE와 파이어폭스 모두 필요 충분한 수준의 암호화 기능은 물론 인증서 관리 기능도 들어 있다.
그런데 한국은 세계에서 통용되는 이러한 표준 기능은 활용하지 않은 채, 보안을 웹의 외부 기능으로 빼내어 독자적으로 처리하고 있다. 놀라운 기술 독립이다. 마이크로소프트도 모질라 재단도 놀라고 있는 일이다. 그들은 이해를 못하는 일이다.
왜? 도대체 왜 이 상황이 된 것일까?
여러 가지 도시 전설이 횡행하지만, ① 당시 미국의 128비트 암호화 수출 금지 조항에 맞선 독자 기술(SEED)의 개발과 적용 지도, ② 한국의 특수 상황이 발생시킨 정보 기관의 지침(보안 적합성 검증), ③ 독자적 최상위 인증 기관 운영 욕구, ④ 해킹 피해 발생 보도에 대한 과민 반응. 등이 복합적으로 작용했다는 설이다. 인터넷이 너무 일찍 퍼진 한국은 너무 급했고 너무 불안했던 것이다.
이 과정에서 얻은 일도 있을 것이다. 내수 보안 산업이 자생적 생태계를 꾸릴 수 있었다. 척박한 국내 IT 시장에서 나름대로 고용을 창출하고 기술을 연마해 온 그들에게 과연 “당신들의 존재 자체가 틀렸어!”라고 감히 말할 수 있을까? 누구도 그럴 용기가 없다. 완전한 기술 쇄국을 이끈 정부도 금융권도 IT 업계도 국민도 어느 누구도.
그러나 잠시 스스로를 돌아 볼 때다. 우리는 정말 세계 어느 나라보다 안전할까? 인증서 파일을 PC에서 PC로 옮겨 들고 다니는 일이 과연 최고의 보안 솔루션일까? 다른 나라처럼 암호 발생 카드나 암호 발생 열쇠고리를 사용하는 것이 차라리 안전하지 않을까? 전세계적으로 테스트되고 사용되고 있는 브라우저 들의 내부 보안 기능보다, 버그가 있을 수 있는 개별 기업의 외부 보안 솔루션이 더 안전하다고 우리는 진정 믿을 수 있을까? 우리에게는 잠시 쉬어가며 백지에서 다시 생각해 볼 여유가 필요한 것이다.
ActiveX의 문제란 결국 독자 기술의 꿈이 불러 온 기술 쇄국의 딜레마였던 것이다.
사실 아무 일도 아닐 수도 있다. 쇄국의 아키텍처를 끝까지 고수하며 업체를 압박한다면 어떻게든 솔루션은 생길지 모른다. 그러나 언제까지 그렇게 아슬아슬한 아키텍처를 우리는 가져갈 수 있을까? 새로운 OS가 등장할 때마다, 새로운 브라우저가 등장할 때마다 우리는 '우리의 실정'을 부르짖어야 할 테니까.
기술은 도구인 이상, 양날의 검이다. 잘 쓰면 유용한 도구이지만 목적을 잊은 채 수없이 주머니에 품고 있기에는 거북한 존재인 것이다. 잘못 들어가 있는 칼은 서서히 걷어내야 한다. 그리고 그 칼의 사용은, 그리고 더군다나 민생에 직결되는 서비스에서의 사용은 더 신중히 논의되어야 하는 것이다.
칼을 드는 순간, 내 스스로 누군가를 소외시키지는 않는지, 그리고 그 칼을 드는 순간 내가 세상으로부터 소외되지는 않은지 생각해 봐야 한다. 도구의 의미를 생각하지 않은 채, 용도를 숙고하지 않은 채, 도구의 방향을 관찰하지 않은 채, 도구를 본래의 취지와 맞지 않게 남용하는 것이 얼마나 무모한지 우리 사회는 그리고 업계는 어쩌면 매우 비싼 값을 치르며 배우고 있는 것인지도 모른다.
출처 : 김국현(IT평론가)
그런데 새 버전의 인터넷 익스플로러와 새 OS 윈도우 비스타는 자신들의 기술 ActiveX를 유리 상자 안에 가둬 버리고 만다. ActiveX란 뭐든지 만들 수 있지만, 뭐든지 망칠 수도 있는 양날의 검이었다. 새 플랫폼이 ActiveX에 거리를 두는 이유는 '시스템의 기능을 만지작거리는 일'이 악인에 의해서도 자행될 수 있다는 자각 때문이다. ActiveX는 모두가 순박했던 목가적 시절에나 어울리는 기술이었던 것이다.
게다가 이미 업계는 웹을 임의로 '컨트롤'하여 변경하는 일이 그리 바람직한 일도 아님을 공감하고 있다. 웹 표준 운동도 그 일환이다. ActiveX같은 로우레벨 아키텍처에 의존한 플랫폼을 만드는 일이란 플래시 수준의 입지를 지닌 플랫폼 제공자가 아니라면 비즈니스적으로도 별 의미가 없다는 것을 깨달았다. 마치 고급 언어를 배운 이래 어셈블리어를 만질 필요가 없듯, 굳이 웹을 개선한다는 목적만으로는 ActiveX라는 위험한 칼을 만질 이유가 없는 것이다.
물론 아이디어란 표준으로 묶어 놓기에는 너무나 자유분방한 것이기에, 올해도 내년에도 웹의 확장은 일어날 것이다. 그렇기에 웹을 초월한 무언가를 덧붙이려는 확장 욕구는 건전한 것이다. 브라우저로 하지 못하는 일을 새로운 아이디어로 '확장'하려는 욕망은 멈추기 힘들고, 이 점을 강조하기 위해서 일까? 파이어폭스가 ActiveX '컨트롤(Controls)'을 금지하고 대신 파이어폭스 '확장(Extension)'이란 개념을 도입한 의도는 그 용어에 잘 나타나 있다. 마이크로소프트도 이미 닷넷을 중심으로 기술 구조를 재편한지 오래다. ActiveX를 위시한 Win32의 리거시 기술들은 배후로 밀려나고, 웹의 확장 기능도 ActiveX라는 칼을 직접 만지지 않도록 유도하고 있다. 더 편하고 더 쉬운 확장을 할 수 있는 방안과 로드맵이 따로 있는 것이다.
그러나 우리는 유난히 ActiveX라는 날카로운 칼을 좋아했다. 그리고 무척이나 잘 드는 이 칼로 웹을 확장한 것이 아니라 오히려 웹의 여기저기를 도려내며 우리만의 아키텍처를 만들었다. 대한민국의 웹을 서핑하다 만나게 되는 수 없는 경고창들, 칼을 조심하라는 시스템의 경고지만 개의치 않는다. 수저가 필요한 곳에 칼이 놓이고 있다. 손잡이가 필요한 곳에 날이 서 있다.
