Q: 자 이제 1편, 2편, 3편에 이어 드디어 마지막이다.
A: 길어서 미안했다. 이제까지 들은 것 다시 잊어먹지 않았나 확인해 보자.
Q: 국내 정부 사이트는 맥이나 리눅스를 제대로 지원하지 않는 곳이 많다. 이건 국민들의 정보접근권 차별이다. 그리고, 브라우저에 자물쇠가 없으면 기본적으로 의심을 해야 한다. 스스로 조심하는 게 중요하니까.
A: 오오……
Q: 그리고, SSL 방식은 OS와 브라우저의 기본 기능으로도 모두 가능한데, 우리나라의 공인인증서를 사용하는 한 플러그인, 액티브엑스 등을 설치하는 수 밖에 없다. 그리고, 이것들은 보안을 해지시키는 보안 방식이라 할 수 있다. 그게 모바일에서도 진행 중이라 무섭다.
A: 좋은데?
공인인증서 지키다 망가진 환경, OTP로 지킨다?
Q: 요즘 은행거래 할 때 보면 보안카드나 OTP가 없으면 거래를 못한다.
A: 생각해 보면 웃긴 게 몇 년 전만 해도 공인인증서 이야기하면서 OTP 이야기가 나오면 “그 무겁고 불편한 것을 누가 가지고 다니냐”면서 폄하하던 사람들이 많았다.
Q: 정말? 지금은 보안카드나 OTP는 기본이지 않은가.
A: 그렇다. 물론 OTP나 보안토큰 같은 것은 도입하기 어려웠던 게 사실이다. 지금도 추가 비용이 들고, 일일이 고객들이 은행에 들러서 하나씩 나눠줘야 하니까 매우 번거롭고 비싼 방식이라 할 수 있다. 하지만, 지금은 하라고 강요하지 않아도 은행권은 알아서 하지 않는가. 그만큼 기술은 지키는 쪽도 뚫는 쪽도 빨리 변하기 때문이다.
Q: 그러니까 기술을 제도로 강제할 필요는 없다는 건가?
A: 그렇다. 구체적으로 이 기술, 저 기술을 콕콕 찝어서 이걸 반드시 해야 한다고 강제하지 않아도 기업 입장에서는 따져봐서 도입할 기술들은 알아서 잘 도입한다. 비용이 많이 들어도 눈물을 머금고 도입을 한다.
Q: 그런데, 한 가지 궁금한 점이 있다. 공인인증서가 그렇게 안전하다면서 왜 은행들은 보안카드나 OTP 없으면 거래도 못하게 하나?
A: 나도 궁금하다.
그렇다면 공인인증서는 왜 사용해야 하는가?
Q: 그렇다면 공인인증서 사용은 누가 강제하는 건가?
A: 금융위원회의 전자금융감독 규정을 보면 모든 전자금융거래는 공인인증서나 그와 동등한 수준의 인증을 사용하라고 하고 있다.
Q: 그와 동등한 수준의 인증이 된다면 다른 방법도 된다는 거 아닌가?
A: 금융감독원의 인증방법평가위원회 기준을 통과하면 되는데 이를 통과한 인증 방법이 하나도 없다.
Q: 결국 현실적으로 공인인증서를 써야 한다는 거네?
A: 맞다.
Q: 궁금한 게 있는데 보안업체들은 이 상황을 어떻게 보고 있을까.
A: 나도 궁금하다. 우선 겉으로는 ‘우리도 시켜서 하는 거다’ 정도로 이야기를 할 것 같다. 그래야 책임을 지지 않고 욕도 덜 먹으니까?
Q: 아니, 한국의 보안업체들을 무슨 수건 납품하는 회사 정도로 보는 건가? 거긴 보안에 대한 사명과 의지가 투철한 곳일 것 아닌가. 지금처럼 플러그인, 액티브액스를 덕지덕지 붙이더라도 최소한 그게 보안에 도움이 된다고 생각하기 때문에 최선을 다하는 거겠지.