칼날이 난무한다. 특히 은행 일이라도 한번 보려면 여러 개의 컨트롤을 일단 깔아댄다. 뭐가 뭔지 도무지 모르겠지만, 여하튼 설치하지 않으면 아무 것도 못하니 방법이 없다. 게다가 왜 이렇게 회사마다 종류가 골고루인지. 그렇게 내 PC를 유린하듯 설치되는 컨트롤의 면모는 살펴 보니 하나 같이 '보안 모듈'.
여기에서 의문이 생긴다. 왜 보안을 웹의 외부 기능에 의존해야 하는 것인가? 사실을 말하자면, 한국 수준의 보안은 모르겠으나 적어도 세계 수준의 보안은 브라우저 만으로도 얼마든지 확보할 수 있다. 외국 굴지의 은행들은 브라우저만으로 인터넷 뱅킹을 무리 없이 수행하고 있다. IE와 파이어폭스 모두 필요 충분한 수준의 암호화 기능은 물론 인증서 관리 기능도 들어 있다.
그런데 한국은 세계에서 통용되는 이러한 표준 기능은 활용하지 않은 채, 보안을 웹의 외부 기능으로 빼내어 독자적으로 처리하고 있다. 놀라운 기술 독립이다. 마이크로소프트도 모질라 재단도 놀라고 있는 일이다. 그들은 이해를 못하는 일이다.
왜? 도대체 왜 이 상황이 된 것일까?
여러 가지 도시 전설이 횡행하지만, ① 당시 미국의 128비트 암호화 수출 금지 조항에 맞선 독자 기술(SEED)의 개발과 적용 지도, ② 한국의 특수 상황이 발생시킨 정보 기관의 지침(보안 적합성 검증), ③ 독자적 최상위 인증 기관 운영 욕구, ④ 해킹 피해 발생 보도에 대한 과민 반응. 등이 복합적으로 작용했다는 설이다. 인터넷이 너무 일찍 퍼진 한국은 너무 급했고 너무 불안했던 것이다.
이 과정에서 얻은 일도 있을 것이다. 내수 보안 산업이 자생적 생태계를 꾸릴 수 있었다. 척박한 국내 IT 시장에서 나름대로 고용을 창출하고 기술을 연마해 온 그들에게 과연 “당신들의 존재 자체가 틀렸어!”라고 감히 말할 수 있을까? 누구도 그럴 용기가 없다. 완전한 기술 쇄국을 이끈 정부도 금융권도 IT 업계도 국민도 어느 누구도.
그러나 잠시 스스로를 돌아 볼 때다. 우리는 정말 세계 어느 나라보다 안전할까? 인증서 파일을 PC에서 PC로 옮겨 들고 다니는 일이 과연 최고의 보안 솔루션일까? 다른 나라처럼 암호 발생 카드나 암호 발생 열쇠고리를 사용하는 것이 차라리 안전하지 않을까? 전세계적으로 테스트되고 사용되고 있는 브라우저 들의 내부 보안 기능보다, 버그가 있을 수 있는 개별 기업의 외부 보안 솔루션이 더 안전하다고 우리는 진정 믿을 수 있을까? 우리에게는 잠시 쉬어가며 백지에서 다시 생각해 볼 여유가 필요한 것이다.
ActiveX의 문제란 결국 독자 기술의 꿈이 불러 온 기술 쇄국의 딜레마였던 것이다.
사실 아무 일도 아닐 수도 있다. 쇄국의 아키텍처를 끝까지 고수하며 업체를 압박한다면 어떻게든 솔루션은 생길지 모른다. 그러나 언제까지 그렇게 아슬아슬한 아키텍처를 우리는 가져갈 수 있을까? 새로운 OS가 등장할 때마다, 새로운 브라우저가 등장할 때마다 우리는 '우리의 실정'을 부르짖어야 할 테니까.
기술은 도구인 이상, 양날의 검이다. 잘 쓰면 유용한 도구이지만 목적을 잊은 채 수없이 주머니에 품고 있기에는 거북한 존재인 것이다. 잘못 들어가 있는 칼은 서서히 걷어내야 한다. 그리고 그 칼의 사용은, 그리고 더군다나 민생에 직결되는 서비스에서의 사용은 더 신중히 논의되어야 하는 것이다.
칼을 드는 순간, 내 스스로 누군가를 소외시키지는 않는지, 그리고 그 칼을 드는 순간 내가 세상으로부터 소외되지는 않은지 생각해 봐야 한다. 도구의 의미를 생각하지 않은 채, 용도를 숙고하지 않은 채, 도구의 방향을 관찰하지 않은 채, 도구를 본래의 취지와 맞지 않게 남용하는 것이 얼마나 무모한지 우리 사회는 그리고 업계는 어쩌면 매우 비싼 값을 치르며 배우고 있는 것인지도 모른다.
출처 : 김국현(IT평론가)
글
웹 구조개혁의 제안
Miscellaneous/Etc
2007. 3. 10. 20:36
답답해서 잠을 못 이루는 사안이 있다. 두고 보기에는 점점 꼬여가는 한국의 웹이다. '직접적 가치 교환 플랫폼'으로 진화해 나가야 할 웹이 현실이 드리워 놓은 구조적 장벽에 막혀 확장 의욕을 잃고 방황하고 있다.
지금 우리 IT 업계와 정책이 심사 숙고해야 할 문제는 ActiveX 호환성이나 웹접근성과 같은 발등의 불을 단기적으로 해소하는 일이 아니라, 급변하는 세계 속에서 과연 우리 IT가 세계에 의미가 있는 존재로 성장할 수 있을지 걱정해야 하는 레벨의 장기적 문제다.
법과 제도에 길들여진 기술은 그 특유의 창조성을 잃어 버리고, 고착화되어 고비용의 성곽을 쌓고 그대로 굳어 간다. 특히 지난 닷컴붐을 기점으로 형성된 전자 거래에 대한 보호 제도가 실은 보호가 아닌 규제와 간섭의 제도로 변해 버렸다. 뿐만 아니라 이에 대해 업계와 사회 전체가 이를 '당연한 기성 사실'로 삼고 의심하지 않은 채 주눅이 들어 그 틀 안에서 해법을 찾으려 하고 있다. 원점으로 돌아갈 용기를 잃은 것이다.
그러나 충격적이지만 이미 다 느끼고 있는 질문을 이제는 소리 내어 말해야만 한다.
"우리에게 공인인증체계란 정말 필요한 것일까?"
원래 인증서 자체는, 그리고 인증서가 근거한 PKI란 매력적이다. 공개키/비밀키의 쌍이 핵심 역할을 하는 이 인프라에서, 인증서는 거래 당사자가 진짜 그 사람임을 증명하고, 당사자만 이해할 수 있는 암호화된 통신으로 거래가 이루어질 수 있도록 한다. 내가 비밀키로 사인한 문서를 내 공개키로 확인할 수 있기에, 타인은 틀림 없이 내가 만든 문서임을 알게 된다는 원리다. 내 공개키로 다른 사람이 암호화해서 보내온 문서는 비밀키를 지닌 나만이 열 수 있다는 원리다. 이러한 의미에서 PKI 자체는 유용하고 또 탁월하다. 글로벌 기업은 직원과 자원의 인증 수단으로 사설 인증서를 널리 쓰고 있다.
문제는 '공인'이다.
현재 1500 만명, 그러니까 전 경제인구의 65%에 공인인증서가 보급되었다고 우리는 자화자찬한다. 세계 최고다. 주민등록제도에 이어 또 다른 쾌거다. 그렇지만 우리는 여기서 원점으로 돌아가 왜 공인인증서를 발부 받아야 하는지에 대한 의문을 풀어야 한다.
공인인증서는 현재 전자서명법 2조에서 밝힌 바와 같이 가입자가 생성한 정보가 가입자에 유일하게 속한다는 사실을 확인하고 증명하는데 있다. 민사소송법 358조의 작성자의 서명이나 날인 또는 무인이 있는 때에는 진정한 것으로 추정한다는 법리와 마찬가지 선상에 있을 것이다. 즉 공인인증서는 기본적으로 인감인 것이다.
그렇다면 전자 서명이란 이 문서가 틀림없이 내가 작성한 문서라는 점을, 그러니까 지금 눈 앞의 전자정보가 내 의사에 따른 것임을 입증하려는 것에 불과하다. 이 것이 원점이다. 현재 온라인상의 전자 거래에 있어서 그 규제의 원점이 되고 있는 전자서명법이 1장에서 밝힌 목적, 정의, 효력은 그 것이 전부다.
그러나 2장으로 넘어 가면서 전자서명법은 '법의 기술 중립성(벤더 중립성과는 완전히 차원이 다른)'과 역행한다. 사실상 본법은 2001년 말의 개정에도 불구하고 사실상 비대칭알고리즘 공인인증인프라(NPKI)에 근거한 공인인증서에 의한 것이 공인된 전자서명이다라고 암시하고 있기 때문이다. 루트CA, 즉 최상위인증기관을 국가의 관할 하에 두는 일은 사연이 있기 때문이라며 넘어갈 수 있다. 그러나 그 것이 거대한 피라미드형 기술 카르텔이 되는 것에는 반대할 수 밖에 없다. 사연이 있어서 꼭 공인인증인프라(NPKI)가 유지되어야 한다면, 외국계를 포함한 다른 사설인증기관이 이와 상호인증(Bridge CA)되는 것을 허락해야 한다.
웹에서 쓸 수 있는 인증 수단은 '공인인증서'만이 아니다. 그럼에도 전자금융감독규정 및 시행 세칙에는 '공인인증서의 의무화'가 명문화되어 있다. 한국에서 전자거래를 하려면 공인인증서를 써야만 하는 것이다.
구조개혁 1: 공인 인증서에 의한 인증 의무화 폐지
공인인증서에 의한 인증 의무화는 법의 기술 중립성을 잃고 기술 발전을 저해하고 있다. 공인인증서가 활용되기 위해서는 전자서명법에서 규정된 관련 기관과 다시 그 관련 업체의 솔루션을 도입해야만 한다. 사실 인증을 위해 공인인증서만이 사용되어야 한다 믿는 것은 일종의 착시현상이다. 공인인증서 없이도 현재 널리 보편적으로 쓰이고 있는 시스템만으로 저비용 PKI 운용이 가능하고 세계적 사례도 많다. 사설 인증서 생성기는 서버마다 들어 있지만 모두 놀리고 있다.
대안①: 접근 허가시 사설 인증서 허용 및 다단계/다각도의 질의식 인증.
시스템으로의 접근 허가권을 어떻게 부여할지 기술적 선택은 전적으로 그 시스템의 판단이다. 감독기관은 그 판단의 건전성과 안전성만 파악하면 된다. 브라우저만으로도 다수의 표준 인증서를 관리할 수 있다. 게다가 인증서 그 자체는 완전 솔루션이 아니다. 인증서가 절취될 가능성이 상존하기에 심정적 안도감만 있을 뿐이다. 마음(패스워드)과 사물(인증서)의 두 종류를 검사한다는 안도감뿐이다. 일본의 은행처럼 다단계의 패스워드 질의 과정을 통과하게 하여 마음을 여러 번 검사하고, 그 중 한 단계는 키보드가 아닌 화면과의 인터랙션으로 다른 각도에서 검사한다면 충분한 일이다.
대안②: OTP(One time password) 및 HSM(Hardware Security Module), 그리고 생체 인식 등 신기술의 적용
공인인증체제는 그 자체가 궁극의 보안 솔루션이 전혀 아님이 이미 다양한 경로를 통해 파악되어 있으나, 현재의 법제 및 감독 규정은 이 체제에 밀결합되어 있다. 새로운 신기술 중 특히 OTP는 최소한의 구조개혁만으로 적용이 가능하고 이미 도입이 시작된 곳도 있다. 즉 다단계/다각도의 상호작용으로 마음을 검사하는 것이 공인인증서라는 사물보다 훨씬 더 인증에 효과적인 것이다. 이러한 새로운 사용자 인증 절차는 공인인증에 의한 인증 과정을 충분히 ‘대체’할 수 있다. 그래도 만약 사물이 필요하다면 HSM이나 생체와 같은 제대로 된 사물의 인증을 고려해야 한다. 사물이라 믿었던 공인인증서는 결국 무한 복제가 가능한 정보일 뿐이다. 우리는 공인인증서가 안전한 인증수단이라는 공동최면 상태였을 뿐이다.
구조개혁 2: 독자적 암호화 통신 알고리즘 이외에 SSL 3.0 적용 허용
현재 한국 웹의 암호화 통신 알고리즘은 플러그인에 의한 SEED가 사실상 강제된 채, SSL/HTTPS는 사용되고 있지 않다. 전자가 후자보다 뛰어나다고 가정하자. 그러나 그 가정에도 불구, 우리는 여기서 막대한 사회적 비용을 지불해 왔음을 깨달아야 한다. 이는 전형적인 "Reinventing the wheel"의 오류다. 공개키 기반 암호화 통신은 국제 표준화된 SSL로 충분하다.