A: 글쎄. 액티브엑스로 먹고사는 보안업체, “우리도 피해자” 같은 기사를 보면 그런 것 같지도 않다. 자기들은 힘이 없고 어쩔 수 없으니 갑이 시키는 대로 한다고 하지 않나.
Q: 그럼 보안업체로 부르면 안되는 거 아닌가? 일반 S/W 납품업체와 다를 바 없지 않나.
A: 이렇게 특이하고 불편하고 일부 컴퓨터만 지원하는 방식이 10년 넘게 유지되는 걸 보면 속내는 다르지 않을까 싶은데, 본인들이 그렇다는데 그런 거지.
Q: 그런데 왜 정부는 공인인증서 방식을 계속 유지하는 건가?
A: 그걸 왜 나에게 물어보나. 나는 그걸 그만하자고 하는 사람이다.
Q: 아…… 그렇지. 그래도 짐작이 가는 게 있을 것 아닌가.
A: 단순한 몇 가지 이유는 아닐 것이다. 원래 이런 정책은 큰 변화를 부르기 때문에 공무원들은 새로운 방향을 모색하기에 부담이 클 것 같다. 잘못되면 철밥통도 날아가고 책임을 져야 하기 때문에. 그렇다고 누가 알아주는 것도 아니고. 아마 이런 이유도 있겠지?
Q: 뉴스 댓글이나 클리앙, SLR클럽, 뽐뿌, PGR21 등등 각종 커뮤니티 게시판에 보면 ‘금감원과 보안업체들이 결탁한 것 아니냐’는 식의 글도 올라온다. 스마트폰에 공인인증서 의무화 기사가 났을 때 ‘보안업체들이 이번 접대는 거하게 했나 보네’ 같은 식의 비아냥 섞인 글들이 올라오곤 한다.
A: 맞다. 아마 이용자들도 공인인증서와 그 주변 기술들을 왜 강제해야 되는지 아무리 생각해도 이유를 모르겠으니까 그럴 거다. 그런 식의 음모론이 아니면 이렇게 위험하고 불편하고 호환성이 적은 제도를 사용할 이유를 찾지 못하니까.
피해 발생시 은행이 책임을 지니까 불편해도 이렇게 가자?
Q: 그런데, 정부나 보안업체들 그리고 ‘자기는 보안업체와 관계가 없다고 하면서 댓글다는 사람들’을 보면 공인인증서가 안전하다고 하지만, 계속해서 ‘공인인증서가 유출됐다’, ‘유출된 걸 발견해서 폐기했다’ 이런 뉴스들이 들리지 않나.
A: 아무리 생각해도 모순이다. 시스템은 안전한데 실제 파일은 끊임없이 유출된다니. 심지어 도무지 알 수 없는 이유로 계좌에서 돈이 인출되는 피해를 입는다는 소식도 있다.
- (2007-02-09) ZDNet Korea – ‘공인인증서’ 피해자 속속「유출 심각」
- (2009-08-03) 아이뉴스24 – 파밍 통한 공인인증서 유출 조심하세요
- (2011-04-18) 서울신문 – [불안한 금융전산 보안망] 악성코드·공인인증서 유출… 스마트폰 뱅킹도 ‘보안 비상’
- (2012-02-23) 보안뉴스 – 공인인증서 유출 주의! 공인인증서만으로 돈 빼돌려…
- (2013-02-04) nProtect 대응팀 공식 블로그 – [추적]FTP서버로 공인인증서를 탈취하는 악성파일 실체
- (2013-02-11) 한국일보 – [사설/2월 12일] 불안한 금융정보, 공인인증서까지 유출
- (2013-04-22) 보안닷컴 – LG연구소 “공인인증서로 금융거래 안전 장담 못해”
- (2013-05-02) 연합뉴스 – 은행 공인인증서 212개 유출…일괄 폐기(종합2보)
- (2013-05-06) 보안뉴스 – 금융정보 해킹…2차 피해 현실화 되나?