글로벌 환경에서 기술 인프라스트럭처의 독자적 폐쇄계를 구성하는 것은 무의미하다. 웹과 같은 평평한 세계에서는 세계적 기술을 만들던가 세계적 기술을 채택하던가 양자택일뿐이다. SEED가 뛰어난 아키텍처였다면 빠른 시기에 국제표준화와 벤더로의 로비로 브라우저에 탑재시켰어야 했다. 지금은 완전히 우물안 개구리가 되어 버렸다. 그리고 세계 시장에서 소외된 자폐적 업계만 남았다. 역사적으로 이러한 시도가 마지막으로 이루어진 것은 2차 대전에서의 독일과 일본 정도였다. 우리는 이 시대착오적 민족주의 기술입국 마인드셋에서 탈피하지 못하고 있다.
대안: 서비스 업자가 어떠한 기술을 쓰든(즉 SEED를 쓰지 않더라도) 그 것이 가이드라인을 만족시키면 개입하지 않는다.
어떤 금융 기관이 이미 서버에 탑재된 베리사인의 인증키를 써서 128bit SSL 통신을 하겠다고 한다면 금융감독원을 포함한 어떠한 감독기관도 간섭하지 않으면 된다. 서비스 업자는 시장 논리에 따라 최대 다수의 후생을 극대화하는 선택을 할 것이다. 아마도 현존하는 대부분의 브라우저가 지원하는 SSL 3.0 기반 HTTPS 암호화 통신을 매우 저렴하게 구축할 것이다. 그 결과 XP도 비스타도 리눅스도 맥도, IE도 파이어폭스도 사파리도 오페라도 그리고 무엇보다도 내가 늘 사용하는 골동품 모바일 단말 윈도우 CE.NET에서도 온라인 뱅킹과 관공서에 들어갈 수 있게 된다.
구조개혁 3: 공인인증서에 의한 서증(書證)의 적용 범주 재정의
현재의 공인인증서는 공개키 기반의 암호화 전자거래에 있어서 ‘서명’을 한다고 한다. 일반적으로 PKI의 혜택 중의 하나는 바로 '디지털 서명'과 이를 토대로 '부인 방지'를 할 수 있을 것이라는 믿음이다. 그리고 이 믿음을 적극적으로 웹으로 가져왔다. 거래에 디지털 인감을 찍어줌으로써 거래가 없었다 부인하는 일을 막을 수 있다거나 후일 거래 증빙이 된다는 것이다. 그러나 이에는 두 가지 문제가 있다. 하나는 공인인증서 자체가 절취될 수 있는 가정이 있기에, 대면하지 않은 거래에 있어 본인이 거래를 했다 추정할 수 있는 법적 근거의 성립 여부다. 인증서라는 절취 가능한 정보 만으로 본인 확인을 의존한다는 전제에서는 의미가 없다. 공인인증서가 복제되어 쓰이게 되면 정말 본인이 하지 않은 거래일 터 이 것이 무슨 소용인가. 오히려 철저히 본인을 확인하고, 이를 로깅하는 것이 더 실효성이 높다. '디지털 포렌직(Digital forensic)'을 발전시켜야 한다. 남의 사인은 베끼기 어렵지만 남의 도장은 남보다 더 잘 찍을 수도 있는 것이다. 디지털 인감이 부인 방지(Non-repudiation)에 법적 효력을 가질 수 있는지에 대한 의문은 널리 이야기되는 사실일 뿐만 아니라, 선진국의 전자서명법의 태동기에도 심각하게 의문시된 채 지금도 결론이 나지 않은 문제다. 그럼에도 이를 공인 문서화 하여 진정성립을 자동적으로 추정시키는 것은 개인에게 더없이 불리하다. 이 점이 또 하나의 문제다.
서증의 효력이 있다고 한다면 이처럼 또 다른 문제가 생긴다. 현실 생활에서는 인감을 필요로 하는 상황이 아닌, 온라인 쇼핑이나 은행 업무와 같이 인감과 무관한 거래에도 자신의 전자 인감을 남발하는 결과를 초래하는 것. 무의미한 정보 제공이다. 이는 리스크에 대한 체제의 책임 회피이고 여기에서 소외되는 것은 개인뿐이다. 쇼핑시 30만원 이상에 공인인증서를 제출하라는 등 세계적으로 유례가 없는 요건은, 만의 하나 벌어질 리스크에 체제가 면피하기 위한 구실에 지나지 않는다. 이러한 '면피의 시스템'을, 요즈음 분위기라면 윈도우, 리눅스, 애플, 그리고 앞으로 등장할 모든 운영 체제와 디바이스용으로 만들어야 할 판국이다. 민간 개인에게 있어 보안의 의미는 '나만 나의 거래를 안전하게' 하면 되는 것이지, '내가 거래를 했다는 공문서를 제출할' 의무가 아니다. 오히려 필요한 것은 그들이 나와 거래를 했다는 영수증일 것이다. 뿐만 아니라 웹서비스의 WS-*와 같은 자동적 전자문서 교환에 있어서의 서증은 어떻게 할 것인지, 현재의 체제는 답이 없다.
대안: 현실에서 인감이 필요로 하지 않는 모든 상황은 온라인 상에서도 공인인증서에 의한 전자서명을 요구해서는 안 된다.
그리고 형식적 증거로서 서증이 필요한 상황이 오더라도 그 사안은 전자서명법 만이 아닌 민사소송법의 견지에서 함께 고려되어야 할 것이고, 그렇다면 더욱 기술 중립적으로 PKI 방식이 아닌 다양한 기술적 가능성에 대해서도 그 가능성을 열어 두어야 한다.
현재 상황은 예를 들자면 도장 날인은 효력이 있으나 자필 서명은 효력이 없다고 하는 것과 마찬가지다. 태블릿 서명이나, 생체인식에 의한 서명 등 다양한 기술적 가능성이 있을 것이다. 미국 국세청의 세금 신고에 서는 본인의 서명을 겨우 다섯 자리의 자기가 설정한 암호를 누르는 것으로 갈음한다. 겨우 다섯 자리다. 자신이 설정한 다섯 자리의 암호를 스스로 입력하면 그 것이 서명이다. 공인인증서가 서증의 역할에 절대적인 것은 아니라는 합리적인 반증이다.
구조개혁 4: 프로그램의 선택과 설치라는 개인과 시장의 자유 재량과 권리를 보호
나는 기본적으로 사용자에게는 ‘웹’ 이상의 기능을 원할 권리가 있다고 보는 주의다. 그러나 동시에 원하지 않는 기능을 거부할 권리도 있다고 보는 주의이기도 하다.
이상 1,2,3의 구조개혁이 성공하면 대부분의 플러그인은 사라질 일이겠지만 '키보드 보안 플러그인' 같은 경우는 주무부처가 달라 계속 강요될지도 모른다. 그러나 잠시 생각해 보면 이 또한 무의미한 플러그인이다. 일본의 은행은 키보드 해킹이 두려우면 랜덤하게 변하는 화면상의 키패드를 누르도록 하는 단계를 한 번 더 둔다. 그런데 한국의 은행들은 플러그인이 행여 모자랄까 방화벽 플러그인까지 깔아 주려 하는데, 이는 친절이 아닌 명백한 월권이며 개인의 선택권 침해다. 많은 플러그인은 요긴하지만 그 것을 사용할지 여부는 철저하게 사용자와 서비스 사이의 판단이지, 이를 제도나 행정이 강요해서는 안될 일이다.
미래에서의 생존을 위한 구조개혁
도대체 이러한 무의미한 시스템을 위한 개발 비용은 어디서 나는 것일까? 설마 내 세금일까? 공적 자금일까? 폭력적인 플러그인과 존재의미가 모호한 공인인증체계의 유지를 위해 도대체 얼마만큼의 자금이 투하되어 온 것일까? 구조 개혁을 부르짖는 첫 번째 이유는 바로 이 직접 비용 때문이다. 또 공인인증서의 사용 강제에 따른 막대한 자금과 시간과 그로 인해 야기되는 시민들의 불편함에 대한 간접 비용도 무시 할 수 없다. 완전 무결 노 리스크의 진공 상태 사회란 만들 수 없다. 상상할 수 있는 모든 리스크에 대응하는 조치를 일단 해 봄으로써 만족감을 얻으려는 마음은 이해가 간다. 그러나 그 코스트는 고려되고 있지 않다.
더 안타까운 것은 기회 비용이다. 선진 IT 강국들은 OS와 브라우저에 기본 탑재된 표준화된 기술만으로 안전한 거래를 하기 위한 노력을 하고 그 과정에서 또 다른 세계적 표준을 만들어 내고자 노력한다. 반면 우리는 일단 ‘우물 안 개구리’식 기술이 적용되도록 감독기관의 감찰을 통과하고 이 회로에 속한 이들에게 대규모 발주를 해야 한다. 웹2.0적 '가치 교환 플랫폼'을 꿈꾸는 벤처가 도무지 생겨날 수가 없다. 별다른 추가적 제제나 감시 없이 전자 거래가 가능하게 되면 자신의 입지가 위태로워지는 이들이 리스크를 침소봉대하여 제도와 시스템을 만들고, 그럼에도 불구 사고가 터져 제도의 근본적 신뢰성에 금이 갔음에도, 좀처럼 정정할 의도가 없다. 정부와 행정의 역할은 어디로 갔나?
지금과 같은 굳어 버린 성곽 속에서는 새로운 아이디어의 창발이 원천적으로 억제될 뿐만 아니라, 외적 변화에 적응할 때 막대한 사회적 비용이 지불되며, 그리고 파괴적 신기술의 유입이 차단되어 가늠할 수 없는 산업의 왜곡으로 이어진다. 각국 전자 거래법의 기본 원칙은 ‘국제적 기술 동향과 조화된 입법’을 늘 꿈꿔왔다. 왜냐하면 전자 거래의 범지구적 성격을 알기 때문이다. 우리와 매우 흡사한 일본의 전자서명법도 우리 공인인증에 해당하는 '특정인증업무'의 입법이 있지만, 그 입법 경위는 외국과의 상호인증을 위한 것이기에 특정인증업무의 기준을 따르지 않더라도 법률효과는 존속된다. 그 덕에 인증서가 쓰이는 경우는 세금 신고 정도이고, 이 조차 시스템 도입 3년이 지난 지금 개인의 0.2%만 사용하고 있다.
물론 한국의 전자서명법도 원래 그런 법리일지 모른다. 그렇지만 이미 다양한 시행 세칙 및 관련 기관의 감독은 이를 굳어 버린 감시 감독 체제로 진화시켜 버렸다. 그리고 이를 충실히 따르는 업계는 어느새 놀랄 만큼 기형적인 웹 생태계를 만들어 놓은 것이다.
한국의 웹은, 그 서비스의 면모는 독창적이고 기발하며 참신하다. 그렇지만 웹은 세계와의 소통이 전제다. 그렇기에 우리는 외국의 쇼핑몰에서 물건을 살 수 있고, 외국의 메일 서비스를 그대로 이용할 수 있는 것이다. 이런 일이 가능하게 하기 위해 사람들은 표준을 이야기하고, 아니 웹 자체가 하나의 표준인 것이다. 이 공간이 거대한 소통의 플랫폼, '직접적 가치 교환의 플랫폼'으로 진화해 나가려는 시점에 있건만, 우리는 주민등록번호 없으면 가입 못하는 시스템을 만들더니 이제 공인인증서가 없으면 진행이 안 되는 시스템을 만들고 그 안에 갇혀 있다. 정말 공인인증서가 필요하다 믿는다면 이를 세계적 규모의 표준으로 만들어야 한다. 정말 관공서에서 전자 서명의 서증이 필요하다면 유럽의 WASP (Web Activated Signature Protocol)처럼 천천히 느긋하게 표준화의 길을 걸어야 한다.
프로슈머, 소액결제, 지역통화 등등 우리는 지금까지 현실에서 생각지도 못했던 가치 교환의 욕구와 만나게 될 것이다. 지금 세계는 이상계 위에서 그리고 환상계 속에서 새 시대에 걸맞은 새로운 플랫폼을 만들려 노력하고, 또 그 위에서 새로운 기회를 찾으려 분주하다. 그러나 우리는 법과 감독의 규율에 갇혀 아무 생각도 하지 않고 있는 듯 하다.
변화의 시대. 새로운 플랫폼을 쓰지 말라고 권하는 게 나을까, 그 플랫폼을 타고 세계로 뻗어나가는 게 나을까? 후자가 답이라면 단기적인 해법에 집착하지 말고 미래를 위한 구조개혁을 단행할 때다.
출처 : 김국현(IT평론가)
지금 우리 IT 업계와 정책이 심사 숙고해야 할 문제는 ActiveX 호환성이나 웹접근성과 같은 발등의 불을 단기적으로 해소하는 일이 아니라, 급변하는 세계 속에서 과연 우리 IT가 세계에 의미가 있는 존재로 성장할 수 있을지 걱정해야 하는 레벨의 장기적 문제다.