Q: 왜 알 수 없는 이유인가?
A: 앞서 말했듯이 공인인증서를 정말 잘 보관했는지, USB로 잠깐 꼽았을 때 그 때 복사가 됐는지, 옆집 순이가 공인인증서 파일을 몰래 카피해 갔는지 알 수가 없지 않겠나.
Q: 이론적으로는 완벽하다고 쳐도 일반 사용자의 컴퓨터 지식으로는 관리 자체가 어렵다?
A: 맞다. 게다가 해킹이 아니라 물리적으로 훔쳐가는 것도 쉽다. 제대로 된 관리가 불가능한 걸 만들어놓고 이론상 완벽하다는 말만 되풀이하고 있는 느낌이다.
Q: 실제 피해 발생시 우리나라는 은행이 책임을 지고, 해외는 개인이 책임을 져야 한다는 말들도 많이 한다.
A: 그런 이야기가 도대체 어디서부터 나왔는지 모르겠다. 개인고객의 경우 한국도, 미국도, 영국도 사고거래의 책임은 금융기관이 지도록 되어있다.
Q: 공인인증서 때문에 우리나라의 보안사고가 적게 난다고 하는 말들도 있다.
A: 그게 공인인증서 때문인지 OTP 때문인지 정확하게 알 수 있나? 그리고, 지난 번에 이야기한 것처럼 자기들만 살겠다고 플러그인, 액티브엑스 덕지덕지 설치하게 만들면서 망가뜨린 보안 의식 때문에 발생하는 피해는 이런 숫자에 잡히지도 않는다.
액티브엑스 폐지 서명운동의 목적은 액티브엑스만 폐지하는 게 아니다
Q: 그래서, 액티브엑스 폐지 서명운동의 목적이 뭔가. 액티브엑스를 절대 사용하지 못하게 하고, 액티브엑스나 별도 플러그인을 써야만 하는 공인인증서 제도를 없애자라는 것인가?
A: 이 운동의 구성원이 조금씩 다른 생각을 갖고 있다. 그걸 전제로 이야기하면, 그건 아니다.
Q: 엥? 아니라고? 이 무슨 식스센스, 유주얼 서스펙트와 같은 반전인가!
A: ‘액티브엑스를 쓰지 못하게 하자’가 아니라 ‘정부와 업체는 다양한 브라우저를 지원하고, 특정 보안 솔루션을 정부가 강제하지 말자’라는 것이다.
Q: 뭔가 좀 약하다?
A: 우리는 전체주의자도 아니고 반국가단체도 아니다. 우리는 단지 누구나 보편 타당하게 다양한 OS와 다양한 브라우저를 지원하는 웹을 원한다. 그리고 만약 그런 다양한 환경을 지원하는 방식이라면 공인인증서 방식이든 SSL + OTP 방식이든 SSL + 공인인증서 + 보안토큰 방식이든, 이메일 + 공중전화 인증방식이든 어떤 방법을 사용해도 상관이 없다. 그 과정에서 더욱 좋은 보안 기술도 등장할 수 있고, 그래야 웹도 발전하는 것 아닌가.
Q: 그렇다면 다양한 보안 기술의 예를 하나만 들어달라.
A: 예를 들어 뱅크 오브 아메리카는 사이트키(SiteKey)라고 해서 이용자에게 이미지 하나를 고르고 거기에 맞는 단어(비밀번호)를 입력하게 한다. 그런 다음 만약 사용자가 평상시와 다른 컴퓨터에서 접속하면 그걸 맞히게 한다.
Q: 그렇게 하면 자연스럽게 사용자가 낯선 환경에서 피싱 사이트에 접속했는지도 쉽게 알 수 있겠다.