법과 제도에 길들여진 기술은 그 특유의 창조성을 잃어 버리고, 고착화되어 고비용의 성곽을 쌓고 그대로 굳어 간다. 특히 지난 닷컴붐을 기점으로 형성된 전자 거래에 대한 보호 제도가 실은 보호가 아닌 규제와 간섭의 제도로 변해 버렸다. 뿐만 아니라 이에 대해 업계와 사회 전체가 이를 '당연한 기성 사실'로 삼고 의심하지 않은 채 주눅이 들어 그 틀 안에서 해법을 찾으려 하고 있다. 원점으로 돌아갈 용기를 잃은 것이다.
그러나 충격적이지만 이미 다 느끼고 있는 질문을 이제는 소리 내어 말해야만 한다.
"우리에게 공인인증체계란 정말 필요한 것일까?"
원래 인증서 자체는, 그리고 인증서가 근거한 PKI란 매력적이다. 공개키/비밀키의 쌍이 핵심 역할을 하는 이 인프라에서, 인증서는 거래 당사자가 진짜 그 사람임을 증명하고, 당사자만 이해할 수 있는 암호화된 통신으로 거래가 이루어질 수 있도록 한다. 내가 비밀키로 사인한 문서를 내 공개키로 확인할 수 있기에, 타인은 틀림 없이 내가 만든 문서임을 알게 된다는 원리다. 내 공개키로 다른 사람이 암호화해서 보내온 문서는 비밀키를 지닌 나만이 열 수 있다는 원리다. 이러한 의미에서 PKI 자체는 유용하고 또 탁월하다. 글로벌 기업은 직원과 자원의 인증 수단으로 사설 인증서를 널리 쓰고 있다.
문제는 '공인'이다.
현재 1500 만명, 그러니까 전 경제인구의 65%에 공인인증서가 보급되었다고 우리는 자화자찬한다. 세계 최고다. 주민등록제도에 이어 또 다른 쾌거다. 그렇지만 우리는 여기서 원점으로 돌아가 왜 공인인증서를 발부 받아야 하는지에 대한 의문을 풀어야 한다.
공인인증서는 현재 전자서명법 2조에서 밝힌 바와 같이 가입자가 생성한 정보가 가입자에 유일하게 속한다는 사실을 확인하고 증명하는데 있다. 민사소송법 358조의 작성자의 서명이나 날인 또는 무인이 있는 때에는 진정한 것으로 추정한다는 법리와 마찬가지 선상에 있을 것이다. 즉 공인인증서는 기본적으로 인감인 것이다.
그렇다면 전자 서명이란 이 문서가 틀림없이 내가 작성한 문서라는 점을, 그러니까 지금 눈 앞의 전자정보가 내 의사에 따른 것임을 입증하려는 것에 불과하다. 이 것이 원점이다. 현재 온라인상의 전자 거래에 있어서 그 규제의 원점이 되고 있는 전자서명법이 1장에서 밝힌 목적, 정의, 효력은 그 것이 전부다.
그러나 2장으로 넘어 가면서 전자서명법은 '법의 기술 중립성(벤더 중립성과는 완전히 차원이 다른)'과 역행한다. 사실상 본법은 2001년 말의 개정에도 불구하고 사실상 비대칭알고리즘 공인인증인프라(NPKI)에 근거한 공인인증서에 의한 것이 공인된 전자서명이다라고 암시하고 있기 때문이다. 루트CA, 즉 최상위인증기관을 국가의 관할 하에 두는 일은 사연이 있기 때문이라며 넘어갈 수 있다. 그러나 그 것이 거대한 피라미드형 기술 카르텔이 되는 것에는 반대할 수 밖에 없다. 사연이 있어서 꼭 공인인증인프라(NPKI)가 유지되어야 한다면, 외국계를 포함한 다른 사설인증기관이 이와 상호인증(Bridge CA)되는 것을 허락해야 한다.
웹에서 쓸 수 있는 인증 수단은 '공인인증서'만이 아니다. 그럼에도 전자금융감독규정 및 시행 세칙에는 '공인인증서의 의무화'가 명문화되어 있다. 한국에서 전자거래를 하려면 공인인증서를 써야만 하는 것이다.
구조개혁 1: 공인 인증서에 의한 인증 의무화 폐지
공인인증서에 의한 인증 의무화는 법의 기술 중립성을 잃고 기술 발전을 저해하고 있다. 공인인증서가 활용되기 위해서는 전자서명법에서 규정된 관련 기관과 다시 그 관련 업체의 솔루션을 도입해야만 한다. 사실 인증을 위해 공인인증서만이 사용되어야 한다 믿는 것은 일종의 착시현상이다. 공인인증서 없이도 현재 널리 보편적으로 쓰이고 있는 시스템만으로 저비용 PKI 운용이 가능하고 세계적 사례도 많다. 사설 인증서 생성기는 서버마다 들어 있지만 모두 놀리고 있다.
대안①: 접근 허가시 사설 인증서 허용 및 다단계/다각도의 질의식 인증.
시스템으로의 접근 허가권을 어떻게 부여할지 기술적 선택은 전적으로 그 시스템의 판단이다. 감독기관은 그 판단의 건전성과 안전성만 파악하면 된다. 브라우저만으로도 다수의 표준 인증서를 관리할 수 있다. 게다가 인증서 그 자체는 완전 솔루션이 아니다. 인증서가 절취될 가능성이 상존하기에 심정적 안도감만 있을 뿐이다. 마음(패스워드)과 사물(인증서)의 두 종류를 검사한다는 안도감뿐이다. 일본의 은행처럼 다단계의 패스워드 질의 과정을 통과하게 하여 마음을 여러 번 검사하고, 그 중 한 단계는 키보드가 아닌 화면과의 인터랙션으로 다른 각도에서 검사한다면 충분한 일이다.
대안②: OTP(One time password) 및 HSM(Hardware Security Module), 그리고 생체 인식 등 신기술의 적용
공인인증체제는 그 자체가 궁극의 보안 솔루션이 전혀 아님이 이미 다양한 경로를 통해 파악되어 있으나, 현재의 법제 및 감독 규정은 이 체제에 밀결합되어 있다. 새로운 신기술 중 특히 OTP는 최소한의 구조개혁만으로 적용이 가능하고 이미 도입이 시작된 곳도 있다. 즉 다단계/다각도의 상호작용으로 마음을 검사하는 것이 공인인증서라는 사물보다 훨씬 더 인증에 효과적인 것이다. 이러한 새로운 사용자 인증 절차는 공인인증에 의한 인증 과정을 충분히 ‘대체’할 수 있다. 그래도 만약 사물이 필요하다면 HSM이나 생체와 같은 제대로 된 사물의 인증을 고려해야 한다. 사물이라 믿었던 공인인증서는 결국 무한 복제가 가능한 정보일 뿐이다. 우리는 공인인증서가 안전한 인증수단이라는 공동최면 상태였을 뿐이다.
구조개혁 2: 독자적 암호화 통신 알고리즘 이외에 SSL 3.0 적용 허용
현재 한국 웹의 암호화 통신 알고리즘은 플러그인에 의한 SEED가 사실상 강제된 채, SSL/HTTPS는 사용되고 있지 않다. 전자가 후자보다 뛰어나다고 가정하자. 그러나 그 가정에도 불구, 우리는 여기서 막대한 사회적 비용을 지불해 왔음을 깨달아야 한다. 이는 전형적인 "Reinventing the wheel"의 오류다. 공개키 기반 암호화 통신은 국제 표준화된 SSL로 충분하다.
글로벌 환경에서 기술 인프라스트럭처의 독자적 폐쇄계를 구성하는 것은 무의미하다. 웹과 같은 평평한 세계에서는 세계적 기술을 만들던가 세계적 기술을 채택하던가 양자택일뿐이다. SEED가 뛰어난 아키텍처였다면 빠른 시기에 국제표준화와 벤더로의 로비로 브라우저에 탑재시켰어야 했다. 지금은 완전히 우물안 개구리가 되어 버렸다. 그리고 세계 시장에서 소외된 자폐적 업계만 남았다. 역사적으로 이러한 시도가 마지막으로 이루어진 것은 2차 대전에서의 독일과 일본 정도였다. 우리는 이 시대착오적 민족주의 기술입국 마인드셋에서 탈피하지 못하고 있다.
대안: 서비스 업자가 어떠한 기술을 쓰든(즉 SEED를 쓰지 않더라도) 그 것이 가이드라인을 만족시키면 개입하지 않는다.
어떤 금융 기관이 이미 서버에 탑재된 베리사인의 인증키를 써서 128bit SSL 통신을 하겠다고 한다면 금융감독원을 포함한 어떠한 감독기관도 간섭하지 않으면 된다. 서비스 업자는 시장 논리에 따라 최대 다수의 후생을 극대화하는 선택을 할 것이다. 아마도 현존하는 대부분의 브라우저가 지원하는 SSL 3.0 기반 HTTPS 암호화 통신을 매우 저렴하게 구축할 것이다. 그 결과 XP도 비스타도 리눅스도 맥도, IE도 파이어폭스도 사파리도 오페라도 그리고 무엇보다도 내가 늘 사용하는 골동품 모바일 단말 윈도우 CE.NET에서도 온라인 뱅킹과 관공서에 들어갈 수 있게 된다.
구조개혁 3: 공인인증서에 의한 서증(書證)의 적용 범주 재정의
현재의 공인인증서는 공개키 기반의 암호화 전자거래에 있어서 ‘서명’을 한다고 한다. 일반적으로 PKI의 혜택 중의 하나는 바로 '디지털 서명'과 이를 토대로 '부인 방지'를 할 수 있을 것이라는 믿음이다. 그리고 이 믿음을 적극적으로 웹으로 가져왔다. 거래에 디지털 인감을 찍어줌으로써 거래가 없었다 부인하는 일을 막을 수 있다거나 후일 거래 증빙이 된다는 것이다. 그러나 이에는 두 가지 문제가 있다. 하나는 공인인증서 자체가 절취될 수 있는 가정이 있기에, 대면하지 않은 거래에 있어 본인이 거래를 했다 추정할 수 있는 법적 근거의 성립 여부다. 인증서라는 절취 가능한 정보 만으로 본인 확인을 의존한다는 전제에서는 의미가 없다. 공인인증서가 복제되어 쓰이게 되면 정말 본인이 하지 않은 거래일 터 이 것이 무슨 소용인가. 오히려 철저히 본인을 확인하고, 이를 로깅하는 것이 더 실효성이 높다. '디지털 포렌직(Digital forensic)'을 발전시켜야 한다. 남의 사인은 베끼기 어렵지만 남의 도장은 남보다 더 잘 찍을 수도 있는 것이다. 디지털 인감이 부인 방지(Non-repudiation)에 법적 효력을 가질 수 있는지에 대한 의문은 널리 이야기되는 사실일 뿐만 아니라, 선진국의 전자서명법의 태동기에도 심각하게 의문시된 채 지금도 결론이 나지 않은 문제다. 그럼에도 이를 공인 문서화 하여 진정성립을 자동적으로 추정시키는 것은 개인에게 더없이 불리하다. 이 점이 또 하나의 문제다.
서증의 효력이 있다고 한다면 이처럼 또 다른 문제가 생긴다. 현실 생활에서는 인감을 필요로 하는 상황이 아닌, 온라인 쇼핑이나 은행 업무와 같이 인감과 무관한 거래에도 자신의 전자 인감을 남발하는 결과를 초래하는 것. 무의미한 정보 제공이다. 이는 리스크에 대한 체제의 책임 회피이고 여기에서 소외되는 것은 개인뿐이다. 쇼핑시 30만원 이상에 공인인증서를 제출하라는 등 세계적으로 유례가 없는 요건은, 만의 하나 벌어질 리스크에 체제가 면피하기 위한 구실에 지나지 않는다. 이러한 '면피의 시스템'을, 요즈음 분위기라면 윈도우, 리눅스, 애플, 그리고 앞으로 등장할 모든 운영 체제와 디바이스용으로 만들어야 할 판국이다. 민간 개인에게 있어 보안의 의미는 '나만 나의 거래를 안전하게' 하면 되는 것이지, '내가 거래를 했다는 공문서를 제출할' 의무가 아니다. 오히려 필요한 것은 그들이 나와 거래를 했다는 영수증일 것이다. 뿐만 아니라 웹서비스의 WS-*와 같은 자동적 전자문서 교환에 있어서의 서증은 어떻게 할 것인지, 현재의 체제는 답이 없다.
대안: 현실에서 인감이 필요로 하지 않는 모든 상황은 온라인 상에서도 공인인증서에 의한 전자서명을 요구해서는 안 된다.
그리고 형식적 증거로서 서증이 필요한 상황이 오더라도 그 사안은 전자서명법 만이 아닌 민사소송법의 견지에서 함께 고려되어야 할 것이고, 그렇다면 더욱 기술 중립적으로 PKI 방식이 아닌 다양한 기술적 가능성에 대해서도 그 가능성을 열어 두어야 한다.
현재 상황은 예를 들자면 도장 날인은 효력이 있으나 자필 서명은 효력이 없다고 하는 것과 마찬가지다. 태블릿 서명이나, 생체인식에 의한 서명 등 다양한 기술적 가능성이 있을 것이다. 미국 국세청의 세금 신고에 서는 본인의 서명을 겨우 다섯 자리의 자기가 설정한 암호를 누르는 것으로 갈음한다. 겨우 다섯 자리다. 자신이 설정한 다섯 자리의 암호를 스스로 입력하면 그 것이 서명이다. 공인인증서가 서증의 역할에 절대적인 것은 아니라는 합리적인 반증이다.