A: 맞다. 자물쇠 모양 SSL이 떴는지만 확인하고, 어떤 서버 인증서인지 확인을 안했을 때 유효할 수 있다. 그림과 문구를 매칭하는 방식이라 기억하기가 쉽다. 다른 예를 든다면 세이프패스(SafePass)라는 기능은 요즘 우리나라에서도 많이 하는 휴대전화 인증 같은 거다. 즉, 이러한 기술들이 좋다, 좋으니 이런 걸 도입하자는 게 아니라, 이렇게 다양한 방식이 존재하고, 형편과 상황에 맞게 적용한다는 뜻이다.
Q: 예를 들으니 뭐 대단한 기술도 아닌 것 같다.
A: 그렇다. 이런 거 구현해서 적용하는데 어려우면 얼마나 어렵겠나. 어떤 카드사는 내가 평상시 구매하는 패턴이 아닌 것 같으면, 예를 들어 결제 시간이 새벽이라든가 갑자기 홍콩에서 구매한다든가 아이피가 독일로 나온다던가 하면 문자나 이메일로 알려준다. 너 아닌 것 같은데? 이러면서.
Q: 오- 듣다보니 이런 거 뭔가 기술과 인문학의 접목 아닌가?
A: 오바 좀 하지 마라. 암튼 보안 기술 자체로는 구현도 쉽고, 사용자도 쉽게 받아들이는 그런 방법들이 다양하게 적용된다.
Q: 그런데 그런 거 하려면 어렵겠다. 오류도 있을 수 있고. 예를 들어 너무 경고를 자주 보내도 불편할 거 아냐.
A: 맞다. 그러니까 계속 노력해야 하는 거지. 나쁜 놈들은 매번 진화되는 공격을 쓰고, 사용자들의 개인정보와 돈을 빼가려고 취약점을 뚫는 새로운 방법을 공부하는데 당연히 막는 쪽도 보안 수단을 다양화 하고 발전을 시켜야 하는 거 아닌가.
Q: 일리가 있다. 그러고 보니 은행 사이트나 정부 사이트는 보면 주기적으로 화려하게 디자인만 바꾸지, 새롭게 더 안전해졌다거나 편리한 기능이 추가됐다거나 하고 안내하는 걸 본적이 없다.
A: 솔직히 말해서 내 거래 내역을 엑셀 파일로 받는데 액티브엑스를 꼭 깔아야겠나? 내 거래 내역을 이메일로 받아보려고 하는데 액티브엑스를 깔아야겠냐고. 로그인해서 질문 좀 하려고 윈도우를 꼭 구입해야 하냐고.
Q: 국가가 필요 기술을 강제하니까 더 이상 투자를 안한다?
A: 비슷한 예로 개인정보 유출 건들을 봐라. 천만 건 넘는 대규모의 개인정보 유출이 발생해도 판결은 어떻게 나나. 정부가 지정하는 기술적, 관리적 보호조치를 했다는 이유로 아무런 책임을 지지 않거나 기껏해야 한 명에 10만 원 정도의 손해 배상 판결이 난다.
Q: 만약 보상 규모가 대충 정해져 있다면, 꾸준한 투자를 할 필요 없이 일 터졌을 때 손해 배상 한번씩 해주고 가는 게 나을 수도 있겠다.
A: 당연하지. 기업 입장에서 비용을 따져봐서 그게 낫다고 생각하면 당연히 그렇게 한다. 이미 그렇게 하고 있다.
왜 노액티브엑스인가?
Q: 자, 그럼 다시. 왜 노액티브엑스인가?
A: 우리가 원하는 환경이 되면 당연히 액티브엑스는 쓸 수가 없을 것이라 생각하기 때문이다. 생각해 봐라.
- 한편에서 장애인들의 정보접속권을 보장한다고 웹접근성을 강조하면서 윈도우와 IE만 지원하는 방식이 어떻게 살아남을 수 있나.