구조개혁 4: 프로그램의 선택과 설치라는 개인과 시장의 자유 재량과 권리를 보호
나는 기본적으로 사용자에게는 ‘웹’ 이상의 기능을 원할 권리가 있다고 보는 주의다. 그러나 동시에 원하지 않는 기능을 거부할 권리도 있다고 보는 주의이기도 하다.
이상 1,2,3의 구조개혁이 성공하면 대부분의 플러그인은 사라질 일이겠지만 '키보드 보안 플러그인' 같은 경우는 주무부처가 달라 계속 강요될지도 모른다. 그러나 잠시 생각해 보면 이 또한 무의미한 플러그인이다. 일본의 은행은 키보드 해킹이 두려우면 랜덤하게 변하는 화면상의 키패드를 누르도록 하는 단계를 한 번 더 둔다. 그런데 한국의 은행들은 플러그인이 행여 모자랄까 방화벽 플러그인까지 깔아 주려 하는데, 이는 친절이 아닌 명백한 월권이며 개인의 선택권 침해다. 많은 플러그인은 요긴하지만 그 것을 사용할지 여부는 철저하게 사용자와 서비스 사이의 판단이지, 이를 제도나 행정이 강요해서는 안될 일이다.
미래에서의 생존을 위한 구조개혁
도대체 이러한 무의미한 시스템을 위한 개발 비용은 어디서 나는 것일까? 설마 내 세금일까? 공적 자금일까? 폭력적인 플러그인과 존재의미가 모호한 공인인증체계의 유지를 위해 도대체 얼마만큼의 자금이 투하되어 온 것일까? 구조 개혁을 부르짖는 첫 번째 이유는 바로 이 직접 비용 때문이다. 또 공인인증서의 사용 강제에 따른 막대한 자금과 시간과 그로 인해 야기되는 시민들의 불편함에 대한 간접 비용도 무시 할 수 없다. 완전 무결 노 리스크의 진공 상태 사회란 만들 수 없다. 상상할 수 있는 모든 리스크에 대응하는 조치를 일단 해 봄으로써 만족감을 얻으려는 마음은 이해가 간다. 그러나 그 코스트는 고려되고 있지 않다.
더 안타까운 것은 기회 비용이다. 선진 IT 강국들은 OS와 브라우저에 기본 탑재된 표준화된 기술만으로 안전한 거래를 하기 위한 노력을 하고 그 과정에서 또 다른 세계적 표준을 만들어 내고자 노력한다. 반면 우리는 일단 ‘우물 안 개구리’식 기술이 적용되도록 감독기관의 감찰을 통과하고 이 회로에 속한 이들에게 대규모 발주를 해야 한다. 웹2.0적 '가치 교환 플랫폼'을 꿈꾸는 벤처가 도무지 생겨날 수가 없다. 별다른 추가적 제제나 감시 없이 전자 거래가 가능하게 되면 자신의 입지가 위태로워지는 이들이 리스크를 침소봉대하여 제도와 시스템을 만들고, 그럼에도 불구 사고가 터져 제도의 근본적 신뢰성에 금이 갔음에도, 좀처럼 정정할 의도가 없다. 정부와 행정의 역할은 어디로 갔나?
지금과 같은 굳어 버린 성곽 속에서는 새로운 아이디어의 창발이 원천적으로 억제될 뿐만 아니라, 외적 변화에 적응할 때 막대한 사회적 비용이 지불되며, 그리고 파괴적 신기술의 유입이 차단되어 가늠할 수 없는 산업의 왜곡으로 이어진다. 각국 전자 거래법의 기본 원칙은 ‘국제적 기술 동향과 조화된 입법’을 늘 꿈꿔왔다. 왜냐하면 전자 거래의 범지구적 성격을 알기 때문이다. 우리와 매우 흡사한 일본의 전자서명법도 우리 공인인증에 해당하는 '특정인증업무'의 입법이 있지만, 그 입법 경위는 외국과의 상호인증을 위한 것이기에 특정인증업무의 기준을 따르지 않더라도 법률효과는 존속된다. 그 덕에 인증서가 쓰이는 경우는 세금 신고 정도이고, 이 조차 시스템 도입 3년이 지난 지금 개인의 0.2%만 사용하고 있다.
물론 한국의 전자서명법도 원래 그런 법리일지 모른다. 그렇지만 이미 다양한 시행 세칙 및 관련 기관의 감독은 이를 굳어 버린 감시 감독 체제로 진화시켜 버렸다. 그리고 이를 충실히 따르는 업계는 어느새 놀랄 만큼 기형적인 웹 생태계를 만들어 놓은 것이다.
한국의 웹은, 그 서비스의 면모는 독창적이고 기발하며 참신하다. 그렇지만 웹은 세계와의 소통이 전제다. 그렇기에 우리는 외국의 쇼핑몰에서 물건을 살 수 있고, 외국의 메일 서비스를 그대로 이용할 수 있는 것이다. 이런 일이 가능하게 하기 위해 사람들은 표준을 이야기하고, 아니 웹 자체가 하나의 표준인 것이다. 이 공간이 거대한 소통의 플랫폼, '직접적 가치 교환의 플랫폼'으로 진화해 나가려는 시점에 있건만, 우리는 주민등록번호 없으면 가입 못하는 시스템을 만들더니 이제 공인인증서가 없으면 진행이 안 되는 시스템을 만들고 그 안에 갇혀 있다. 정말 공인인증서가 필요하다 믿는다면 이를 세계적 규모의 표준으로 만들어야 한다. 정말 관공서에서 전자 서명의 서증이 필요하다면 유럽의 WASP (Web Activated Signature Protocol)처럼 천천히 느긋하게 표준화의 길을 걸어야 한다.
프로슈머, 소액결제, 지역통화 등등 우리는 지금까지 현실에서 생각지도 못했던 가치 교환의 욕구와 만나게 될 것이다. 지금 세계는 이상계 위에서 그리고 환상계 속에서 새 시대에 걸맞은 새로운 플랫폼을 만들려 노력하고, 또 그 위에서 새로운 기회를 찾으려 분주하다. 그러나 우리는 법과 감독의 규율에 갇혀 아무 생각도 하지 않고 있는 듯 하다.
변화의 시대. 새로운 플랫폼을 쓰지 말라고 권하는 게 나을까, 그 플랫폼을 타고 세계로 뻗어나가는 게 나을까? 후자가 답이라면 단기적인 해법에 집착하지 말고 미래를 위한 구조개혁을 단행할 때다.
출처 : 김국현(IT평론가)