- 이렇게 일부 환경만 지원하는 액티브엑스가 어떻게 공공 서비스에 적용이 가능한가.
- 사용자들에게 파블로프 개처럼 무조건 “보안의 위험에도 설치하시겠습니까? / 예” 라는 위험한 습관을 훈련시키는 액티엑스 설치 필요 서비스가 어떻게 살아남겠나.
- 관리자 권한이 필요하고 보안 수준을 낮춰야만 설치가 되는 보안 프로그램을 요구하는 서비스가 어떻게 많은 사용자들을 유치하겠나.
이런 걸 떠올려 보면 가장 핵심적이고 분명한 단어가 바로 “No ActiveX”였던 것이다.
Q: 감이 좀 온다.
A: 액티브엑스라는 표현이 들어갔다고 여전히 “액티브엑스만 반대”한다고 여기시는 분들이 있는데, 웹 브라우저 이외에 추가로 요구되는 다양한 플러그인이나 추가 프로그램 모두를 말하는 것이다. 그걸 대표적으로 상징하는 것이 액티브엑스일 뿐이고.
Q: ‘특정 기술을 없애자’, ‘특정 기술을 금지하자’도 아니라는 거지?
A: 그렇다. 우리가 어떻게 현존하는 기술을 없애나. 그리고, 불법도 아닌 기술을 쓰겠다는데 어떻게 그걸 막을 수 있나. 다만, ‘의무 사용’을 반대한다는 뜻에서 ‘폐지’라고 표현한 것이다.
Q: 그렇다면 내가 이해한 대로 조금 길게 표현해 보겠다. “웹상에서 액티브엑스와 플러그인 등 특정 기술 강제 의무 사용 제도 폐지 운동” 어떤가?
A: 오… 그 정도면 훌륭하다.
Q: 이야기를 다 듣고 보니 액티브엑스 폐지라는 말에 많은 뜻이 담겨있는 것 같다.
A: 맞다. 좀 제한적일 수 있지만, 그나마 그게 가장 효과적일 것 같아 이름을 이렇게 짓고 캠페인을 시작한 것이다.
Q: 이제 들을 건 다 들은 것 같다. 할말 있으면 해라.
A: 10년 전을 떠올려 보면 인터넷 서점에서 책을 구입하면 은행에 뛰어가서 계좌이체를 해야했다. 그 때에 비해 세상이 엄청 좋아진 게 사실이다. 우리나라가 IT 강국이 된 것은 ‘안되면 되게 하는 그런 치열함’이 있었던 거다.
그런데, 그 때 시도했던 기술을 별다른 변화 없이 그대로 유지하고 몰빵하고 강제하는 바람에 오히려 많은 사람들도 불편해 하고 점점 갈라파고스화 되는 것 아니냐는 위기감이 생겼다. 지금 이 액티브엑스와 공인인증서 같은 제한적인 지원 밖에 할 수 없는 기술 때문에 많은 사람들이 괴로워하고, 대한민국의 보안이 위험한 것 아니냐는 이야기도 나오게 됐다.
이제는 진짜 달라져야 할 때가 왔다. 액티브엑스를 걷어내 보자. 웹을 웹답게 사용해 보자. 동참해 달라. 사이트 주소는 http://NoActiveX.net 이다. 가서 서명을 해서 얼마나 많은 사람들이 괴로워하는지 보여달라. 법안이 만들어 질 수도 있다. 그래서 진짜로 강제 의무화를 폐지시켜 보자.
Q: 오늘 인터뷰 고맙다.
A: 고맙긴. 혼자 북치고 장구 치느라 너도 수고했다.
끝.
안철수씨가 지난 대선때 엑티브엑스 폐지 공약으로 내세울때 반응이 뜨거워서 다른 후보도 이 공약 공유하기를 내심 기대했었는데 말이죠.
구케우언들… 정치인들 중에서 이런 문제에 대해 생각이나 해본 사람 없을 겁니다.ㅋ